ブラックホールルーティングとは

リモート・トリガー・ブラックホール（RTBH）ルーティング（ブラックホーリングとも呼ばれる）は、 分散サービス妨害（DDoS）攻撃を緩和するために、インターネット・サービス・プロバイダー（ISP）またはネットワーク管理者が展開する防御策の 1 つです。ブラックホールルーティングは、悪性のトラフィックまたは好ましくないトラフィックを、内部ゲートウェイ・プロトコル・ドメインを介して「ブラックホール」（null0 などの Null インターフェース）にリダイレクトし、そこで永久的に破棄します。DDoS 攻撃が発生した場合、ネットワーク管理者は特定の送信元 IP アドレスからのすべてのトラフィックまたは特定の宛先 IP アドレスへのすべてのトラフィックをブラックホールにすばやくリダイレクトできます。RTBH は主に、攻撃トラフィックを組織の WAN（広域ネットワーク）のインターネット境界から遠ざけることを目的として設計されたものであり、DDoS によってインターネットポートや接続が飽和状態になるのを防ぎます。RTBH 機能は宛先 IP ベースであり、RTBH を介した送信元 IP ベースのフィルタリングが必要な場合は、Unicast Reverse Path Forwarding（uRPF）を有効にする必要があります。これはインターネット中継接続または「リンク」の両側に適用する必要があります。また、送信元 IP ベースの RTBH を実現するためには、uRPF をルーズモードまたはストリクトモードで有効化する必要があります。

DDoS 攻撃は、サーバー、サービス、またはネットワークをターゲットとする悪性の行為です。DDoS 攻撃は、トラフィックによってターゲットを過負荷状態にし、リソースと帯域幅を枯渇させます。その結果、ターゲットは低速化またはクラッシュし、正当なトラフィックを処理できなくなります。DDoS 攻撃は通常、ボットネット（ マルウェアに感染していて攻撃者の制御下にあり、攻撃者がターゲットにトラフィックを殺到させるよう命令することができるコンピューターとデバイスのネットワーク）によって実行されます。なぜなら ボットネットには数百台から数千台のデバイスが含まれている場合があり、セキュリティ防御で攻撃を検知して緩和するのは困難だからです。一般的な DDoS 攻撃には ICMP フラッド、 SYN フラッド、Slowloris 攻撃、 HTTP フラッドがあります。

ブラックホールで DDoS 攻撃をブロックするために、管理者はトラフィックを Null インターフェースにリダイレクトするようにルーターを設定し、トラフィックを効果的に破棄します。これは通常、ネットワークには実稼働サービスの帯域幅を損なうことなく攻撃を吸収できるほど十分なインターネットポート容量がないことが原因です。

ISP やネットワーク管理者は、複数のブラックホールルーティング防御技術を使用して、悪性の DDoS トラフィックが意図したターゲットに到達するのを防ぐことができます。このような IP ルーティング方式は、送信元または宛先 IP アドレスに基づいてトラフィックをリダイレクトできます。

• スタティック・ブラックホール・ルーティング では、特定の IP アドレスから発信されたトラフィックまたは特定の IP アドレスを宛先とするトラフィックをドロップするように、ルーターを手動で設定する必要があります。このスタティックルート技術は、悪性であることがわかっている IP アドレスからのトラフィックからターゲットにされるサーバーを効果的に保護します。
• BGP ブラックホールルーティング は、宛先ベースのパケット・フィルタリング・テクノロジーであり、ボーダー・ゲートウェイ・プロトコル（BGP）を使用して、特定の IP アドレスのブラックホールルートを BGP ネットワーク内の他のルーターに「通知」または伝達します。
• リモート・トリガー・ブラックホール・フィルタリング（RTBH フィルタリング）は通常、宛先 IP アドレスに基づいてトラフィックをブロックします。RTBH フィルタリングも BGP を使用しますが、より制御されたターゲット型のアプローチであるため、ネットワーク管理者はネットワーク全体に影響を与えることなく、特定のポストやサブネットに対する攻撃を緩和できます。
• Flowspec BGP ブラックホールルーティング は、よりきめ細かいアプローチによるトラフィックフィルタリングを提供します。この手法を使用すると、管理者は追加のパラメーターを指定して悪性トラフィックをさらに絞り込み、正当なネットワークトラフィックが宛先に到達できるようにすることができます。
• スパムフィルタリングのブロックリスト もブラックホールのために使用できます。ブロックリストには、スパムまたは悪性トラフィックを送信することがわかっている IP アドレスが含まれています。ブロックリストに含まれる IP アドレスからのトラフィックが電子メールサーバーに到着すると、自動的に破棄されるか、確認のために隔離されます。
• 宛先ベースの IP フィルタリング は、ネットワークからの好ましくないトラフィックを廃棄するために一般的に使用されます。これは、単一のホストルーターまたはネットワーク内の「すべて」のルーターによって実現できます。RTBH は、パケットがネットワークを通過する方向（受信または送信）にも適用できます。

ブラックホールルーティングは、DDoS 攻撃を緩和し、その他の悪性トラフィックをブロックするための代替手段となり得ます。ブラックホールルーティングによって特定の IP アドレスを対象としたトラフィックを破棄することで、ネットワークパフォーマンスを向上させ、輻輳を軽減することができます。

ブラックホールルーティングは正当なトラフィックもリダイレクトする可能性があるため、この DDoS 緩和技術によって正当なユーザーやトラフィックがインターネットに面したサービスや Web アプリケーションを利用できなくなる恐れがあります。また、ブラックホールルーティングはトラフィックの性質に関する知見をほとんどもたらさないため、セキュリティチームはトラフィックのソースや緩和技術の有効性に関する情報を収集できません。実行されたアクションのロギングや可視化が行われないため、フォールス・ポジティブ（誤検知）を修正するという問題が生じる可能性があります。攻撃の規模によっては、ブラックホールルーティングは、RTBH 機能を有効にしているネットワークオペレーターのピアのネットワークパフォーマンスに影響を与える恐れもあります。

DDoS ブラックホールルーティングは悪性トラフィックを IP アドレスから効果的にリダイレクトすることができますが、この手法は、実際には効果的な防御方法ではありません。ブラックホールルーティングは正当なトラフィックもリダイレクトする可能性があるため、ターゲットとなる資産を効果的にオフラインにすることとなり、実質的に攻撃者の目的が達成されます。ISP のインフラによっては、他の顧客もパフォーマンス低下に見舞われたり、オフラインになったりすることがあります。そのため、ほとんどの組織は、正当なトラフィックに干渉したりダウンタイムを発生させたりしない、より効果的な DDoS 防御方法を模索しています。