Găurile negre (găuri negre) sunt locuri din rețea în care traficul de intrare sau de ieșire este eliminat (pierdut) fără a informa sursa că datele nu au ajuns la destinație.
Când se inspectează topologia unei rețele , găurile negre în sine sunt invizibile și pot fi detectate numai prin monitorizarea traficului pierdut; de aici și numele.
Cea mai comună formă de gaură neagră este pur și simplu o adresă IP dată de un computer gazdă care nu rulează (nu rulează) sau o adresă căreia nu i-a fost atribuită o gazdă .
Chiar dacă TCP/IP oferă un mijloc de raportare a unui eșec de livrare către expeditorul unui mesaj prin ICMP , traficul destinat unor astfel de adrese este adesea pur și simplu abandonat.
Rețineți că o adresă inactivă va fi nedetectabilă numai pentru protocoalele care nu utilizează handshaking și corectarea erorilor și care sunt în mod inerent nesigure (de exemplu , UDP ). Protocoalele orientate spre conexiune sau fiabile ( TCP , RUDP ) fie nu se vor conecta la o adresă inactivă, fie nu vor primi confirmările așteptate.
Majoritatea firewall -urilor și routerelor pentru uz casnic pot fi configurate pentru a elimina în mod silențios (fără notificare) pachetele adresate gazdelor sau porturi interzise. Acest lucru poate duce la apariția „găurilor negre” în rețea.
Prin urmare, firewall -urile personale care nu răspund la solicitările de eco ICMP (" ping ") au fost identificate de unii furnizori ca fiind în „mod stealth”.
Dar, în ciuda acestui fapt, în majoritatea rețelelor, adresele IP ale gazdelor cu firewall -uri configurate în acest fel sunt ușor de distins de adresele IP invalide sau inaccesibile : atunci când acestea din urmă sunt detectate, routerul, folosind protocolul ICMP , răspunde de obicei după cum urmează: gazda este inaccesabilă (eroare de inaccesibil al gazdei) . O modalitate mai eficientă de a ascunde structura unei rețele interne este de obicei metoda Network Address Translation ( NAT ) utilizată în routerele de acasă și de birou . [1] [2]
O rută nulă sau o rută cu gaură neagră este o rută (o intrare în tabelul de rutare ) „spre nicăieri”. Pachetele adecvate care călătoresc pe această rută sunt abandonate (ignorate) mai degrabă decât redirecționate, acționând ca un fel de firewall foarte limitat . Procesul de utilizare a căilor nule este adesea denumit filtrare a găurilor negre.
Filtrarea cu găuri negre elimină pachetele în mod specific la nivelul de rutare, utilizând de obicei un protocol de rutare pentru a implementa filtrarea pe mai multe routere simultan . Acest lucru se face adesea în mod dinamic pentru a oferi un răspuns rapid la atacurile distribuite de refuzare a serviciului .
Remote Triggered Black Hole Filtering (RTBH) este o tehnică care vă permite să eliminați traficul nedorit înainte ca acesta să intre într-o rețea securizată. [3] Furnizorul Internet Exchange (IX) utilizează de obicei această tehnologie pentru a-și ajuta utilizatorii sau clienții să filtreze un astfel de atac [4] .
Rutele nule sunt de obicei configurate cu un indicator de rută special , dar pot fi implementate și prin redirecționarea pachetelor către o adresă IP nevalidă , cum ar fi 0.0.0.0, sau o adresă de loopback ( localhost ).
Rutarea zero are un avantaj față de firewall -urile clasice , deoarece este disponibilă pe orice potențial router de rețea (inclusiv toate sistemele de operare moderne) și are un impact redus sau deloc asupra performanței. Datorită caracteristicilor routerelor cu lățime de bandă mare, rutarea nulă poate suporta adesea un randament mai mare decât firewall-urile convenționale. Din acest motiv, rutele nule sunt adesea folosite pe routerele de bază de înaltă performanță pentru a atenua atacurile de refuz de serviciu pe scară largă înainte ca pachetele să ajungă la blocaj , evitând astfel pierderea colaterală din atacurile DDoS - în ciuda faptului că ținta atacului va fi inaccesibil oricui. Gaura neagră poate fi folosită și de atacatori pe routere compromise pentru a filtra traficul direcționat către o anumită adresă.
Rutarea funcționează de obicei doar la nivelul IP (Internet Protocol) și este foarte limitată în clasificarea pachetelor. De obicei, clasificarea este limitată la prefixul adresei IP ( Classless Addressing ) al destinației, adresa IP sursă (adresa IP) și interfața de rețea de intrare ( NIC ).
