Черная дыра (сеть)

В сети черная дыра относится к месту в сети, где входящий или исходящий трафик молча отбрасывается (или «отбрасывается»), без уведомления источника о том, что данные не дошли до предполагаемого получателя.

При исследовании топологии сети сами черные дыры невидимы, и их можно обнаружить только путем мониторинга потерянного трафика; отсюда и название «астрономические черные дыры» , которые нельзя наблюдать напрямую.

Мертвые адреса

Самая распространенная форма черной дыры — это просто IP-адрес , указывающий неработающую хост-машину, или адрес, которому не назначен ни один хост.

Несмотря на то, что TCP/IP предоставляет средства сообщения об ошибке доставки обратно отправителю через ICMP , трафик, предназначенный для таких адресов, часто просто отбрасывается.

Обратите внимание, что мертвый адрес будет необнаружим только для протоколов, которые не требуют установления соединения и ненадежны (например, UDP ). Ориентированные на соединение или надежные протоколы (TCP, RUDP ) либо не смогут подключиться к мертвому адресу, либо не смогут получить ожидаемые подтверждения.

Для IPv6 префикс черной дыры — 100:: / 64 . ^[1]

Для IPv4 адрес черной дыры явно не определен, однако зарезервированные IP-адреса могут помочь достичь аналогичного эффекта. Например, 198.51.100.0/24 . зарезервировано для использования в документации и примерах ^[2]; хотя RFC сообщает, что адреса в этом диапазоне не маршрутизируются, это не является обязательным требованием.

Брандмауэры и «скрытые» порты

Большинство межсетевых экранов (и маршрутизаторов для домашнего использования) можно настроить на молчаливое отбрасывание пакетов, адресованных запрещенным хостам или портам, что приводит к образованию маленьких или больших «черных дыр» в сети.

персональные брандмауэры , которые не отвечают на эхо-запросы ICMP («пинг»). Некоторые поставщики назначают ^[3] как находящийся в «скрытом режиме».

Несмотря на это, в большинстве сетей IP-адреса хостов с настроенными таким образом межсетевыми экранами легко отличить от недействительных или недоступных по иным причинам IP-адресов: при обнаружении последних маршрутизатор обычно отвечает сетевым rsp ICMP. ошибка недостижимости хоста. Трансляция сетевых адресов (NAT), используемая в домашних и офисных маршрутизаторах, обычно является более эффективным способом скрыть структуру внутренней сети. ^{[ нужна ссылка ]}

Фильтрация черных дыр

Нулевой маршрут или маршрут «черной дыры» — это сетевой маршрут ( запись таблицы маршрутизации ), который никуда не ведет. Соответствующие пакеты отбрасываются (игнорируются), а не пересылаются, действуя как своего рода очень ограниченный брандмауэр . Использование нулевых маршрутов часто называют фильтрацией черных дыр . Оставшаяся часть этой статьи посвящена нулевой маршрутизации в Интернет-протоколе (IP).

Фильтрация «черной дыры» относится конкретно к отбрасыванию пакетов на уровне маршрутизации, обычно с использованием протокола маршрутизации для реализации фильтрации на нескольких маршрутизаторах одновременно, часто динамически для быстрого реагирования на распределенные атаки типа «отказ в обслуживании» .

Удаленная фильтрация черных дыр (RTBH) — это метод, который обеспечивает возможность отбрасывать нежелательный трафик до того, как он попадет в защищенную сеть. ^[4] Поставщик Internet Exchange (IX) обычно приобретает эту технологию, чтобы помочь своим членам или участникам фильтровать такие атаки. ^[5]

Нулевые маршруты обычно настраиваются со специальным флагом маршрута; например, стандартная iproute2 команда ip route позволяет устанавливать типы маршрутов unreachable, blackhole, prohibit которые отбрасывают пакеты. Альтернативно, нулевой маршрут может быть реализован путем пересылки пакетов на незаконный IP-адрес, например 0.0.0.0 , или адрес обратной связи .

