DDoS 黑洞路由/过滤(有时称为黑孔)是缓解 DDoS 攻击的一种对策,网络流量将被路由到“黑洞”中并且丢失。如果在没有特定限制条件下实施黑洞过滤,合法和恶意网络流量都会路由到空路由或黑洞中,并从网络中丢弃。当使用 UDP 等无连接协议时,不会将丢弃数据通知返回给源服务器。对于 TCP 等以连接为导向的协议(需要握手才能与目标系统连接),数据丢弃时会返回通知。
对于没有其他手段阻止攻击的组织,黑洞路由是一个广泛可用的选项。这种缓解方法可能会带来严重后果,从而成为缓解 DDoS 攻击的一个不受欢迎的选择。与抗生素同时毁灭好细菌和坏细菌类似,如果部署不当,这种 DDoS 缓解措施将无区别地破坏网络或服务的流量来源。复杂的攻击也会使用可变 IP 地址和攻击向量,这可能会限制这种缓解措施作为破坏攻击的唯一手段的有效性。
在善意流量也受影响时使用黑洞路由有一个关键的后果,攻击者已基本实现了破坏前往目标网络或服务的流量的目标。尽管可能会帮助恶意行为者实现其目标,但当攻击的目标是较大网络中的小型站点时,黑洞路由仍然有用。在这种情况下,对定向到目标站点的流量进行黑洞路由可以防止大型网络遭受攻击的影响。
案例研究:一家巴基斯坦 ISP 如何通过黑洞路由关闭 YouTube
2008 年,YouTube 因为巴基斯坦电信使用黑洞路由而宕机了数小时。在发生这一状况前,巴基斯坦通讯部发出命令,要求在全国范围内屏蔽 YouTube,以回应一段包含描绘先知穆罕默德的荷兰卡通的 YouTube 视频。巴基斯坦政府所有的电信服务部门通过黑洞路由解决方案响应了这些命令,但这些解决方案产生了意外的副作用。
巴基斯坦电信创建了一个黑洞路由,并且广而告之,声称这是任何试图访问 YouTube 网址的人的合法目的地。之后,流量被发送到黑洞路由并且被丢弃。问题是巴基斯坦电信使用 BGP *与全世界的 ISP 共享此路由。因此,巴基斯坦实际上是向全世界的互联网提供商通告,这是 YouTube 流量的正确目的地,然后将所有 YouTube 绑定流量发送到一个黑洞。幸运的是,YouTube 拥有一个非常老练的技术团队,能够在数小时内识别并解决问题,但这个例子显示了使用黑洞路由所带来的严重风险。