Was ist Blackhole-Routing?

Eine DDoS-Abwehrstrategie, bei der der gesamte Datenverkehr aus bestimmten Quellen eliminiert wird.

Share facebook icon linkedin icon twitter icon email icon

Blackhole-Routing

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Blackhole-Routing definieren
  • Die Schwächen von Blackhole-Routing verstehen
  • Die Nachteile von Blackhole-Routing verstehen

Was ist DDoS-Blackhole-Routing?

DDoS-Blackhole-Routing/-Filtering (manchmal auch Blackholing genannt) ist eine Gegenmaßnahme zur Abwehr eines DDoS-Angriffs, bei dem der Netzwerkverkehr in ein „Blackhole“ geleitet wird und verloren geht. Wenn die Blackhole-Filterung ohne bestimmte Einschränkungskriterien implementiert wird, wird sowohl legitimer als auch böswilliger Netzwerkverkehr an eine Nullroute oder ein Blackhole weitergeleitet und aus dem Netzwerk entfernt. Bei Verwendung verbindungsloser Protokolle wie UDP wird keine Benachrichtigung über die verworfenen Daten an die Quelle zurückgegeben. Bei verbindungsorientierten Protokollen wie TCP, für deren Verbindung mit dem Zielsystem ein Handshake erforderlich ist, wird eine Benachrichtigung zurückgegeben, wenn die Daten gelöscht werden.

Für Organisationen, die keine andere Möglichkeit haben, einen Angriff zu blockieren, ist Blackholing eine weit verbreitete Option. Diese Abwehrmethode kann jedoch schwerwiegende Folgen haben und es möglicherweise zu einer unerwünschten Option bei DDoS-Angriffen machen. Ähnlich wie Antibiotika sowohl gute als auch schlechte Bakterien abtöten, werden bei unsachgemäßer Implementierung dieser Art der DDoS-Abwehr die Verkehrsquellen zum Netzwerk oder Dienst wahllos gestört. Anspruchsvolle Angriffe verwenden auch variable IP-Adressen und Angriffsvektoren, was die Wirksamkeit dieser Art der Abwehr als einziges Mittel zur Unterbrechung des Angriffs einschränken kann.

Eine wichtige Konsequenz der Verwendung von Blackhole-Routing, bei dem auch guter Datenverkehr betroffen wird, ist, dass der Angreifer im Wesentlichen sein Ziel erreicht hat: der Datenverkehr zum Zielnetzwerk oder -dienst wurde unterbrochen. Auch wenn es einem böswilligen Akteur helfen kann, sein Ziel zu erreichen, kann Blackhole-Routing dennoch nützlich sein, wenn das Ziel des Angriffs eine kleine Website ist, die Teil eines größeren Netzwerks ist. In diesem Fall könnte ein Blackholing des auf den Zielort gerichteten Datenverkehrs das größere Netzwerk vor den Auswirkungen des Angriffs schützen.

Fallstudie: Wie ein pakistanischer ISP YouTube mit Blackhole-Routing lahm legte

Im Jahr 2008 war YouTube wegen der Verwendung von Blackhole-Routing durch Pakistan Telecom an einem Tag stundenlang außer Betrieb. Dies geschah, nachdem das pakistanische Kommunikationsministerium als Reaktion auf ein YouTube-Video, das einen niederländischen Cartoon mit dem Propheten Muhammad enthielt, den Befehl erteilt hatte, YouTube landesweit zu blockieren. Pakistans staatseigener Telekommunikationsdienst reagierte auf diese Befehle mit einer Blackhole-Routing-Lösung, die jedoch unerwartete Nebenwirkungen verursachte.

Pakistan Telecom hat eine Blackhole-Route erstellt und Anweisungen gesendet, die als legitimes Ziel für alle gelten, die versuchen, die Webadressen von YouTube zu erreichen. Dieser Verkehr wurde dann auf die Blackhole-Route geschickt und verworfen. Das Problem ist, dass Pakistan Telecom BGP* verwendet hat, um diese Route mit ISPs auf der ganzen Welt zu teilen. Pakistan sendete also effektiv an Internetanbieter weltweit, dass sie das richtige Ziel für den YouTube-Traffic waren, und schickte dann den gesamten YouTube-gebundenen Verkehr in ein Blackhole. Glücklicherweise verfügt YouTube über ein sehr raffiniertes technisches Team, das das Problem innerhalb weniger Stunden identifizieren und beheben konnte. Dieses Beispiel zeigt jedoch, dass Blackhole-Routing mit ernsten Risiken verbunden ist.

*BGP steht für Border Gateway Protocol und verwaltet, wie Pakete über das Internet geleitet werden. Eine andere bekannte BGP-Verwechslung hat sogar Google zum Absturz gebracht. Weitere Informationen hierzu finden Sie in diesem Cloudflare-Blogpos.