Нулевая маршрутизация имеет преимущество перед классическими межсетевыми экранами, поскольку она доступна на каждом потенциальном сетевом маршрутизаторе (включая все современные операционные системы) и практически не влияет на производительность. Из-за особенностей маршрутизаторов с высокой пропускной способностью нулевая маршрутизация часто обеспечивает более высокую пропускную способность, чем обычные межсетевые экраны. По этой причине нулевые маршруты часто используются на высокопроизводительных основных маршрутизаторах для смягчения крупномасштабных атак типа «отказ в обслуживании» до того, как пакеты достигнут узкого места , что позволяет избежать побочного ущерба от DDoS-атак, хотя цель атаки будет недоступна. кому угодно. Фильтрация Blackhole также может быть использована злоумышленниками на взломанных маршрутизаторах для фильтрации трафика, направляемого на определенный адрес.

Маршрутизация обычно работает только на уровне интернет-протокола и очень ограничена в классификации пакетов. Он обязательно будет без сохранения состояния из-за особенностей IP-маршрутизаторов. Обычно классификация ограничивается префиксом IP-адреса назначения , IP-адресом источника и входящим сетевым интерфейсом .

Черный список на основе DNS

Черный список на основе DNS ( DNSBL ) или список черных дыр в реальном времени ( RBL ) — это список IP-адресов, Интернета опубликованный через систему доменных имен (DNS) либо в виде файла зоны, который может использоваться программным обеспечением DNS-сервера, либо в виде файла зоны, который может использоваться программным обеспечением DNS-сервера. действующая зона DNS, к которой можно запрашивать в режиме реального времени. DNSBL чаще всего используются для публикации адресов компьютеров или сетей, связанных с рассылкой спама ; большинство программного обеспечения почтового сервера можно настроить на отклонение или пометку сообщений, отправленных с сайта, указанного в одном или нескольких таких списках. Термин «черный список» иногда путают с терминами «черный список» и «черный список».

DNSBL — это программный механизм, а не конкретный список или политика. Существуют десятки DNSBL, ^[6] которые используют широкий набор критериев для включения и исключения адресов. Они могут включать в себя список адресов компьютеров-зомби или других машин, используемых для рассылки спама, список адресов интернет-провайдеров , которые охотно размещают спамеров, или список адресов, которые отправляли спам в систему- ловушку .

С момента создания первой DNSBL в 1997 году работа и политика этих списков часто вызывали споры. ^[7]^[8] как в интернет- пропаганде , так и иногда в судебных процессах . Многие операторы и пользователи систем электронной почты ^[9] считают DNSBL ценным инструментом для обмена информацией об источниках спама, но другие, в том числе некоторые известные интернет-активисты, возражают против них, считая их формой цензуры. ^[10]^[11]^[12]^[13] Кроме того, небольшое количество операторов DNSBL стали объектом судебных исков со стороны спамеров, требующих полного закрытия списков. ^[14]

Черные дыры PMTUD

Некоторые межсетевые экраны неправильно отбрасывают все пакеты ICMP, включая те, которые необходимы для определения Path MTU правильной работы TCP-соединений от/к/через хосты с меньшим MTU . Это приводит к зависанию .

Адреса электронной почты «черной дыры»

Черная дыра ^[15] Адрес электронной почты — это действующий адрес электронной почты (сообщения, отправленные на него, не будут генерировать ошибки), но все полученные сообщения автоматически удаляются и никогда не сохраняются и не просматриваются людьми. Эти адреса часто используются в качестве обратных адресов для автоматических электронных писем.

