Sorte huller (sorte huller) er steder i netværket, hvor indgående eller udgående trafik falder (tabt) uden at informere kilden om, at dataene ikke nåede frem til destinationen.
Når man inspicerer et netværks topologi , er sorte huller selv usynlige og kan kun detekteres ved at overvåge tabt trafik; deraf navnet.
Den mest almindelige form for et sort hul er simpelthen en IP-adresse givet af en værtscomputer , der ikke kører (ikke kører), eller en adresse, der ikke er blevet tildelt en vært .
Selvom TCP/IP giver mulighed for at rapportere en leveringsfejl til afsenderen af en meddelelse via ICMP , bliver trafik bestemt til sådanne adresser ofte simpelthen droppet.
Bemærk, at en død adresse kun vil være uopdagelig for protokoller, der ikke bruger håndtryk og fejlkorrektion, og som i sagens natur er upålidelige (f.eks . UDP ). Forbindelsesorienterede eller pålidelige protokoller ( TCP , RUDP ) vil enten ikke oprette forbindelse til en død adresse eller ikke modtage forventede bekræftelser.
De fleste firewalls og routere til hjemmebrug kan konfigureres til lydløst (uden meddelelse) at slippe pakker adresseret til forbudte værter eller porte. Dette kan føre til udseendet af "sorte huller" i netværket.
Derfor er personlige firewalls , der ikke reagerer på ICMP ekko-anmodninger (" ping "), blevet identificeret af nogle leverandører som værende i "stealth mode".
Men på trods af dette, i de fleste netværk, er IP-adresserne på værter med firewalls konfigureret på denne måde nemme at skelne fra ugyldige eller på anden måde utilgængelige IP-adresser : når sidstnævnte detekteres, reagerer routeren, ved hjælp af ICMP -protokollen , normalt som følger: værten er utilgængelig ( værten ikke kan nås fejl ). En mere effektiv måde at skjule strukturen af et internt netværk på er normalt Network Address Translation ( NAT )-metoden, der bruges i hjemme- og kontorroutere . [1] [2]
En nul-rute eller en sort hul-rute er en rute (en indtastning i rutetabellen ) "til ingen steder". Passende pakker, der rejser denne rute, droppes (ignoreres) snarere end videresendes, hvilket fungerer som en slags meget begrænset firewall . Processen med at bruge nulstier omtales ofte som sorthulsfiltrering.
Sort hul-filtrering dropper pakker specifikt på routinglaget, typisk ved hjælp af en routingprotokol til at implementere filtrering på flere routere på én gang . Dette gøres ofte dynamisk for at give et hurtigt svar på distribuerede denial-of-service-angreb .
Remote Triggered Black Hole Filtering (RTBH) er en teknik, der giver dig mulighed for at kassere uønsket trafik, før den kommer ind i et sikkert netværk. [3] Internet Exchange (IX)-udbyderen bruger typisk denne teknologi til at hjælpe sine brugere eller kunder med at filtrere et sådant angreb fra [4] .
Null-ruter er normalt konfigureret med et specielt ruteflag , men kan også implementeres ved at videresende pakker til en ugyldig IP-adresse , såsom 0.0.0.0, eller en loopback-adresse ( localhost ).
Nul routing har en fordel i forhold til klassiske firewalls , da den er tilgængelig på alle potentielle netværksroutere (inklusive alle moderne operativsystemer) og har ringe eller ingen effekt på ydeevnen. På grund af egenskaberne ved routere med høj båndbredde kan nul-routing ofte understøtte højere gennemløb end konventionelle firewalls. Af denne grund bruges null-ruter ofte på højtydende kerneroutere for at afbøde storstilede denial-of-service-angreb, før pakker når flaskehalsen , og dermed undgå tab af sikkerhedsstillelse fra DDoS-angreb - på trods af at målet for angrebet vil være utilgængelig for alle. Det sorte hul kan også bruges af angribere på kompromitterede routere til at filtrere trafik dirigeret til en bestemt adresse.
Routing fungerer normalt kun på Internet Protocol (IP) laget og er meget begrænset i pakkeklassificering. Typisk er klassifikationen begrænset til IP-adressepræfikset ( Classless Addressing ) for destinationen, kildens IP-adresse (IP-adresse) og det indgående netværksinterface ( NIC ).
