Sim, o roteamento de buraco negro é adaptável e pode ser personalizado para atender às necessidades específicas de segurança de redes de pequena escala e de grandes empresas.
Roteamento de buraco negro acionado remotamente (RTBH), também conhecido como blackholing, é uma das medidas defensivas implantadas por um ISP (provedor de serviços de Internet) ou administradores de rede para atenuar um ataque de DDoS (negação de serviço distribuída). O roteamento de buraco negro redireciona tráfego mal-intencionado ou indesejado para um "buraco negro", uma interface nula, como null0, por meio do domínio de protocolo de gateway interno, onde é permanentemente descartado. Quando ocorre um ataque de DDoS, os administradores de rede podem redirecionar rapidamente para um buraco negro todo o tráfego que está sendo enviado de um endereço IP de origem específico ou para um endereço IP de destino específico. O RTBH foi projetado principalmente para afastar o tráfego de ataque da fronteira com a WAN (Rede de Longa Distância) de uma organização, o que impede que o DDoS sature portas ou conexões de Internet. O recurso RTBH é baseado em IP de destino e, se você precisar de filtragem baseada em IP de origem via RTBH, então precisa ativar a uRPF (Verificação de encaminhamento de caminho reverso). Ele deve ser aplicado em ambos os lados da conexão de trânsito da Internet ou "link", e a uRPF precisaria estar habilitada no modo solto ou rígido para atingir o RTBH baseado em IP de origem.
O roteamento de buraco negro de tráfego é uma das muitas contramedidas usadas contra o tráfego indesejado, como um ataque de DDoS. O roteamento de buraco negro redireciona o tráfego para uma interface nula ou de descarte.
O que é um ataque de DDoS?
Um ataque de DDoS é uma ação mal-intencionada direcionada a um servidor, serviço ou rede. Os ataques de DDoS sobrecarregam o alvo com tráfego, esgotando seus recursos e largura de banda. Como resultado, o alvo pode ficar lento ou travar, impedindo-o de lidar com o tráfego legítimo. Os ataques de DDoS são normalmente realizados por botnets, uma rede de computadores e dispositivos que foram infectados com malware, estão sob o controle do invasor e podem ser direcionados para inundar um alvo com tráfego. Como botnets podem incluir centenas ou milhares de dispositivos, pode ser difícil para as defesas de segurança detectar e mitigar um ataque. Ataques de DDoS comuns incluem inundações ICMP, inundações SYN, ataques Slowlorise inundações HTTP.
Como o roteamento de buraco negro funciona?
Para bloquear um ataque de DDoS com um buraco negro, os administradores configuram roteadores para redirecionar o tráfego para uma interface nula, descartando efetivamente o tráfego. Isso ocorre normalmente porque a rede não tem capacidade de porta de Internet suficiente para consumir o ataque sem comprometer a largura de banda para os serviços de produção.
ISPs e administradores de rede podem usar várias técnicas de prevenção de roteamento de buraco negro para impedir que o tráfego DDoS mal-intencionado atinja seu alvo pretendido. Esses métodos de roteamento IP podem redirecionar o tráfego com base nos endereços IP de origem ou de destino.
- O roteamento estático de buraco negro envolve a configuração manual de roteadores para eliminar o tráfego proveniente de ou destinado a um endereço IP específico. Essa técnica de rota estática bloqueia efetivamente o tráfego de endereços IP que são conhecidos por serem mal-intencionados por visar servidores.
- Roteamento de buraco negro de BGP É uma tecnologia de filtragem de pacotes baseada em destino que usa o BGP (Border Gateway Protocol) para "anunciar" ou comunicar uma rota de buraco negro para um endereço IP específico para outros roteadores dentro da rede BGP.
- A filtragem de buraco negro acionada remotamente, ou filtragem RTBH, normalmente bloqueia o tráfego com base nos endereços IP de destino. A filtragem RTBH também usa BGP, mas fornece uma abordagem mais controlada e direcionada, permitindo que os administradores de rede mitiguem ataques contra publicações ou sub-redes específicas sem afetar toda a rede.
