El enrutamiento de agujeros negros es una estrategia de mitigación de DDoS que elimina todo el tráfico de determinadas fuentes.
Después de leer este artículo podrás:
Contenido relacionado
Mitigación de ataques DDoS
Ataque bajo y lento
Ataques a criptomonedas
TCP/IP
¿Qué es la suplantación de IP?
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
El enrutamiento/filtrado de agujeros negros de DDoS (a veces llamado blackholing), es una medida defensiva para mitigar un ataque DDoS en el que el tráfico de red se enruta a un "agujero negro", y se pierde. Cuando el filtrado de agujeros negros se implementa sin criterios de restricción específicos, tanto el tráfico de red legítimo como el malicioso se enruta a una ruta nula o agujero negro, y se descarta de la red. Cuando se utilizan protocolos sin conexión, como UDP, no se devuelve al origen ninguna notificación de los datos abandonados. Con protocolos orientados a la conexión como TCP, que requieren un protocolo de enlace para conectarse con el sistema de destino, se devolverá una notificación si se descartan los datos.
Para las organizaciones que no tienen otros medios de bloquear un ataque, el uso de agujeros negros es una opción de fácil acceso. Este método de mitigación puede tener graves consecuencias, lo que lo convierte en una opción no muy deseable para mitigar un ataque DDoS. Al igual que los antibióticos matan tanto las bacterias beneficiosas como las perjudiciales, cuando se implementa incorrectamente, este tipo de mitigación DDoS interrumpirá indiscriminadamente las fuentes de tráfico a la red o al servicio. Los ataques sofisticados también utilizarán direcciones IP variables y vectores de ataque, lo que puede limitar la eficacia de este tipo de mitigación como único medio para interrumpir el ataque.
Una consecuencia clave de usar el enrutamiento de agujeros negros cuando el tráfico beneficioso también se ve afectado, es que el atacante ha logrado esencialmente su objetivo de interrumpir el tráfico a la red o servicio objetivo. Aunque puede ayudar a un agente malicioso a lograr su objetivo, el enrutamiento de agujeros negros puede seguir siendo útil cuando el objetivo del ataque es un sitio pequeño que forma parte de una red más grande. En ese caso, el uso de agujeros negros del tráfico dirigido al sitio objetivo podría proteger a la red más grande de los efectos del ataque.
En 2008, YouTube estuvo fuera de servicio durante horas debido al uso del enrutamiento de agujeros negros que hizo Pakistan Telecom. Esto sucedió después de que el Ministerio de Comunicaciones de Pakistán ordenara bloquear YouTube en todo el país en respuesta a un vídeo de YouTube con una caricatura neerlandesa que representaba al profeta Mahoma. El servicio de telecomunicaciones estatal de Pakistán respondió a estas órdenes con una solución de enrutamiento de agujeros negros, pero su solución provocó efectos secundarios inesperados.
Pakistan Telecom creó una ruta de agujeros negros y emitió instrucciones en la que indicaba que era el destino legítimo para cualquiera que intentara llegar a las direcciones web de YouTube. Ese tráfico se enviaba entonces a la ruta de agujeros negros y se descartaba. El problema es que Pakistan Telecom utilizó BGP* para compartir esta ruta con los ISP de todo el mundo. De este modo, Pakistán transmitió a los proveedores de Internet de todo el mundo que eran el destino correcto para el tráfico de YouTube y enviaron todo el tráfico de YouTube a un agujero negro. Afortunadamente, YouTube cuenta con un gran equipo técnico, y fue capaz de identificar y solucionar el problema en cuestión de horas; pero este ejemplo muestra el grave riesgo que conlleva el uso del enrutamiento de agujeros negros.
*BGP, las siglas en inglés de Border Gateway Protocol, gestiona cómo se enrutan los paquetes por Internet. Otra confusión bien conocida de BGP incluso llegó a colapsar Google, consulta esta publicación del blog de Cloudflare para más información al respecto.