什麼是黑洞路由?

黑洞路由是一種 DDoS 緩解策略,可消除來自某些來源的所有流量。

學習目標

閱讀本文後,您將能夠:

  • 定義黑洞路由
  • 瞭解黑洞路由的弱點
  • 瞭解黑洞路由的缺點

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 DDoS 黑洞路由?

DDoS 黑洞路由/篩選(有時稱為黑洞)是緩解 DDoS 攻擊的對策,其中網路流量被路由到「黑洞」並遺失。在沒有特定限制條件的情況下實作黑洞篩選時,合法和惡意的網路流量都會路由到空路由或黑洞中,並退出網路。使用無連線的通訊協定(例如 UDP)時,不會將捨棄資料的通知傳回給來源。對於 TCP 等以連線為導向的通訊協定(需要交握才能與目標系統連接),資料丟棄時會傳回通知。

對於沒有其他方法封鎖攻擊的組織來說,黑洞是一種廣泛可用的選擇。這種緩解方法可能會帶來嚴重後果,從而成為緩解 DDoS 攻擊的一個不受歡迎的選擇。與抗生素同時毀滅好細菌和壞細菌類似,如果部署不當,這種 DDoS 緩解措施將無區別地破壞網路或服務的流量來源。複雜的攻擊還將使用可變的 IP 位址和攻擊媒介,當採用此類緩解措施作為中斷攻擊的唯一手段時,其有效性可能會受到限制。

使用黑洞路由時,善意流量也會受到影響,因而會產生一個關鍵的後果:攻擊者已基本實現了中斷前往目標網路或服務的流量這一目標。儘管可能會幫助惡意行為者實現其目標,但當攻擊的目標是較大網路中的小型網站時,黑洞路由仍然有用。在這種情況下,對定向到目標網站的流量進行黑洞路由可以防止大型網路受到攻擊的影響。

案例研究:巴基斯坦 ISP 如何透過黑洞路由關閉 YouTube

2008 年,YouTube 因為巴基斯坦電信使用黑洞路由而關閉了數小時。在發生這一狀況前,巴基斯坦通訊部發出命令,要求在全國范圍內封鎖 YouTube,以回應一段包含描繪先知穆罕默德的荷蘭卡通的 YouTube 影片。巴基斯坦政府所有的電信服務部門透過黑洞路由解決方案回應了這些命令,但這些解決方案產生了意外的副作用。

巴基斯坦電信建立了一個黑洞路由,並且廣而告之,聲稱這是想要存取 YouTube 網址的人的合法目的地。之後,流量被傳送到黑洞路由並且被丟棄。問題是巴基斯坦電信使用 BGP *與全世界的 ISP 分享此路由。因此,巴基斯坦實際上是向全世界的網際網路提供者通告,這是 YouTube 流量的正確目的地,然後他們將所有與 YouTube 相關的流量都傳送到一個黑洞。幸運的是,YouTube 擁有一個非常成熟的技術團隊,能夠在數小時內識別並解決問題,但這個範例顯示了使用黑洞路由所帶來的嚴重風險。

*BGP 代表邊界閘道協定,它管理封包在網際網路上的路由方式。另一個著名的 BGP 失誤甚至使 Google 關閉,請參閱 Cloudflare 部落格文章來瞭解有關此故事的更多資訊。