- O roteamento de buraco negro do BGP Flowspec fornece uma abordagem ainda mais granular à filtragem de tráfego. Com essa técnica, os administradores podem especificar parâmetros adicionais que ajudam a direcionar o tráfego mal-intencionado de forma mais restrita, ao mesmo tempo em que permitem que o tráfego legítimo da rede chegue ao seu destino.
- As listas de bloqueio para filtragem de spam também podem ser usadas para blackholing. As listas de bloqueio contêm endereços IP conhecidos por enviar spam ou tráfego mal-intencionado. Quando o tráfego chega a um servidor de e-mail a partir de um endereço IP na lista de bloqueios, ele é automaticamente descartado ou colocado em quarentena para análise.
- A filtragem de IP baseada em destino é comumente usada para descartar tráfego indesejado de uma rede. Isso pode ser feito por um único roteador host ou por "todos" os roteadores dentro da rede. O RTBH também pode ser aplicado na direção em que um pacote atravessa uma rede (entrada recebida ou transmissão de saída).
Quais são as vantagens do roteamento de buraco negro?
O roteamento de buraco negro pode ser um meio alternativo para mitigar ataques de DDoS e bloquear outros tráfegos mal-intencionados. Ao descartar o tráfego destinado a determinados endereços IP, o bloqueio pode melhorar o desempenho da rede e reduzir o congestionamento.
Quais são as desvantagens do roteamento de buraco negro?
Como o roteamento de buraco negro também pode redirecionar tráfego legítimo, essa técnica de mitigação de DDoS pode tornar serviços voltados para a Internet ou aplicações da Web indisponíveis para usuários e tráfego legítimos. O roteamento de buraco negro também fornece poucos insights sobre a natureza do tráfego, impedindo que as equipes de segurança coletem informações sobre sua fonte ou a eficácia das técnicas de mitigação. Com a falta de registro ou de visibilidade das ações realizadas, os falsos positivos podem ser um problema para a correção. Dependendo da escala do ataque, o roteamento de buraco negro pode afetar o desempenho da rede para os colegas da operadora de rede que habilitam a função RTBH.
O roteamento de buraco negro é uma defesa eficaz contra ataques de DDoS?
Embora o roteamento de buraco negro de DDoS possa redirecionar efetivamente o tráfego mal-intencionado para longe de um endereço IP, essa técnica não é realmente uma forma eficaz de defesa. Como o bloqueio também pode redirecionar tráfego legítimo, ele pode efetivamente colocar um ativo direcionado offline, basicamente concluindo a missão do invasor. Dependendo da infraestrutura do ISP, outros clientes podem ter um desempenho prejudicado ou ficar offline também. Por esse motivo, a maioria das organizações procura adotar defesas de DDoS mais eficazes que não interfiram com o tráfego legítimo ou causem tempo de inatividade.
Perguntas frequentes (FAQ)
O roteamento de buraco negro serve como uma contramedida reativa para desviar o tráfego mal-intencionado de uma rede, evitando que possíveis eventos de segurança de DoS ou de DDoS afetem os serviços de produção.
Diferentemente das medidas de segurança tradicionais que se concentram na identificação e no bloqueio de ameaças, o roteamento de buraco negro redireciona o tráfego mal-intencionado para um "buraco negro" virtual, isolando e neutralizando possíveis ameaças.
Embora não seja uma solução completa, o roteamento de buraco negro é uma ferramenta em uma estratégia abrangente de cibersegurança, que fornece uma camada adicional de defesa contra várias ciberameaças.
Uma possível desvantagem é o risco de falsos positivos, já que o tráfego legítimo pode ser incorretamente identificado e desviado. A falta de relatórios e de visibilidade também causa preocupação com a qualidade ou consistência da mitigação ativada. A configuração cuidadosa e o monitoramento adicional são essenciais para mitigar esse risco.
Atualizações regulares são fundamentais para garantir a eficácia do roteamento de buraco negro. As ciberameaças evoluem, e permanecer à frente requer monitoramento contínuo e ajustes nas configurações.
Por que os clientes escolhem a Akamai
A Akamai é uma empresa de cibersegurança e cloud que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicativos empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, escala e experiência líderes do setor de que precisam para expandir seus negócios com confiança.