¿Qué es el enrutamiento de agujeros negros?

El enrutamiento de agujeros negros es una estrategia de mitigación de DDoS que elimina todo el tráfico de determinadas fuentes.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir el enrutamiento de agujeros negros
  • Entender los puntos débiles del enrutamiento de agujeros negros
  • Entender las desventajas del enrutamiento de agujeros negros

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es el enrutamiento de agujeros negros de DDoS?

El enrutamiento/filtrado de agujeros negros de DDoS (a veces llamado blackholing), es una medida defensiva para mitigar un ataque DDoS en el que el tráfico de red se enruta a un "agujero negro", y se pierde. Cuando el filtrado de agujeros negros se implementa sin criterios de restricción específicos, tanto el tráfico de red legítimo como el malicioso se enruta a una ruta nula o agujero negro, y se descarta de la red. Cuando se utilizan protocolos sin conexión, como UDP, no se devuelve al origen ninguna notificación de los datos abandonados. Con protocolos orientados a la conexión como TCP, que requieren un protocolo de enlace para conectarse con el sistema de destino, se devolverá una notificación si se descartan los datos.

Para las organizaciones que no tienen otros medios de bloquear un ataque, el uso de agujeros negros es una opción de fácil acceso. Este método de mitigación puede tener graves consecuencias, lo que lo convierte en una opción no muy deseable para mitigar un ataque DDoS. Al igual que los antibióticos matan tanto las bacterias beneficiosas como las perjudiciales, cuando se implementa incorrectamente, este tipo de mitigación DDoS interrumpirá indiscriminadamente las fuentes de tráfico a la red o al servicio. Los ataques sofisticados también utilizarán direcciones IP variables y vectores de ataque, lo que puede limitar la eficacia de este tipo de mitigación como único medio para interrumpir el ataque.

Una consecuencia clave de usar el enrutamiento de agujeros negros cuando el tráfico beneficioso también se ve afectado, es que el atacante ha logrado esencialmente su objetivo de interrumpir el tráfico a la red o servicio objetivo. Aunque puede ayudar a un agente malicioso a lograr su objetivo, el enrutamiento de agujeros negros puede seguir siendo útil cuando el objetivo del ataque es un sitio pequeño que forma parte de una red más grande. En ese caso, el uso de agujeros negros del tráfico dirigido al sitio objetivo podría proteger a la red más grande de los efectos del ataque.

Caso práctico: cómo un ISP pakistaní desconectó YouTube con un enrutamiento de agujeros negros

En 2008, YouTube estuvo fuera de servicio durante horas debido al uso del enrutamiento de agujeros negros que hizo Pakistan Telecom. Esto sucedió después de que el Ministerio de Comunicaciones de Pakistán ordenara bloquear YouTube en todo el país en respuesta a un vídeo de YouTube con una caricatura neerlandesa que representaba al profeta Mahoma. El servicio de telecomunicaciones estatal de Pakistán respondió a estas órdenes con una solución de enrutamiento de agujeros negros, pero su solución provocó efectos secundarios inesperados.

Pakistan Telecom creó una ruta de agujeros negros y emitió instrucciones en la que indicaba que era el destino legítimo para cualquiera que intentara llegar a las direcciones web de YouTube. Ese tráfico se enviaba entonces a la ruta de agujeros negros y se descartaba. El problema es que Pakistan Telecom utilizó BGP* para compartir esta ruta con los ISP de todo el mundo. De este modo, Pakistán transmitió a los proveedores de Internet de todo el mundo que eran el destino correcto para el tráfico de YouTube y enviaron todo el tráfico de YouTube a un agujero negro. Afortunadamente, YouTube cuenta con un gran equipo técnico, y fue capaz de identificar y solucionar el problema en cuestión de horas; pero este ejemplo muestra el grave riesgo que conlleva el uso del enrutamiento de agujeros negros.

*BGP, las siglas en inglés de Border Gateway Protocol, gestiona cómo se enrutan los paquetes por Internet. Otra confusión bien conocida de BGP incluso llegó a colapsar Google, consulta esta publicación del blog de Cloudflare para más información al respecto.