Blackholing е техника, използвана да смекчи въздействието на DDoS атака.
В тази техника, мрежовия трафик на таргетирания IP адрес е пренасочен към “‘черна дупка” или по-точно виртуална дупка, която отхвърля всичкия входящ трафик без да бъде доставен до получателя.
Когато DDoS атака възникне, администраторът може веднага да идентифицира таргетирания IP адрес и да пренасочи целия трафик към тази виртуална дупка.
Въпреки това е важно да се отбележи, че при blackholing може да има и непредвидени последици, като отпадане на легитимен трафик. Следователно трябва да се използва с повишено внимание и само като последна мярка, когато други техники за смекчаване не са ефективни.
Как работи Blackholing?
Blackholing включва отхвърляне на входящ трафик, който е насочен към конкретен IP адрес. Има няколко начина за внедряване на blackholing, включително BGP черни дупки , списъци за блокиране на спам и отхвърляне на IP пакети, насочени към конкретни адреси, като например блокирани сайтове.
BGP blackholing
При BGP blackholing мрежовите администратори използват Border Gateway Protocol (BGP), да пренасочат трафика на жертвата към нулев маршрут, като на практика го отхвърлят.
BGP peering е необходим за прилагането на тази техника, тъй като позволява на мрежовите администратори да контролират потока на трафика в техните мрежи.
Чрез използването на BGP за пренасочване на IP адрес към нулев маршрут, администраторите могат да гарантират, че целият трафик, предназначен за този адрес ще бъде премахнат, преди да достигне до желания получател.
Списъци за блокиране на спам
Списъци за блокиране на нежелана поща са друга често срещана стратегия за blackholing. Тези списъци съдържат IP адреси, за които е известно, че са източници на спам или друг злонамерен трафик .
Когато имейл сървър получи входящо съобщение от IP адрес, който е присъства в списъка , то може автоматично да бъде отхвърлено или изпратено в (quarantine folder) карантинна папка за по-нататъшен преглед.
Във всички тези сценарии, blackholing работи, като прихваща входящия трафик и го пренасочва, преди да успее да достигне до желаната дестинация. Тази техника може да бъде ефективна за смекчаване на въздействието на DDoS атаки или блокиране на злонамерен трафик.
Подходи за маршрутизиране на Blackholing
Има два основни подхода за внедряване на маршрутизиране на blackholing: използване на trigger router или permanent static route (перманентно статичен маршрут).
Trigger route подход
При този подход, мрежовите администратори конфигурират рутер за откриване на DDoS атака или друг злонамерен трафик. След това рутерът изпраща съобщение до другите рутери в мрежата за пренасочване на трафика към нулев маршрут. Този подход е полезен в ситуации, в които мрежовият администратор иска да задейства blackholing маршрутизиране само когато възникне конкретно събитие, като внезапен скок в трафика.
Перманентно статичен маршрут
При този подход мрежовите администратори конфигурират перманентно статичен маршрут в мрежата, който пренасочва трафика към нулев маршрут за конкретен IP адрес. Този подход е полезен за ситуации, в които към конкретен IP адрес често е насочен злонамерен трафик и мрежовият администратор иска перманентно да пренасочи този трафик към нулев маршрут.
Предимства и недостатъци на Blackholing
Има няколко предимства и недостатъци, които трябва да имате предвид, когато филтрирате трафика с blackholing.
Предимства на Blackholing
Едно от основните предимства на blackholing е възможността за бързо смекчаване на DDoS атаки и друг злонамерен трафик.
Друго предимство е подобрената производителност на мрежата. Чрез изхвърляне на трафик, който е насочен към конкретни IP адреси, мрежовите администратори могат да намалят претоварването на мрежата и да подобрят цялостната производителност на мрежата. Това може да бъде особено полезно в ситуации, когато голям обем трафик е насочен към определен сървър или приложение.
Недостатъци на Blackholing
Въпреки че blackholing routing може да бъде ефективна техника за смекчаване на въздействието на DDoS атаки и друг злонамерен трафик, има и няколко ограничения, които трябва да се имат предвид.
Едно ограничение на blackholing е, че може да направи уеб сървъра или приложението недостъпни за легитимните потребители. Чрез отхвърляне на целия трафик, насочен към конкретен IP адрес, дори легитимният трафик може да бъде блокиран, което потенциално води до прекъсване на работата на засегнатото приложение или услуга.
Важно е да се отбележи, че blackhole адреса, използван за маршрутизиране, може да не е видим за източника на трафик. Това може да доведе, трафикът да продължава да бъде насочен към желаната цел, дори след като е въведено маршрутизиране на blackholing.
Необходимо е BGP съседите да поддържат blackholing, което не винаги е налично.
Сравнение между Blackholing и Sinkholing
Blackholing и Sinkholing са техники, използвани за смекчаване на DDoS атаки, но работят по различни начини.
Blackholing включва пренасочване на трафика към „черна дупка“ или нулев маршрут, което отхвърля целия трафик насочен към целевия IP адрес или диапазон.
Sinkholing от друга страна включва пренасочване на трафика към контролирана дестинация или IP адрес, което позволява преминаването на легитимен трафик, като същевременно филтрира злонамерения трафик.
Sinkhole IP адресът, обикновено е примамлив IP адрес, който не се използва от нито една законна услуга, така че всеки трафик, насочен към него, вероятно е злонамерен.
Sinkholing обикновено се извършва на ниво DNS, чрез пренасочване на трафика към DNS сървър, който може да филтрира злонамерен трафик и да позволи преминаването на легитимен трафик.
Както Blackholing, така и Sinkholing са ефективни техники за смекчаване на DDoS атаки, но имат различни силни страни и ограничения. Blackholing е проста и ефективна техника, която може да се приложи на различни нива в рамките на мрежата, но тя изпуска целия трафик към целевия IP адрес или диапазон, включително легитимния трафик. Sinkholing е по-усъвършенствана техника, която може да филтрира злонамерен трафик, като същевременно позволява преминаването на легитимен трафик, но изисква по-усъвършенствани мрежови конфигурации и опит за прилагане.
В обобщение, Blackholing и Sinkholing са ценни инструменти за смекчаване на DDoS атаки и изборът на техника зависи от специфичните нужди и ресурси на организацията, прилагаща смекчаването.