Чёрные дыры (компьютерные сети)

Черные дыры (blackholes) — это места в сети, где входящий или исходящий трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.

При проверке топологии сети сами черные дыры невидимы и могут быть обнаружены только путем мониторинга потерянного трафика; отсюда и название.

Мертвые адреса

Наиболее распространенная форма черной дыры — это просто IP-адрес, указываемый хост-компьютером, который не запущен (не работает), или адрес, которому не был назначен хост.

Несмотря на то, что TCP / IP предоставляет средства сообщения об ошибке доставки отправителю сообщения через ICMP, трафик, предназначенный для таких адресов, часто просто отбрасывается.

Отметим, что мертвый адрес будет не обнаружим только для протоколов, которые не используют подтверждение соединения и исправление ошибок и по сути являются ненадежными (например, UDP). Ориентированные на соединение или надежные протоколы (TCP, RUDP) либо не смогут подключиться к мертвому адресу, либо не получат ожидаемых подтверждений.

Межсетевые экраны и скрытые порты

Большинство брандмауэров и маршрутизаторов для домашнего использования можно настроить так, чтобы они молча (без уведомлений) отбрасывали пакеты, адресованные запрещенным хостам или портам. Это может привести к появлению «черных дыр» в сети.

Поэтому, личные брандмауэры, не отвечающие на эхо-запросы ICMP («ping»), были определены некоторыми поставщиками как находящиеся в «скрытом режиме» (stealth mode).

Но несмотря на это, в большинстве сетей IP-адреса узлов с настроенными таким образом межсетевыми экранами легко отличить от недействительных или иным образом недоступных IP-адресов: при обнаружении последних маршрутизатор, используя протокол ICMP, обычно отвечает следующим образом : хост недоступен (host unreachable error). Более эффективным способом скрыть структуру внутренней сети, как правило, является метод трансляции сетевых адресов (NAT), используемый в домашних и офисных маршрутизаторах.^[1][2]

Фильтрация черной дыры

Нулевой маршрут (null route) или маршрут черной дыры (black hole route) представляет собой маршрут (запись в таблицу маршрутизации), «в никуда». Соответствующие пакеты, идущие по этому маршруту, отбрасываются (игнорируются), а не пересылаются, действуя как своего рода очень ограниченный межсетевой экран. Процесс использования нулевых маршрутов часто называют фильтрацией черных дыр (blackhole filtering).

Фильтрация черной дыры отбрасывает пакеты конкретно на уровне маршрутизации, обычно используя протокол маршрутизации для реализации фильтрации сразу на нескольких маршрутизаторах. Часто это происходит динамически, для того чтобы обеспечить быстрое реагирование на распределенные атаки типа «отказ в обслуживании» (denial-of-service attacks).

Удаленная фильтрация черной дыры (RTBH — Remote Triggered Black Hole Filtering) — это метод, позволяющий отбрасывать нежелательный трафик до его попадания в защищенную сеть.^[3] Поставщик Internet Exchange (IX) обычно использует эту технологию, чтобы помочь своим пользователям или клиентам отфильтровать такую ​​атаку^[4].

Нулевые маршруты обычно настраиваются с помощью специального флага маршрута, но также могут быть реализованы путем пересылки пакетов на недопустимый IP-адрес, такой как 0.0.0.0, или адрес обратной связи (localhost).

Нулевая маршрутизация имеет преимущество перед классическими брандмауэрами, поскольку она доступна на каждом потенциальном сетевом маршрутизаторе (включая все современные операционные системы) и практически не влияет на производительность. Из-за особенностей маршрутизаторов с высокой пропускной способностью нулевая маршрутизация часто может поддерживать более высокую пропускную способность, чем обычные брандмауэры. По этой причине нулевые маршруты часто используются на высокопроизводительных основных маршрутизаторах (core routers) для уменьшения масштабных атак типа «отказ в обслуживании» (denial-of-service attacks) до того, как пакеты достигнут узкого места (bottleneck), что позволяет избежать сопутствующие потери от DDoS-атак — несмотря на то что цель атаки будет недоступна для всех. Черная дыра также может быть использована злоумышленниками на скомпрометированных маршрутизаторах для фильтрации трафика, направленного на определенный адрес.

