Svarta hål (svarta hål) är platser i nätverket där inkommande eller utgående trafik tappas (förloras) utan att informera källan om att data inte nådde destinationen.
När man inspekterar ett nätverks topologi är själva svarta hål osynliga och kan endast upptäckas genom att övervaka förlorad trafik; därav namnet.
Den vanligaste formen av ett svart hål är helt enkelt en IP-adress som ges av en värddator som inte körs (som inte körs), eller en adress som inte har tilldelats en värd .
Även om TCP/IP tillhandahåller ett sätt att rapportera ett leveransfel till avsändaren av ett meddelande via ICMP , släpps ofta trafik som är avsedd för sådana adresser helt enkelt.
Observera att en död adress endast kommer att vara oupptäckbar för protokoll som inte använder handskakning och felkorrigering och som i sig är opålitliga (t.ex. UDP ). Anslutningsorienterade eller pålitliga protokoll ( TCP , RUDP ) kommer antingen att misslyckas med att ansluta till en död adress eller misslyckas med att ta emot förväntade bekräftelser.
De flesta brandväggar och routrar för hemmabruk kan konfigureras för att tyst (utan avisering) släppa paket adresserade till förbjudna värdar eller portar. Detta kan leda till uppkomsten av "svarta hål" i nätverket.
Därför har personliga brandväggar som inte svarar på ICMP -ekoförfrågningar (" ping ") identifierats av vissa leverantörer som i "smygläge".
Men trots detta, i de flesta nätverk är IP-adresserna för värdar med brandväggar konfigurerade på detta sätt lätta att skilja från ogiltiga eller på annat sätt oåtkomliga IP-adresser : när den senare upptäcks, svarar routern, med hjälp av ICMP- protokollet , vanligtvis enligt följande: värden går inte att nå (värden kan inte nås). Ett mer effektivt sätt att dölja strukturen i ett internt nätverk är vanligtvis Network Address Translation ( NAT )-metoden som används i hem- och kontorsroutrar . [1] [2]
En nollrutt eller en svarthålsrutt är en rutt (en post i rutttabellen ) "till ingenstans". Lämpliga paket som reser denna rutt släpps (ignoreras) snarare än vidarebefordras, vilket fungerar som en sorts mycket begränsad brandvägg . Processen att använda noll-sökvägar kallas ofta svarthålsfiltrering.
Svarthålsfiltrering släpper paket specifikt vid routinglagret, vanligtvis med ett routingprotokoll för att implementera filtrering på flera routrar samtidigt . Detta görs ofta dynamiskt för att ge ett snabbt svar på distribuerade denial-of-service-attacker .
Remote Triggered Black Hole Filtering (RTBH) är en teknik som låter dig kassera oönskad trafik innan den går in i ett säkert nätverk. [3] Internet Exchange (IX)-leverantören använder vanligtvis denna teknik för att hjälpa sina användare eller kunder att filtrera bort en sådan attack [4] .
Nullrutter konfigureras vanligtvis med en speciell ruttflagga , men kan också implementeras genom att vidarebefordra paket till en ogiltig IP-adress , såsom 0.0.0.0, eller en loopback-adress ( localhost ).
Noll routing har en fördel jämfört med klassiska brandväggar , eftersom den är tillgänglig på alla potentiella nätverksroutrar (inklusive alla moderna operativsystem) och har liten eller ingen prestandapåverkan. På grund av egenskaperna hos routrar med hög bandbredd kan noll-routing ofta stödja högre genomströmning än konventionella brandväggar. Av denna anledning används ofta nollrutter på högpresterande kärnroutrar för att mildra storskaliga överbelastningsattacker innan paket når flaskhalsen , och på så sätt undvika förlust av säkerheter. från DDoS-attacker - trots att målet för attacken kommer att vara otillgänglig för alla. Det svarta hålet kan också användas av angripare på komprometterade routrar för att filtrera trafik som riktas till en specifik adress.
Routing fungerar vanligtvis bara på Internet Protocol (IP) lagret och är mycket begränsad i paketklassificering. Klassificeringen är vanligtvis begränsad till IP-adressprefixet ( Classless Addressing ) för destinationen, källans IP-adress (IP-adress) och det inkommande nätverksgränssnittet ( NIC ).
