O que é o roteamento blackhole?

O roteamento blackhole é uma estratégia de mitigação de DDoS que elimina todo o tráfego a partir de determinadas fontes.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir roteamento blackhole
  • Entender os pontos fracos do roteamento blackhole
  • Entender as desvantagens do roteamento blackhole

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é o roteamento blackhole de DDoS?

O roteamento/filtragem blackhole de DDoS (às vezes chamado de blackholing) é uma contramedida para mitigar um ataque DDoS no qual o tráfego de rede é roteado para um "black hole" e se perde. Quando a filtragem blackhole é implementada sem critérios de restrição específicos, o tráfego de rede legítimo e malicioso é roteado para uma rota nula ou black hole e descartado da rede. Ao usar protocolos sem conexão, como UDP, nenhuma notificação dos dados descartados será retornada à origem. Com protocolos orientados à conexão, como o TCP, que exigem um handshake para se conectar ao sistema de destino, uma notificação será retornada se os dados forem descartados.

Para organizações que não têm outros meios de bloquear um ataque, o blackholing é uma opção amplamente disponível. Esse método de mitigação pode ter sérias consequências, tornando-se possivelmente uma opção indesejável para mitigar um ataque DDoS. Semelhante à maneira como os antibióticos destroem as bactérias boas e ruins, quando implementado de forma inadequada, esse tipo de mitigação de DDoS interromperá indiscriminadamente as fontes de tráfego para a rede ou serviço. Ataques sofisticados também usarão endereços de IP variáveis e vetores de ataque, o que pode limitar a eficácia desse tipo de mitigação como único meio de interromper o ataque.

Uma consequência importante do uso do roteamento blackhole quando o bom tráfego também é afetado é que o invasor atingiu seu objetivo de interromper o tráfego para a rede ou serviço de destino. Embora possa ajudar um agente malicioso a atingir seu objetivo, o roteamento blackhole ainda pode ser útil quando o alvo do ataque é um site pequeno que faz parte de uma rede maior. Nesse caso, bloquear o tráfego direcionado ao site de destino pode proteger a rede maior dos efeitos do ataque.

Estudo de caso: como um provedor paquistanês desativou o YouTube com roteamento blackhole

Em 2008, o YouTube ficou fora do ar por horas em um dia, graças ao uso do roteamento blackhole pela Pakistan Telecom. Isso aconteceu depois que o Ministério das Comunicações do Paquistão enviou ordens para bloquear o YouTube em todo o país em resposta a um vídeo do YouTube que continha um desenho holandês representando o profeta Maomé. O serviço de telecomunicações do governo paquistanês respondeu a essas ordens com uma solução de roteamento blackhole, mas sua solução criou efeitos colaterais inesperados.

A Pakistan Telecom criou uma rota blackhole e instruções de transmissão alegando ser o destino legítimo para quem tentava acessar os endereços da web do YouTube. Esse tráfego foi então enviado para a rota blackhole e descartado. O problema é que a Pakistan Telecom usou BGP* para compartilhar essa rota com os provedores de todo o mundo. Assim, o Paquistão transmitiu efetivamente aos provedores de internet em todo o mundo que ele era o destino correto para o tráfego do YouTube e, em seguida, enviou todo o tráfego vinculado ao YouTube para um buraco negro. Felizmente o YouTube tem uma equipe técnica muito sofisticada e eles foram capazes de identificar e corrigir o problema em poucas horas, mas este exemplo mostra um sério risco que vem com o uso do roteamento blackhole.

*BGP significa Border Gateway Protocol, ele gerencia como os pacotes são roteados pela internet. Outra conhecida confusão com o BGP até derrubou o Google, veja esta postagem no blog da Cloudflare para saber mais sobre isso.