Маршрутизация обычно работает только на уровне интернет-протокола (IP) и очень ограничена в классификации пакетов. Как правило, классификация ограничивается префиксом IP-адреса (Бесклассовая адресация) назначения, исходным IP-адресом (IP address) и входящим сетевым интерфейсом (cетевая плата).

DNSBL (управление интернет-трафиком)

Основная статья : DNSBL

Черный список на основе DNS (DNS Blackhole List) или черный список в реальном времени (Realtime Blackhole List) — это список IP-адресов, опубликованных через систему доменных имен Интернета (DNS), либо в виде файловой зоны, которая может использоваться программным обеспечением сервера DNS, либо в виде «живой» DNS-зоны, к которой можно обращаться в режиме реального времени. DNSBL чаще всего используются для публикации адресов компьютеров или сетей, связанных со спамом. Большинство почтовый сервер могут быть настроены на отклонение или пометку сообщений, отправленных с сайта, указанного в одном или нескольких таких списках.

DNSBL — это программный механизм, а не конкретный список. Существуют десятки DNSBL^[5], которые используют широкий спектр критериев для перечисления и исключения из списка адресов. Они могут включать в себя список адресов компьютеров-зомби или других компьютеров, используемых для отправки спама, а также списки адресов интернет-провайдеров, которые охотно размещают спам, или список адресов, которые отправили спам в систему honeypot.

Со времени создания первого DNSBL в 1997 году действия и политика этой программной структуры зачастую были противоречивы^[6][7], как в сфере адвокации в Интернете, так и порой в судебных процессах. Многие операторы и пользователи систем электронной почты^[8] считают DNSBL ценным инструментом для обмена информацией об источниках спама, но другие, в том числе некоторые известные интернет-активисты, выступают против них как формы цензуры^{[9][10][11][12]}. Кроме того, некоторые операторы DNSBL стали целью судебных исков, поданных спаммерами, намеревающимися полностью закрыть списки^[13].

PMTUD черные дыры

Основная статья : MTU исследования

Некоторые брандмауэры некорректно отбрасывают все ICMP-пакеты, в том числе те, которые необходимы для корректного определения MTU (maximum transmission unit) пути. Это приводит к зависанию TCP-соединений через хосты с более низким MTU.

Адреса электронной почты черной дыры

Адрес электронной почты черной дыры^[14] (blackhole e-mail address) — это адрес электронной почты, который является действительным (отправленные на него сообщения не приведут к ошибкам), но на котором все отправленные на него сообщения автоматически удаляются, никогда не сохраняются и не могут быть увиденными людьми. Эти адреса часто используются в качестве адресов возврата для автоматических электронных писем.

Атака сброса пакетов (blackhole attack)

Атака сброса пакетов является атакой типа «отказа в обслуживании», в которой маршрутизатор, который должен ретранслировать пакеты вместо этого отбрасывает их. Обычно это происходит из-за компрометации маршрутизатора по ряду причин. Одной из упомянутых является атака типа «отказ в обслуживании» на маршрутизатор с использованием известного инструмента DDoS. Поскольку пакеты на вредоносных маршрутизаторах обычно просто отбрасываются, такую атаку очень сложно обнаружить и предотвратить.

Вредоносный маршрутизатор также может выполнять эту атаку выборочно, например, отбрасывая пакеты для определенного сетевого назначения, в определенное время дня, отбрасывать каждый n-ый пакет или через каждые t секунд, или случайно выбранную часть пакетов. Если вредоносный маршрутизатор пытается отбросить все входящие пакеты, атака может быть обнаружена довольно быстро с помощью обычных сетевых инструментов, таких как traceroute. Кроме того, когда другие маршрутизаторы замечают, что вредоносный маршрутизатор отбрасывает весь трафик, они обычно начинают удалять этот маршрутизатор из своих таблиц пересылки, и в конечном итоге трафик не будет направляться на атаку. Однако, если вредоносный маршрутизатор начинает отбрасывать пакеты в определенный период времени или через каждые n пакетов, его часто бывает труднее обнаружить, поскольку некоторый трафик все еще течет через сеть.