Huvudartikel : DNSBL
En DNS-baserad Blackhole List eller Realtime Blackhole List är en lista över IP-adresser publicerade via Internet Domain Name System ( DNS ) eller som en filzon som kan användas av serverprogramvara DNS , eller i form av en "live" DNS zon, som kan nås i realtid. DNSBL:er används oftast för att publicera dator- eller nätverksadresser associerade med skräppost . De flesta e-postservrar kan konfigureras för att avvisa eller flagga meddelanden som skickas från en webbplats som är listad på en eller flera av dessa listor.
DNSBL är en mjukvarumekanism, inte en specifik lista. Det finns dussintals DNSBLs [5] som använder ett brett spektrum av kriterier för listning och borttagning av adresser. De kan inkludera en lista över adresser till zombiedatorer eller andra datorer som används för att skicka skräppost, såväl som listor över adresser till internetleverantörer som är villiga att skicka skräppost , eller en lista över adresser som skickade spam till honeypot- systemet .
Sedan skapandet av den första DNSBL 1997, har åtgärderna och policyerna för denna programstruktur ofta varit kontroversiella [6] [7] , både i online- försvar och ibland i rättstvister. Många operatörer och användare av e-postsystem [8] anser att DNSBL är ett värdefullt verktyg för att dela information om källorna till spam, men andra, inklusive några välkända internetaktivister, motsätter sig dem som en form av censur [9] [10] [ 11] [12] . Dessutom har vissa DNSBL- operatörer varit föremål för stämningar som lämnats in av spammare som har för avsikt att helt stänga av listorna [13] .
Huvudartikel : MTU-forskning
Vissa brandväggar släpper felaktigt alla ICMP- paket, inklusive de som behövs för att korrekt bestämma MTU (maximal transmission unit) för sökvägen. Detta gör att TCP- anslutningar hänger över värdar med lägre MTU:er .
En svarthåls e- postadress [14] är en e-postadress som är giltig (meddelanden som skickas till den kommer inte att resultera i fel), men där alla meddelanden som skickas till den raderas automatiskt, aldrig sparas och kan inte ses av människor. Dessa adresser används ofta som returadresser för automatiska e-postmeddelanden.
En packet drop attack är en denial of service attack där en router som ska vidarebefordra paket istället tappar dem. Detta händer vanligtvis på grund av en komprometterad router av ett antal anledningar. En av de som nämns är en överbelastningsattack på en router med ett välkänt DDoS -verktyg . Eftersom paket vanligtvis helt enkelt släpps på skadliga routrar är en sådan attack mycket svår att upptäcka och förhindra.
En skadlig router kan också utföra denna attack selektivt, som att tappa paket för en specifik nätverksdestination, vid specifika tider på dagen, tappa vart n:e paket eller var t sekund, eller en slumpmässigt vald del av paketen. Om en skadlig router försöker släppa alla inkommande paket kan attacken upptäckas ganska snabbt med vanliga nätverksverktyg som traceroute. Dessutom, när andra routrar märker att en skadlig router släpper all trafik, kommer de vanligtvis att börja ta bort den routern från sina vidarekopplingstabeller, och så småningom kommer ingen trafik att dirigeras till attacken. Men om en skadlig router börjar tappa paket inom en viss tidsperiod eller vart n paket, är det ofta svårare att upptäcka eftersom viss trafik fortfarande flyter genom nätverket.
En packet drop-attack kan ofta användas för att attackera ett trådlöst ad-hoc-nätverk . Eftersom trådlösa nätverk har en mycket annorlunda arkitektur än ett typiskt trådbundet nätverk, kan en värd sända att den har den kortaste vägen till sin destination, vilket gör att all trafik dirigeras till den komprometterade värden och låter den släppa paket efter behag. Även i ett ad-hoc-mobilnätverk är värdar särskilt sårbara för gemensamma attacker: när flera värdar hackas kan de störa den korrekta driften av andra värdar på nätverket [15] [16] [17] .