Fekete lyukak (számítógépes hálózatok)

A fekete lyukak (blackholes) olyan helyek a hálózatban, ahol a bejövő vagy kimenő forgalom megszakad (elveszett) anélkül, hogy tájékoztatnák a forrást arról, hogy az adatok nem jutottak el a célállomáshoz.

A hálózat topológiájának vizsgálatakor maguk a fekete lyukak láthatatlanok, és csak az elveszett forgalom figyelésével észlelhetők; innen ered a neve.

Halott címek

A fekete lyuk leggyakoribb formája egyszerűen egy olyan gazdaszámítógép által megadott IP-cím , amely nem fut (nem fut), vagy olyan cím, amelyhez nem rendeltek gazdagépet .

Annak ellenére , hogy a TCP/IP lehetőséget biztosít a kézbesítési hiba ICMP - n keresztüli jelentésére az üzenet küldőjének, az ilyen címekre irányuló forgalom gyakran egyszerűen megszakad.

Ne feledje, hogy a holt cím csak olyan protokollok esetében lesz észlelhetetlen, amelyek nem használnak kézfogást és hibajavítást, és eredendően megbízhatatlanok (pl . UDP ). A kapcsolatorientált vagy megbízható protokollok ( TCP , RUDP ) vagy nem tudnak csatlakozni egy halott címhez, vagy nem kapják meg a várt nyugtákat.

Tűzfalak és rejtett portok

A legtöbb otthoni használatra szánt tűzfal és útválasztó beállítható úgy, hogy csendesen (értesítés nélkül) dobja el a tiltott gazdagépeknek vagy portoknak címzett csomagokat. Ez "fekete lyukak" megjelenéséhez vezethet a hálózatban.

Emiatt az ICMP -visszhangkérésekre (" ping ") nem válaszoló személyes tűzfalakat egyes gyártók "lopakozó módban" lévőként azonosították.

Ennek ellenére a legtöbb hálózatban az így konfigurált tűzfallal rendelkező gazdagépek IP-címei könnyen megkülönböztethetők az érvénytelen vagy más módon elérhetetlen IP-címektől : az utóbbi észlelésekor a router az ICMP protokollt használva általában a következőképpen reagál: a gazdagép nem érhető el (host unreachable error ). A belső hálózat szerkezetének elrejtésének hatékonyabb módja általában az otthoni és irodai útválasztókban használt hálózati címfordítás ( NAT ) módszer . [1] [2]

Fekete lyuk szűrés

A null útvonal vagy a fekete lyuk útvonal egy útvonal (bejegyzés az útválasztási táblázatban ) "sehova". Az ezen az útvonalon haladó megfelelő csomagokat a rendszer eldobja (figyelmen kívül hagyja), nem pedig továbbítja, egyfajta nagyon korlátozott tűzfalként működik . A null útvonalak használatának folyamatát gyakran feketelyuk-szűrésnek nevezik.

A fekete lyuk szűrése kifejezetten az útválasztási rétegre dobja a csomagokat, jellemzően egy útválasztási protokollt használva egyszerre több útválasztón való szűréshez . Ez gyakran dinamikusan történik, hogy gyors választ adjon az elosztott szolgáltatásmegtagadási támadásokra .

A Remote Triggered Black Hole Filtering (RTBH) egy olyan technika, amely lehetővé teszi a nem kívánt forgalom eldobását, mielőtt az belépne egy biztonságos hálózatba. [3]  Az Internet Exchange (IX) szolgáltató jellemzően ezzel a technológiával segíti felhasználóit vagy ügyfeleit az ilyen támadások kiszűrésében [4] .

A nulla útvonalak általában speciális útvonaljelzővel vannak konfigurálva , de megvalósíthatók úgy is, hogy a csomagokat érvénytelen IP-címre , például 0.0.0.0-ra vagy visszacsatolási címre ( localhost ) továbbítják.