Hovedartikel : DNSBL
En DNS-baseret Blackhole List eller Realtime Blackhole List er en liste over IP-adresser udgivet via Internet Domain Name System ( DNS ) eller som en filzone, der kan bruges af serversoftware DNS eller i form af en "live" DNS zone, som kan tilgås i realtid. DNSBL'er bruges oftest til at offentliggøre computer- eller netværksadresser forbundet med spam . De fleste mailservere kan konfigureres til at afvise eller markere meddelelser sendt fra et websted, der er opført på en eller flere af disse lister.
DNSBL er en softwaremekanisme, ikke en specifik liste. Der er snesevis af DNSBL'er [5] , der bruger en bred vifte af kriterier til at opføre og fjerne adresser. De kan omfatte en liste over adresser på zombiecomputere eller andre computere, der bruges til at sende spam, såvel som lister over adresser på internetudbydere , der er villige til at sende spam , eller en liste over adresser, der sendte spam til honeypot -systemet .
Siden oprettelsen af den første DNSBL i 1997 har handlingerne og politikkerne i denne programstruktur ofte været kontroversielle [6] [7] , både i online- fortalervirksomhed og nogle gange i retssager. Mange operatører og brugere af e-mail-systemer [8] betragter DNSBL som et værdifuldt værktøj til at dele information om kilderne til spam, men andre, herunder nogle kendte internetaktivister, modsætter sig dem som en form for censur [9] [10] [ 11] [12] . Derudover har nogle DNSBL- operatører været udsat for retssager anlagt af spammere , som har til hensigt at lukke listerne fuldstændigt ned [13] .
Hovedartikel : MTU-forskning
Nogle firewalls dropper alle ICMP- pakker forkert, inklusive dem, der er nødvendige for korrekt at bestemme MTU'en (maksimal transmissionsenhed) for stien. Dette får TCP- forbindelser til at hænge over værter med lavere MTU'er .
En sorthul e- mail -adresse [14] er en e-mailadresse, der er gyldig (meddelelser sendt til den vil ikke resultere i fejl), men hvor alle meddelelser, der sendes til den, automatisk slettes, aldrig gemmes og ikke kan ses af folk. Disse adresser bruges ofte som returadresser til automatiserede e-mails.
Et packet drop-angreb er et lammelsesangreb , hvor en router, der skal videresende pakker , i stedet dropper dem. Dette sker normalt på grund af en kompromitteret router af en række årsager. En af de nævnte er et denial-of-service-angreb på en router ved hjælp af et velkendt DDoS -værktøj . Da pakker normalt blot droppes på ondsindede routere, er et sådant angreb meget vanskeligt at opdage og forhindre.
En ondsindet router kan også udføre dette angreb selektivt, såsom at droppe pakker til en specifik netværksdestination på bestemte tidspunkter af dagen, droppe hver n'te pakke eller hvert t sekund eller en tilfældigt udvalgt del af pakkerne. Hvis en ondsindet router forsøger at droppe alle indgående pakker, kan angrebet opdages ret hurtigt ved hjælp af almindelige netværksværktøjer såsom traceroute. Når andre routere bemærker, at en ondsindet router dropper al trafik, vil de normalt begynde at fjerne denne router fra deres videresendelsestabeller, og til sidst vil ingen trafik blive dirigeret til angrebet. Men hvis en ondsindet router begynder at droppe pakker inden for et bestemt tidsrum eller hver n pakke, er det ofte sværere at opdage, fordi noget trafik stadig flyder gennem netværket.
Et packet drop-angreb kan ofte bruges til at angribe et trådløst ad-hoc-netværk . Da trådløse netværk har en meget anderledes arkitektur end et typisk kablet netværk, kan en vært udsende, at den har den korteste vej til sin destination, hvilket får al trafik til at blive dirigeret til den kompromitterede vært og tillader den at droppe pakker efter behag. Også i et ad-hoc mobilnetværk er værter særligt sårbare over for fælles angreb: Når flere værter hackes, kan de forstyrre den korrekte drift af andre værter på netværket [15] [16] [17] .