Blackhole-Routing ist eine Strategie zur DDoS-Abwehr, dabei wird der gesamte Traffic aus bestimmten Quellen eliminiert.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
DDoS-Blackhole-Routing/-Filtering (manchmal auch Blackholing genannt) ist eine Gegenmaßnahme zur Abwehr eines DDoS-Angriffs, bei dem der Netzwerk-Traffic in ein „Blackhole“ geleitet wird und verloren geht. Wenn die Blackhole-Filterung ohne bestimmte Einschränkungskriterien implementiert wird, wird sowohl legitimer als auch böswilliger Netzwerk-Traffic an eine Nullroute oder ein Blackhole weitergeleitet und aus dem Netzwerk entfernt. Bei Verwendung verbindungsloser Protokolle wie UDP wird keine Benachrichtigung über die verworfenen Daten an die Quelle zurückgegeben. Bei verbindungsorientierten Protokollen wie TCP, für deren Verbindung mit dem Zielsystem ein Handshake erforderlich ist, wird eine Benachrichtigung zurückgegeben, wenn die Daten gelöscht werden.
Für Organisationen, die keine andere Möglichkeit haben, einen Angriff zu blockieren, ist Blackholing eine weit verbreitete Option. Diese Abwehrmethode kann jedoch schwerwiegende Folgen haben und ist oft eine unerwünschte Option bei DDoS-Angriffen. Ähnlich wie Antibiotika sowohl gute als auch schlechte Bakterien zerstören, werden bei unsachgemäßer Implementierung dieser Art der DDoS-Abwehr die Traffic-Quellen zum Netzwerk oder Dienst wahllos gestört. Anspruchsvolle Angriffe verwenden auch variable IP-Adressen und Angriffsvektoren. Als einziges Abwehrmittel zur Unterbrechung des Angriffs ist diese Methode nur eingeschränkt wirksam.
Eine wichtige Konsequenz der Verwendung von Blackhole-Routing, bei dem auch guter Datenverkehr betroffen wird, ist, dass der Angreifer im Wesentlichen sein Ziel erreicht hat: der Datenverkehr zum Zielnetzwerk oder -dienst wurde unterbrochen. Auch wenn es einem böswilligen Akteur helfen kann, sein Ziel zu erreichen, kann Blackhole-Routing dennoch nützlich sein, wenn das Ziel des Angriffs eine kleine Website ist, die Teil eines größeren Netzwerks ist. In diesem Fall könnte ein Blackholing des auf den Zielort gerichteten Datenverkehrs das größere Netzwerk vor den Auswirkungen des Angriffs schützen.
Im Jahr 2008 war YouTube wegen der Verwendung von Blackhole-Routing durch Pakistan Telecom an einem Tag stundenlang außer Betrieb. Dies geschah, nachdem das pakistanische Kommunikationsministerium als Reaktion auf ein YouTube-Video, das einen niederländischen Cartoon mit dem Propheten Muhammad enthielt, den Befehl erteilt hatte, YouTube landesweit zu blockieren. Pakistans staatseigener Telekommunikationsdienst reagierte auf diese Befehle mit einer Blackhole-Routing-Lösung, die jedoch unerwartete Nebenwirkungen verursachte.
Pakistan Telecom hat eine Blackhole-Route erstellt und Anweisungen gesendet, die als legitimes Ziel für alle gelten, die versuchen, die Webadressen von YouTube zu erreichen. Dieser Traffic wurde dann auf die Blackhole-Route geschickt und verworfen. Das Problem ist, dass Pakistan Telecom BGP* verwendet hat, um diese Route mit ISPs auf der ganzen Welt zu teilen. Pakistan sendete also effektiv an Internet-Provider weltweit, dass sie das richtige Ziel für den YouTube-Traffic waren, und schickte dann den gesamten YouTube-gebundenen Verkehr in eine Blackhole. Glücklicherweise verfügt YouTube über ein sehr raffiniertes technisches Team, das das Problem innerhalb weniger Stunden identifizieren und beheben konnte. Dieses Beispiel zeigt jedoch, dass Blackhole-Routing mit ernsten Risiken verbunden ist.
*BGP steht für Border Gateway Protocol und verwaltet, wie Pakete über das Internet geleitet werden. Eine andere bekannte BGP-Verwechslung hat sogar Google zum Absturz gebracht. Weitere Informationen hierzu finden Sie in diesem Cloudflare-Blogpost.