A nulla útválasztásnak előnye van a klasszikus tűzfalakkal szemben , mivel minden potenciális hálózati útválasztón elérhető (beleértve az összes modern operációs rendszert is), és alig vagy egyáltalán nem befolyásolja a teljesítményt. A nagy sávszélességű útválasztók jellemzői miatt a null-routing gyakran nagyobb átviteli sebességet támogat, mint a hagyományos tűzfalak. Emiatt a nagy teljesítményű magroutereken gyakran null útvonalakat használnak a nagyszabású szolgáltatásmegtagadási támadások mérséklésére, mielőtt a csomagok elérnék a szűk keresztmetszetet , elkerülve ezzel a járulékos veszteségeket a DDoS támadásokból  – annak ellenére, hogy a támadás célpontja mindenki számára elérhetetlen lesz. A fekete lyukat a feltört útválasztókon támadók is használhatják egy adott címre irányuló forgalom szűrésére.

Az útválasztás általában csak az Internet Protokoll (IP) rétegen működik, és nagyon korlátozott a csomagok osztályozása. Az osztályozás általában a cél IP-cím előtagjára ( Osztály nélküli címzés ), a forrás IP-címére (IP-címre) és a bejövő hálózati interfészre ( NIC ) korlátozódik.

DNSBL (Internet Traffic Control)

Fő cikk  : DNSBL

A DNS-alapú feketelyuk lista vagy a valós idejű feketelyuk lista IP-címek listája az Internet Domain Name System-en ( DNS ) vagy fájlzónaként közzétett listája, amelyet a DNS szerverszoftver használhat , vagy "élő" DNS formájában. zóna, amely valós időben elérhető. A DNSBL -eket leggyakrabban a levélszeméttel társított számítógép- vagy hálózati címek közzétételére használják . A legtöbb levelezőszerver beállítható úgy, hogy elutasítsa vagy megjelölje a listák közül egy vagy több webhelyről küldött üzeneteket.

A DNSBL  egy szoftvermechanizmus, nem egy konkrét lista. Tucatnyi DNSBL [5] létezik, amelyek a kritériumok széles skáláját alkalmazzák a címek listázásához és eltávolításához. Tartalmazhatják zombiszámítógépek vagy spam küldésére használt egyéb számítógépek címeinek listáját, valamint azon internetszolgáltatók címeinek listáját , amelyek hajlandóak spamet küldeni , vagy azoknak a címeknek a listáját, amelyek spamet küldtek a honeypot rendszerbe .

Az első DNSBL 1997-es létrehozása óta ennek a programstruktúrának az intézkedései és irányelvei gyakran ellentmondásosak [6] [7] , mind az online érdekképviselet , mind pedig néha a peres eljárások során. Az e-mail rendszerek sok üzemeltetője és felhasználója [8] a DNSBL -t értékes eszköznek tartja a spam forrásairól szóló információk megosztására, de mások, köztük néhány jól ismert internetes aktivista, a cenzúra egy formájaként ellenzik őket [9] [10] [ 11] [12] . Ezen túlmenően, egyes DNSBL -üzemeltetők a listák teljes leállítására irányuló kéretlen levelezők által indított perek célpontjai voltak [13] .

PMTUD fekete lyukak

Fő cikk  : MTU kutatás

Egyes tűzfalak helytelenül dobják el az összes ICMP -csomagot, beleértve azokat is, amelyek az útvonal MTU-jának (maximális átviteli egységének) helyes meghatározásához szükségesek . Ez azt okozza , hogy a TCP -kapcsolatok lefagynak az alacsonyabb MTU -val rendelkező gazdagépeken .

Fekete lyuk e-mail címek

A blackhole e- mail cím [14] egy olyan e-mail cím, amely érvényes (a rá küldött üzenetek nem okoznak hibát), de amelyen a rá küldött üzenetek automatikusan törlődnek, soha nem kerülnek mentésre, és az emberek nem láthatják. Ezeket a címeket gyakran használják visszaküldési címként automatizált e-mailekhez.

