Was ist Blackhole-Routing?

Blackhole-Routing ist eine Strategie zur DDoS-Abwehr, dabei wird der gesamte Traffic aus bestimmten Quellen eliminiert.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Blackhole-Routing definieren
  • Die Schwächen von Blackhole-Routing verstehen
  • Die Nachteile von Blackhole-Routing verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist DDoS-Blackhole-Routing?

DDoS-Blackhole-Routing/-Filtering (manchmal auch Blackholing genannt) ist eine Gegenmaßnahme zur Abwehr eines DDoS-Angriffs, bei dem der Netzwerk-Traffic in ein „Blackhole“ geleitet wird und verloren geht. Wenn die Blackhole-Filterung ohne bestimmte Einschränkungskriterien implementiert wird, wird sowohl legitimer als auch böswilliger Netzwerk-Traffic an eine Nullroute oder ein Blackhole weitergeleitet und aus dem Netzwerk entfernt. Bei Verwendung verbindungsloser Protokolle wie UDP wird keine Benachrichtigung über die verworfenen Daten an die Quelle zurückgegeben. Bei verbindungsorientierten Protokollen wie TCP, für deren Verbindung mit dem Zielsystem ein Handshake erforderlich ist, wird eine Benachrichtigung zurückgegeben, wenn die Daten gelöscht werden.

Für Organisationen, die keine andere Möglichkeit haben, einen Angriff zu blockieren, ist Blackholing eine weit verbreitete Option. Diese Abwehrmethode kann jedoch schwerwiegende Folgen haben und ist oft eine unerwünschte Option bei DDoS-Angriffen. Ähnlich wie Antibiotika sowohl gute als auch schlechte Bakterien zerstören, werden bei unsachgemäßer Implementierung dieser Art der DDoS-Abwehr die Traffic-Quellen zum Netzwerk oder Dienst wahllos gestört. Anspruchsvolle Angriffe verwenden auch variable IP-Adressen und Angriffsvektoren. Als einziges Abwehrmittel zur Unterbrechung des Angriffs ist diese Methode nur eingeschränkt wirksam.

Eine wichtige Konsequenz der Verwendung von Blackhole-Routing, bei dem auch guter Datenverkehr betroffen wird, ist, dass der Angreifer im Wesentlichen sein Ziel erreicht hat: der Datenverkehr zum Zielnetzwerk oder -dienst wurde unterbrochen. Auch wenn es einem böswilligen Akteur helfen kann, sein Ziel zu erreichen, kann Blackhole-Routing dennoch nützlich sein, wenn das Ziel des Angriffs eine kleine Website ist, die Teil eines größeren Netzwerks ist. In diesem Fall könnte ein Blackholing des auf den Zielort gerichteten Datenverkehrs das größere Netzwerk vor den Auswirkungen des Angriffs schützen.

Fallbeispiel: Wie ein pakistanischer ISP YouTube mit Blackhole-Routing lahm legte

Im Jahr 2008 war YouTube wegen der Verwendung von Blackhole-Routing durch Pakistan Telecom an einem Tag stundenlang außer Betrieb. Dies geschah, nachdem das pakistanische Kommunikationsministerium als Reaktion auf ein YouTube-Video, das einen niederländischen Cartoon mit dem Propheten Muhammad enthielt, den Befehl erteilt hatte, YouTube landesweit zu blockieren. Pakistans staatseigener Telekommunikationsdienst reagierte auf diese Befehle mit einer Blackhole-Routing-Lösung, die jedoch unerwartete Nebenwirkungen verursachte.

Pakistan Telecom hat eine Blackhole-Route erstellt und Anweisungen gesendet, die als legitimes Ziel für alle gelten, die versuchen, die Webadressen von YouTube zu erreichen. Dieser Traffic wurde dann auf die Blackhole-Route geschickt und verworfen. Das Problem ist, dass Pakistan Telecom BGP* verwendet hat, um diese Route mit ISPs auf der ganzen Welt zu teilen. Pakistan sendete also effektiv an Internet-Provider weltweit, dass sie das richtige Ziel für den YouTube-Traffic waren, und schickte dann den gesamten YouTube-gebundenen Verkehr in eine Blackhole. Glücklicherweise verfügt YouTube über ein sehr raffiniertes technisches Team, das das Problem innerhalb weniger Stunden identifizieren und beheben konnte. Dieses Beispiel zeigt jedoch, dass Blackhole-Routing mit ernsten Risiken verbunden ist.

*BGP steht für Border Gateway Protocol und verwaltet, wie Pakete über das Internet geleitet werden. Eine andere bekannte BGP-Verwechslung hat sogar Google zum Absturz gebracht. Weitere Informationen hierzu finden Sie in diesem Cloudflare-Blogpost.