Černé díry (blackholes) jsou místa v síti, kde dochází k výpadkům (ztrátám) příchozího nebo odchozího provozu, aniž by byl zdroj informován, že data nedorazila do cíle.
Při inspekci topologie sítě jsou samotné černé díry neviditelné a lze je detekovat pouze monitorováním ztraceného provozu; odtud název.
Nejběžnější formou černé díry je jednoduše IP adresa přidělená hostitelským počítačem , který neběží (neběží), nebo adresa, které nebyl přidělen hostitel .
I když TCP/IP poskytuje prostředky pro hlášení selhání doručení odesílateli zprávy přes ICMP , provoz určený pro takové adresy je často jednoduše vynechán.
Pamatujte, že mrtvá adresa bude nezjistitelná pouze u protokolů, které nepoužívají handshaking a opravu chyb a jsou ze své podstaty nespolehlivé (např . UDP ). Protokoly orientované na připojení nebo spolehlivé protokoly ( TCP , RUDP ) se buď nepodaří připojit k mrtvé adrese, nebo neobdrží očekávaná potvrzení.
Většinu firewallů a směrovačů pro domácí použití lze nakonfigurovat tak, aby tiše (bez upozornění) zahazovaly pakety adresované zakázaným hostitelům nebo portům. To může vést ke vzniku "černých děr" v síti.
Osobní firewally , které nereagují na požadavky ICMP echo (" ping "), byly proto některými prodejci označeny jako v "skrytém režimu".
Navzdory tomu lze ve většině sítí IP adresy hostitelů s takto nakonfigurovanými firewally snadno odlišit od neplatných nebo jinak nedostupných IP adres : když je detekována druhá, router pomocí protokolu ICMP obvykle odpoví následovně: hostitel je nedostupný (chyba nedostupnosti hostitele ) . Efektivnějším způsobem, jak skrýt strukturu vnitřní sítě, je obvykle metoda NAT (Network Address Translation ) používaná v domácích a kancelářských směrovačích . [1] [2]
Nulová trasa nebo trasa černé díry je trasa (položka ve směrovací tabulce ) „do nikam“. Vhodné pakety putující touto cestou jsou spíše zahazovány (ignorovány) než předávány, což funguje jako druh velmi omezeného firewallu . Proces používání nulových cest se často nazývá filtrování černých děr.
Filtrování černých děr zahazuje pakety specificky na vrstvě směrování, obvykle pomocí směrovacího protokolu k implementaci filtrování na více směrovačích najednou . To se často provádí dynamicky, aby byla zajištěna rychlá odezva na distribuované útoky typu denial-of-service .
Remote Triggered Black Hole Filtering (RTBH) je technika, která vám umožňuje odstranit nežádoucí provoz předtím, než vstoupí do zabezpečené sítě. [3] Poskytovatel Internet Exchange (IX) obvykle používá tuto technologii, aby svým uživatelům nebo zákazníkům pomohl odfiltrovat takový útok [4] .
Nulové trasy jsou obvykle konfigurovány se speciálním příznakem trasy , ale lze je také implementovat přesměrováním paketů na neplatnou IP adresu , jako je 0.0.0.0 nebo adresa zpětné smyčky ( localhost ).
Nulové směrování má oproti klasickým firewallům výhodu , protože je dostupné na každém potenciálním síťovém routeru (včetně všech moderních operačních systémů) a má malý nebo žádný dopad na výkon. Vzhledem k vlastnostem směrovačů s velkou šířkou pásma může nulové směrování často podporovat vyšší propustnost než konvenční firewally. Z tohoto důvodu se na vysoce výkonných směrovačích s jádrem často používají nulové cesty ke zmírnění rozsáhlých útoků denial-of-service předtím, než pakety dosáhnou úzkého místa , čímž se zabrání vedlejším ztrátám z útoků DDoS – navzdory skutečnosti, že cíl útoku bude všem nepřístupná. Černou díru mohou využít i útočníci na kompromitovaných routerech k filtrování provozu směřovaného na konkrétní adresu.
Směrování obvykle funguje pouze na vrstvě internetového protokolu (IP) a je velmi omezené v klasifikaci paketů. Klasifikace je obvykle omezena na předponu IP adresy ( Classless Addressing ) cíle, zdrojovou IP adresu (IP adresu) a příchozí síťové rozhraní ( NIC ).
