Si toda la evidencia que ha reunido es una avalancha de paquetes con direcciones IP de origen de un AS en particular, es probable que haya llegado a una conclusión errónea. Una explicación más probable sería que esas IP de origen son falsificadas.
Un ataque de reflexión / amplificación implica enviar muchos paquetes falsificando la dirección IP de origen de una víctima. Si esto es realmente lo que está sucediendo, y tiene servidores en su red, que pueden amplificar un ataque, entonces la red que está acusando de un ataque es en realidad la víctima, y usted está ayudando al atacante.
En tal situación, la solución no es aplicar ningún tipo de ingeniería de tráfico, sino configurar sus servidores de modo que no puedan usarse en un ataque de amplificación. Cómo hacer esto no es realmente una pregunta de ingeniería de redes.
Por supuesto, es posible que todos los paquetes se originen en un AS. Con la cooperación del AS infractor, puede obtener la confirmación de que los paquetes se originan en su AS. Sin embargo, con ese nivel de cooperación, también podría bloquear el ataque en la fuente.
Si suponemos que a través de algún método, no he pensado en obtener la confirmación de que los paquetes realmente se originan del AS que cree, y que no puede bloquearlo en la fuente y, en cambio, desea bloquearlo a través de BGP, entonces yo He leído sobre un método algo arriesgado para lograr esto. La idea es que anteponga una ruta AS a la ruta que está anunciando. En esta ruta AS antepuesta, incluye el número AS de la fuente de esos paquetes.
Cuando el anuncio llegue a los enrutadores BGP en el AS infractor, detectarán un bucle y descartarán el anuncio. Mientras tanto, el resto del mundo no verá un bucle y aceptará el anuncio.
Esa es la teoria. Si realmente funcionará en la práctica depende de algunos factores diferentes. Por ejemplo, depende de usar realmente el número AS del que se originan los paquetes, que podría ser diferente del número AS que anuncia esas direcciones IP. (Dicha diferencia podría ser legítima o debido a la suplantación de identidad).
También depende de que su flujo ascendente no filtre la ruta si encuentra la ruta AS sospechosa. Además, las redes más alejadas de usted también pueden abandonar su ruta, por ejemplo, si también han tenido malas experiencias con el AS infractor y han decidido abandonar todas las rutas desde allí.
Es su decisión si este enfoque vale la pena el riesgo.
(Me hubiera vinculado a la fuente de este enfoque, si pudiera encontrarlo nuevamente).