Атака сброса пакетов может часто использоваться для атаки на Беспроводная ad-hoc-сеть. Поскольку беспроводные сети имеют архитектуру, значительно отличающуюся от архитектуры типичной проводной сети, хост может транслировать, что у него самый короткий путь к месту назначения, из-за чего весь трафик будет направлен на этот скомпрометированный хост, и он сможет отбрасывать пакеты по желанию. Также в мобильной сети ad-hoc хосты особенно уязвимы для совместных атак : когда несколько хостов будут взломаны они смогут нарушать корректную работу других хостов в сети^[15][16][17].

См. также

• DDos
• Фоновый шум интернета
• Блокировка IP

Ссылки

1. Межсетевые экраны.
2. NAT.
3. Удаленная фильтрация черной дыры.
4. Источник  (неопр.). Дата обращения: 20 декабря 2019. Архивировано 18 декабря 2019 года.
5. Spam Links - dns & rhs blackhole lists  (неопр.). web.archive.org (21 марта 2013). Дата обращения: 20 декабря 2019. Архивировано из оригинала 21 марта 2013 года.
6. RFC 6471 - Overview of Best Email DNS-Based List (DNSBL) Operati (RFC6471)  (неопр.). www.faqs.org. Дата обращения: 20 декабря 2019. Архивировано 18 декабря 2019 года.
7. https://web.archive.org/web/20170904100928/http://www.rblmon.com/blog/what-ar
8. https://static.usenix.org/event/sruti06/tech/full_papers/ramachandran/ramachandran (недоступная ссылка)
9. RBL Criticism | The Anti-Abuse Project  (неопр.). www.anti-abuse.org (11 февраля 2008). Дата обращения: 20 декабря 2019. Архивировано 22 июня 2020 года.
10. Public Interest Postion on Junk Email: Protect Innocent Users  (неопр.). www.eff.org (12 января 2012). Дата обращения: 20 декабря 2019. Архивировано 20 марта 2020 года.
11. Poulsen, Kevin Verio gags EFF founder over spam  (неопр.). www.theregister.com. Дата обращения: 24 марта 2022. Архивировано 24 марта 2022 года.
12. Hiawatha Bray. Choosing spam over censorship  (неопр.) (21 апреля 2003). Дата обращения: 14 апреля 2022. Архивировано 21 апреля 2003 года.
13. EMarketersAmerica.org sues anti-spam groups  (неопр.). www.linxnet.com. Дата обращения: 20 декабря 2019. Архивировано 27 декабря 2019 года.
14. [1]  (недоступная ссылка)
15. Защита от совместных атак с удалением пакетов.
16. Источник  (неопр.). Дата обращения: 20 декабря 2019. Архивировано 17 апреля 2022 года.
17. Yasin, Adwan; Abu Zant, Mahmoud (6 сентября 2018). "Detecting and Isolating Black-Hole Attacks in MANET Using Timer Based Baited Technique". Wireless Communications and Mobile Computing. 2018: e9812135. doi:10.1155/2018/9812135. Архивировано 16 декабря 2019. Дата обращения: 20 декабря 2019.

Литература

• Anirudh Ramachandran, Nick Feamster and David Dagon. Revealing Botnet Membership Using DNSBL Counter-Intelligence. — College of Computing Georgia Institute of Technology. — С. 49-54.
• Remotely triggered black hole filtering – destination based and source based. — Cisco Systems. — С. 1-37.
• Мохаммед Ф.О. Межсетевые экраны. — Белорусский государственный университет информатики и радиоэлектроники. — С. 1-7.
• Андрей Жуков. NAT.