Blackhole Routingとは?

特定のソースからのすべてのトラフィックを排除することにより機能するDDoS対策。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ブラックホールルーティングを定義する
  • ブラックホールルーティングの弱点を理解する
  • ブラックホールルーティングの欠点を理解する

記事のリンクをコピーする

DDoSブラックホールルーティングとは?

DDoSブラックホールルーティング/フィルタリング(ブラックホーリングと呼ばれることもあります)は、ネットワークトラフィックが「ブラックホール」にルーティングされて失われるDDoS攻撃軽減策です。特定の制限基準なしでブラックホールフィルタリングを実装すると、正当なネットワークトラフィックと悪意のあるネットワークトラフィックの両方がNullルート、つまりブラックホールにルーティングされ、ネットワークからドロップされます。UDPなどのコネクションレス型のプロトコルを使用する場合、ドロップされたデータの通知はソースに返されません。ターゲットシステムとの接続にハンドシェイクが必要なTCPなどの接続指向プロトコルでは、データがドロップされると通知が返されます。

攻撃をブロックする他の手段がない組織の場合、ブラックホールは広く利用可能なオプションです。この軽減方法は深刻な結果をもたらす可能性があり、DDoS攻撃を軽減するための望ましくないオプションになる可能性があります。抗生物質が善と悪の両方の細菌を殺すのと同様に、不適切に実装された場合、このタイプのDDoS対策はネットワークまたはサービスへのトラフィックのソースを無差別に混乱させます。高度な攻撃では、 可変IPアドレスと攻撃ベクトルも使用されます。これらは、攻撃を中断する唯一の手段としては、このタイプの軽減策の有効性を制限する可能性があります。

正規のトラフィックも影響を受けるため、ブラックホールルーティングを使用することの重要な結果は、攻撃者が標的とするネットワークまたはサービスへのトラフィックを中断するという目標を本質的に達成するということです。悪意のある行為者が目標を達成するのに役立ちはしますが、攻撃の標的が大規模なネットワークの一部である小さなサイトである場合、ブラックホールルーティングは依然として有用です。この場合は、標的サイトに向けられたトラフィックをブラックホール化することで、攻撃の影響から大規模なネットワークを保護できます。

ケーススタディ:パキスタンのISPがブラックホールルーティングでYouTubeをシャットダウンした方法

2008年、パキスタンテレコムがブラックホールルーティングを使用したため、ある日YouTubeが数時間停止しました。これは、パキスタン通信省が、預言者ムハンマドを描いたオランダの漫画を含むYouTube動画に対応して、YouTubeを全国的にブロックするよう命令を出した後に起こりました。パキスタンの政府所有の通信サービスは、この命令にブラックホールルーティングソリューションで対応しましたが、このソリューションが予期しない副作用を引き起こしたのです。

パキスタンテレコムは、ブラックホールルーティングを作成し、YouTubeのWebアドレスにアクセスしようとする人にとって正当な宛先であると主張する指示をブロードキャストしました。その後、そのトラフィックはブラックホールルーティングに送信され、ドロップされました。問題は、パキスタンテレコムがBGP*を使用して世界中のISPとこのルーティングを共有したことです。つまり、パキスタンは実質的に、世界中のインターネットプロバイダーに対して、自分たちがYouTubeトラフィックの正しい宛先であることをブロードキャストしてから、YouTubeに向けたトラフィックを全てブラックホールに送ったのです。幸い、YouTubeには非常に高度な技術チームがいて、数時間以内に問題を特定して修正できましたが、この例はブラックホールルーティングの使用に伴う深刻なリスクを示しています。

* BGPはBorder Gateway Protocolの略で、インターネット上でのパケットのルーティング方法を管理します。また別の有名なBGPの混乱により、Googleさえダウンしました。詳細については、この Cloudflareブログ投稿を参照してください。