См. также

Ссылки

^ Н. Хиллиард; Д. Фридман (август 2012 г.). Префикс сброса для IPv6 . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC6666 . ISSN 2070-1721 . РФК 6666 . Информационный.
^ Дж. Аркко; М. Коттон; Л. Вегода (январь 2010 г.). Блоки адресов IPv4 зарезервированы для документации . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC5737 . ISSN 2070-1721 . РФК 5737 . Информационный. Обновления РФК 1166 .
^ Apple Inc., botXhacker» «О брандмауэре приложений»
^ «Черная дыра» (PDF) . Cisco.com . Проверено 25 июня 2023 г.
^ «ХКИКС» .
^ «Списки черных дыр DNS и RHS» . Архивировано из оригинала 21 марта 2013 года . Проверено 26 марта 2013 г.
^ К. Льюис; М. Сержант (январь 2012 г.). Обзор лучших практик использования списков электронной почты на основе DNS (DNSBL) . Целевая группа по интернет-исследованиям (IRTF). дои : 10.17487/RFC6471 . ISSN 2070-1721 . RFC 6471 . Информационный.
^ «RBLMon.com: Что такое RBL и как они работают?» . Архивировано из оригинала 4 сентября 2017 года . Проверено 26 марта 2013 г.
^ «Раскрытие членства в ботсети с помощью контрразведки DNSBL» (PDF) . Проверено 26 марта 2013 г.
^ «Критика РБЛ» . 11 февраля 2008 года . Проверено 26 марта 2013 г.
^ «Фонд электронных границ, EFFector, Том 14, № 31, 16 октября 2001 г.» . 12 января 2012 года . Проверено 26 марта 2013 г.
^ «Verio затыкает рот основателю EFF из-за спама» . Регистр . Проверено 26 марта 2013 г.
^ «Выбор спама вместо цензуры» . Архивировано из оригинала 21 апреля 2003 года . Проверено 26 марта 2013 г.
^ «EMarketersAmerica.org подает в суд на группы по борьбе со спамом» . Проверено 26 марта 2013 г.
^ Документ спецификации интернет-мейлера Exim, маршрутизатор перенаправления.

Внешние ссылки

[rfc6666-1] Н. Хиллиард; Д. Фридман (август 2012 г.). Префикс сброса для IPv6 . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC6666 . ISSN 2070-1721 . РФК 6666 . Информационный.

[rfc5737-2] Дж. Аркко; М. Коттон; Л. Вегода (январь 2010 г.). Блоки адресов IPv4 зарезервированы для документации . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC5737 . ISSN 2070-1721 . РФК 5737 . Информационный. Обновления РФК 1166 .

[3] Apple Inc., botXhacker» «О брандмауэре приложений»

[4] «Черная дыра» (PDF) . Cisco.com . Проверено 25 июня 2023 г.

[5] «ХКИКС» .

[6] «Списки черных дыр DNS и RHS» . Архивировано из оригинала 21 марта 2013 года . Проверено 26 марта 2013 г.

[rfc6471-7] К. Льюис; М. Сержант (январь 2012 г.). Обзор лучших практик использования списков электронной почты на основе DNS (DNSBL) . Целевая группа по интернет-исследованиям (IRTF). дои : 10.17487/RFC6471 . ISSN 2070-1721 . RFC 6471 . Информационный.

[8] «RBLMon.com: Что такое RBL и как они работают?» . Архивировано из оригинала 4 сентября 2017 года . Проверено 26 марта 2013 г.

[9] «Раскрытие членства в ботсети с помощью контрразведки DNSBL» (PDF) . Проверено 26 марта 2013 г.

[10] «Критика РБЛ» . 11 февраля 2008 года . Проверено 26 марта 2013 г.

[EFF-Effector-11] «Фонд электронных границ, EFFector, Том 14, № 31, 16 октября 2001 г.» . 12 января 2012 года . Проверено 26 марта 2013 г.

[12] «Verio затыкает рот основателю EFF из-за спама» . Регистр . Проверено 26 марта 2013 г.

[13] «Выбор спама вместо цензуры» . Архивировано из оригинала 21 апреля 2003 года . Проверено 26 марта 2013 г.

[14] «EMarketersAmerica.org подает в суд на группы по борьбе со спамом» . Проверено 26 марта 2013 г.

[15] Документ спецификации интернет-мейлера Exim, маршрутизатор перенаправления.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]