Hlavní článek : DNSBL
Blackhole List na bázi DNS nebo Realtime Blackhole List je seznam IP adres publikovaný prostřednictvím systému DNS (Internet Domain Name System ) nebo jako souborová zóna, kterou lze použít serverovým softwarem DNS , nebo ve formě „živého“ DNS . zóny, do které lze přistupovat v reálném čase. DNSBL se nejčastěji používají k publikování počítačových nebo síťových adres spojených se spamem . Většinu poštovních serverů lze nakonfigurovat tak, aby odmítaly nebo označovaly zprávy odeslané z webu uvedeného na jednom nebo více z těchto seznamů.
DNSBL je softwarový mechanismus, nikoli konkrétní seznam. Existují desítky DNSBL [5] , které používají širokou škálu kritérií pro výpis a odstranění adres. Mohou zahrnovat seznam adres zombie počítačů nebo jiných počítačů používaných k rozesílání spamu, stejně jako seznamy adres poskytovatelů internetových služeb , kteří jsou ochotni posílat spam , nebo seznam adres, které poslaly spam do systému honeypot .
Od vytvoření prvního DNSBL v roce 1997 byly akce a politiky této programové struktury často kontroverzní [6] [7] , a to jak v online advokacii , tak někdy i v soudních sporech. Mnoho provozovatelů a uživatelů e-mailových systémů [8] považuje DNSBL za cenný nástroj pro sdílení informací o zdrojích spamu, ale jiní, včetně některých známých internetových aktivistů, se proti němu staví jako proti formě cenzury [9] [10] [ 11] [12] . Někteří operátoři DNSBL se navíc stali terčem žalob ze strany spammerů , kteří mají v úmyslu seznamy úplně vypnout [13] .
Hlavní článek : MTU výzkum
Některé firewally nesprávně zahazují všechny ICMP pakety, včetně těch, které jsou potřebné ke správnému určení MTU (maximální přenosová jednotka) cesty. To způsobí , že připojení TCP visí u hostitelů s nižšími MTU .
Blackhole e- mailová adresa [14] je e-mailová adresa, která je platná (zprávy na ni zaslané nebudou mít za následek chyby), ale na které jsou všechny zprávy odeslané na ni automaticky mazány, nikdy se neukládají a lidé je nemohou vidět. Tyto adresy se často používají jako zpáteční adresy pro automatické e-maily.
Útok zahozením paketů je útok odmítnutí služby, při kterém je směrovač, který má předávat pakety , místo toho zahodí . To se obvykle děje kvůli kompromitovanému routeru z mnoha důvodů. Jedním z těch zmíněných je útok denial-of-service na router pomocí známého nástroje DDoS . Protože pakety jsou obvykle jednoduše zahazovány na škodlivých směrovačích, je velmi obtížné takový útok odhalit a zabránit mu.
Škodlivý směrovač může také provést tento útok selektivně, například zahazovat pakety pro konkrétní síťový cíl v určitou denní dobu, zahazovat každý n-tý paket nebo každých t sekund nebo náhodně vybranou část paketů. Pokud se škodlivý router pokusí zahodit všechny příchozí pakety, lze útok poměrně rychle odhalit pomocí běžných síťových nástrojů, jako je traceroute. Také, když si ostatní směrovače všimnou, že škodlivý směrovač zahazuje veškerý provoz, obvykle začnou tento směrovač odstraňovat ze svých předávacích tabulek a nakonec nebude na útok směrován žádný provoz. Pokud však škodlivý směrovač začne zahazovat pakety během určitého časového období nebo každých n paketů, je často obtížnější jej odhalit, protože sítí stále proudí určitý provoz.
Útok zahozením paketů lze často použít k útoku na bezdrátovou síť ad-hoc . Protože bezdrátové sítě mají mnohem odlišnou architekturu než typická kabelová síť, hostitel může vysílat, že má nejkratší cestu ke svému cíli, což způsobí, že veškerý provoz bude směrován na tohoto ohroženého hostitele a umožní mu zahazovat pakety podle libosti. Také v ad-hoc mobilní síti jsou hostitelé obzvláště zranitelní vůči společným útokům: když je hacknuto několik hostitelů, mohou narušit správný provoz ostatních hostitelů v síti [15] [16] [17] .