Packet drop attack (blackhole attack)

A csomageldobási támadás olyan szolgáltatásmegtagadási támadás , amelynek során a csomagokat továbbító útválasztó eldobja azokat. Ez általában több okból is feltört útválasztó miatt történik. Az egyik említett egy szolgáltatásmegtagadási támadás egy útválasztó ellen egy jól ismert DDoS eszköz segítségével . Mivel a csomagokat általában egyszerűen eldobják a rosszindulatú útválasztókon, egy ilyen támadást nagyon nehéz észlelni és megakadályozni.

Egy rosszindulatú útválasztó szelektíven is végrehajthatja ezt a támadást, például eldobhatja a csomagokat egy adott hálózati célállomáshoz, a nap meghatározott szakaszaiban, minden n- edik csomagot vagy t másodpercenként, vagy a csomagok véletlenszerűen kiválasztott részét. Ha egy rosszindulatú útválasztó megpróbálja eldobni az összes bejövő csomagot, a támadás meglehetősen gyorsan észlelhető olyan általános hálózati eszközökkel, mint a traceroute. Ezenkívül, ha más útválasztók észreveszik, hogy egy rosszindulatú útválasztó megszakítja az összes forgalmat, általában elkezdik eltávolítani az útválasztót a továbbítási tábláikból, és végül nem irányítják a forgalmat a támadásra. Ha azonban egy rosszindulatú útválasztó egy bizonyos időn belül vagy n csomagonként elkezd csomagokat dobni , akkor gyakran nehezebb észlelni, mert a forgalom egy része még mindig áthalad a hálózaton.

A csomagledobási támadás gyakran használható vezeték nélküli ad-hoc hálózat megtámadására . Mivel a vezeték nélküli hálózatok architektúrája lényegesen eltér egy tipikus vezetékes hálózattól, a gazdagép sugározhatja, hogy a legrövidebb út van a célállomásig, így az összes forgalom erre a kompromittált gazdagépre irányul, és lehetővé teszi a csomagok tetszés szerinti eldobását . Egy ad-hoc mobilhálózatban is a gazdagépek különösen ki vannak téve a közös támadásoknak: ha több gépet feltörnek, megzavarhatják a hálózat többi gépének megfelelő működését [15] [16] [17] .

Lásd még

Linkek

  1. Tűzfalak .
  2. NAT .
  3. Fekete lyuk távoli szűrés .
  4. https://www.hkix.net/hkix/anti-ddos.htm
  5. Spam Linkek – dns és rhs feketelyuk listák . web.archive.org (2013. március 21.).
  6. RFC 6471 – A legjobb e-mail DNS-alapú lista (DNSBL) áttekintése (RFC6471) . www.faqs.org .
  7. https://web.archive.org/web/20170904100928/http://www.rblmon.com/blog/what-ar
  8. https://static.usenix.org/event/sruti06/tech/full_papers/ramachandran/ramachandran  (lefelé mutató link)
  9. RBL-kritika | A visszaélésellenes projekt . www.anti-abuse.org (2008. február 11.).
  10. Közérdekű bejegyzés a levélszemétről: Védje meg az ártatlan felhasználókat . www.eff.org (2012. január 12.).
  11. Poulsen, Kevin Verio megzavarja az EFF alapítóját a spam miatt . www.theregister.com .
  12. Hiawatha Bray. A spam választása a cenzúra helyett (2003. április 21.). Letöltve: 2022. április 14. Az eredetiből archiválva : 2003. április 21..
  13. Az EMarketersAmerica.org bepereli a spamellenes csoportokat . www.linxnet.com .
  14. [1]  (lefelé irányuló kapcsolat)
  15. Védelem az együttműködésen alapuló csomageltávolító támadások ellen .
  16. https://cse.buffalo.edu/srds2009/dncms2009_submission_Wang.pdf
  17. Yasin, Adwan; Abu Zant, Mahmoud (2018. szeptember 6.). „Fekete lyuk támadások észlelése és elkülönítése a MANET-ben időzítő alapú csali technikával” . Vezeték nélküli kommunikáció és mobil számítástechnika . 2018 : e9812135. DOI : 10.1155/2018/9812135 .

Irodalom