Articolul principal : DNSBL
O listă de găuri negre bazată pe DNS sau o listă de găuri negre în timp real este o listă de adrese IP publicate prin Internet Domain Name System ( DNS ) sau ca zonă de fișiere care poate fi utilizată de software-ul serverului DNS sau sub forma unui DNS „în direct” zonă, care poate fi accesată în timp real. DNSBL-urile sunt cel mai frecvent utilizate pentru a publica adrese de computer sau de rețea asociate cu spam . Majoritatea serverelor de e-mail pot fi configurate pentru a respinge sau semnaliza mesajele trimise de pe un site listat pe una sau mai multe dintre aceste liste.
DNSBL este un mecanism software, nu o listă specifică. Există zeci de DNSBL -uri [5] care utilizează o gamă largă de criterii pentru listarea și eliminarea adreselor. Acestea pot include o listă de adrese ale calculatoarelor zombie sau ale altor computere utilizate pentru a trimite spam, precum și liste cu adrese ale furnizorilor de servicii de internet care sunt dispuși să posteze spam sau o listă de adrese care au trimis spam către sistemul honeypot .
De la crearea primului DNSBL în 1997, acțiunile și politicile acestei structuri de program au fost adesea controversate [6] [7] , atât în advocacy online, cât și uneori în litigii. Mulți operatori și utilizatori ai sistemelor de e-mail [8] consideră DNSBL un instrument valoros pentru partajarea informațiilor despre sursele de spam, dar alții, inclusiv câțiva activiști cunoscuți pe internet, le opun ca o formă de cenzură [9] [10] [ 11] [12 ] . În plus, unii operatori DNSBL au fost ținta proceselor intentate de spammeri care intenționează să închidă complet listele [13] .
Articolul principal : cercetare MTU
Unele firewall-uri elimină în mod incorect toate pachetele ICMP , inclusiv cele necesare pentru a determina corect MTU (unitatea de transmisie maximă) a căii. Acest lucru face ca conexiunile TCP să atârne peste gazde cu MTU mai mici .
O adresă de e- mail neagră [14] este o adresă de e-mail care este validă (mesajele trimise către aceasta nu vor avea ca rezultat erori), dar pe care toate mesajele trimise către ea sunt șterse automat, nu sunt niciodată salvate și nu pot fi văzute de oameni. Aceste adrese sunt adesea folosite ca adrese de retur pentru e-mailurile automate.
Un atac de pierdere a pachetelor este un atac de tip denial of service în care un router care ar trebui să transmită pachete le elimină . Acest lucru se întâmplă de obicei din cauza unui router compromis din mai multe motive. Unul dintre cele menționate este un atac de tip denial-of-service asupra unui router care utilizează un instrument DDoS binecunoscut . Deoarece pachetele sunt de obicei aruncate pur și simplu pe routerele rău intenționate, un astfel de atac este foarte greu de detectat și prevenit.
Un router rău intenționat poate, de asemenea, să efectueze acest atac selectiv, cum ar fi eliminarea pachetelor pentru o anumită destinație de rețea, în anumite momente ale zilei, eliminarea fiecărui al n-lea pachet sau la fiecare t secunde sau o porțiune aleasă aleatoriu a pachetelor. Dacă un router rău intenționat încearcă să arunce toate pachetele primite, atacul poate fi detectat destul de rapid folosind instrumente comune de rețea, cum ar fi traceroute. De asemenea, atunci când alte routere observă că un router rău intenționat pierde tot traficul, de obicei vor începe să elimine acel router din tabelele lor de redirecționare și, în cele din urmă, niciun trafic nu va fi direcționat către atac. Cu toate acestea, dacă un router rău intenționat începe să arunce pachete într-o anumită perioadă de timp sau la fiecare n pachete, este adesea mai greu de detectat, deoarece o parte din trafic continuă să circule prin rețea.
Un atac de pierdere de pachete poate fi adesea folosit pentru a ataca o rețea ad-hoc wireless . Deoarece rețelele fără fir au o arhitectură mult diferită de o rețea cu fir tipică, o gazdă poate transmite că are cea mai scurtă cale către destinație, ceea ce face ca tot traficul să fie direcționat către acea gazdă compromisă și permițându-i să renunțe la pachete după bunul plac. De asemenea, într-o rețea mobilă ad-hoc, gazdele sunt deosebit de vulnerabile la atacuri comune: atunci când mai multe gazde sunt sparte, acestea pot perturba funcționarea corectă a altor gazde din rețea [15] [16] [17] .