Los agujeros negros (blackholes) son lugares en la red donde el tráfico entrante o saliente se cae (se pierde) sin informar a la fuente que los datos no llegaron al destino.
Al inspeccionar la topología de una red , los agujeros negros en sí mismos son invisibles y solo pueden detectarse monitoreando el tráfico perdido; de ahí el nombre.
La forma más común de un agujero negro es simplemente una dirección IP proporcionada por una computadora host que no se está ejecutando (no se está ejecutando), o una dirección a la que no se le ha asignado un host .
Aunque TCP/IP proporciona un medio para informar un error de entrega al remitente de un mensaje a través de ICMP , el tráfico destinado a dichas direcciones a menudo simplemente se descarta.
Tenga en cuenta que una dirección inactiva solo será indetectable para los protocolos que no utilizan el protocolo de enlace y la corrección de errores y que son intrínsecamente poco fiables (por ejemplo, UDP ). Los protocolos confiables o orientados a la conexión ( TCP , RUDP ) no podrán conectarse a una dirección inactiva o no recibirán los reconocimientos esperados.
La mayoría de los cortafuegos y enrutadores para uso doméstico se pueden configurar para descartar silenciosamente (sin notificación) paquetes dirigidos a hosts o puertos prohibidos. Esto puede dar lugar a la aparición de "agujeros negros" en la red.
Por lo tanto, algunos proveedores han identificado los cortafuegos personales que no responden a las solicitudes de eco ICMP (" ping ") como si estuvieran en "modo sigiloso".
Pero a pesar de esto, en la mayoría de las redes, las direcciones IP de los hosts con firewalls configurados de esta manera son fáciles de distinguir de las direcciones IP inválidas o inalcanzables : cuando se detecta esta última, el enrutador, utilizando el protocolo ICMP , generalmente responde de la siguiente manera: el host es inalcanzable (error de host inalcanzable). Una forma más eficaz de ocultar la estructura de una red interna suele ser el método de traducción de direcciones de red ( NAT ) que se utiliza en los enrutadores domésticos y de oficina . [1] [2]
Una ruta nula o una ruta de agujero negro es una ruta (una entrada en la tabla de enrutamiento ) "a ninguna parte". Los paquetes apropiados que viajan por esta ruta se descartan (ignoran) en lugar de reenviarse, lo que actúa como una especie de cortafuegos muy limitado . El proceso de usar caminos nulos a menudo se denomina filtrado de agujeros negros.
El filtrado de agujeros negros deja caer paquetes específicamente en la capa de enrutamiento, generalmente usando un protocolo de enrutamiento para implementar el filtrado en múltiples enrutadores a la vez . A menudo, esto se hace de forma dinámica para proporcionar una respuesta rápida a los ataques de denegación de servicio distribuidos .
El Filtrado de Agujero Negro Activado Remoto (RTBH) es una técnica que le permite descartar el tráfico no deseado antes de que ingrese a una red segura. [3] El proveedor de Internet Exchange (IX) suele utilizar esta tecnología para ayudar a sus usuarios o clientes a filtrar este tipo de ataques [4] .
Las rutas nulas generalmente se configuran con un indicador de ruta especial , pero también se pueden implementar reenviando paquetes a una dirección IP no válida , como 0.0.0.0, o una dirección de bucle invertido ( localhost ).
El enrutamiento cero tiene una ventaja sobre los firewalls clásicos , ya que está disponible en todos los enrutadores de red potenciales (incluidos todos los sistemas operativos modernos) y tiene poco o ningún impacto en el rendimiento. Debido a las características de los enrutadores de gran ancho de banda, el enrutamiento nulo a menudo puede admitir un mayor rendimiento que los firewalls convencionales. Por esta razón, las rutas nulas a menudo se usan en enrutadores centrales de alto rendimiento para mitigar los ataques de denegación de servicio a gran escala antes de que los paquetes lleguen al cuello de botella , evitando así pérdidas colaterales de los ataques DDoS , a pesar de que el objetivo del ataque será inaccesible para todos. Los atacantes también pueden usar el agujero negro en enrutadores comprometidos para filtrar el tráfico dirigido a una dirección específica.
El enrutamiento generalmente solo funciona en la capa del Protocolo de Internet (IP) y está muy limitado en la clasificación de paquetes. Por lo general, la clasificación se limita al prefijo de la dirección IP ( direccionamiento sin clases ) del destino, la dirección IP de origen (dirección IP) y la interfaz de red entrante ( NIC ).
Artículo principal : DNSBL
Una Lista Blackhole basada en DNS o una Lista Blackhole en tiempo real es una lista de direcciones IP publicadas a través del Sistema de Nombres de Dominio de Internet ( DNS ) o como una zona de archivo que puede ser utilizada por el software del servidor DNS , o en la forma de un DNS "en vivo" zona, a la que se puede acceder en tiempo real. Los DNSBL se usan más comúnmente para publicar direcciones de red o de computadoras asociadas con el spam . La mayoría de los servidores de correo se pueden configurar para rechazar o marcar los mensajes enviados desde un sitio incluido en una o más de estas listas.
DNSBL es un mecanismo de software, no una lista específica. Hay docenas de DNSBL [5] que utilizan una amplia gama de criterios para incluir y eliminar direcciones. Pueden incluir una lista de direcciones de computadoras zombis u otras computadoras utilizadas para enviar spam, así como listas de direcciones de ISP que están dispuestas a publicar spam o una lista de direcciones que enviaron spam al sistema honeypot .
Desde la creación del primer DNSBL en 1997, las acciones y políticas de esta estructura de programa a menudo han sido controvertidas [6] [7] , tanto en la promoción en línea como, a veces, en los litigios. Muchos operadores y usuarios de sistemas de correo electrónico [8] consideran que el DNSBL es una herramienta valiosa para compartir información sobre las fuentes de spam, pero otros, incluidos algunos activistas de Internet conocidos, se oponen a ellos como una forma de censura [9] [10] [ 11] [12] . Además, algunos operadores de DNSBL han sido objeto de demandas presentadas por spammers que pretenden cerrar por completo las listas [13] .
Artículo principal : investigación de MTU
Algunos cortafuegos descartan incorrectamente todos los paquetes ICMP , incluidos los necesarios para determinar correctamente la MTU (unidad máxima de transmisión) de la ruta. Esto hace que las conexiones TCP cuelguen de los hosts con MTU inferiores .
Una dirección de correo electrónico de agujero negro [14] es una dirección de correo electrónico que es válida (los mensajes que se le envían no generarán errores), pero en la que todos los mensajes que se le envían se eliminan automáticamente, nunca se guardan y las personas no pueden verlos. Estas direcciones se utilizan a menudo como direcciones de devolución para correos electrónicos automatizados.
Un ataque de caída de paquetes es un ataque de denegación de servicio en el que un enrutador que se supone que debe retransmitir paquetes los descarta . Esto generalmente sucede debido a un enrutador comprometido por varias razones. Uno de los mencionados es un ataque de denegación de servicio a un enrutador utilizando una conocida herramienta DDoS . Dado que los paquetes generalmente simplemente se descargan en enrutadores maliciosos, este tipo de ataque es muy difícil de detectar y prevenir.
Un enrutador malicioso también puede realizar este ataque de forma selectiva, como descartar paquetes para un destino de red específico, en momentos específicos del día, descartar cada enésimo paquete, o cada t segundos, o una parte seleccionada al azar de los paquetes. Si un enrutador malicioso intenta descartar todos los paquetes entrantes, el ataque se puede detectar con bastante rapidez utilizando herramientas de red comunes como traceroute. Además, cuando otros enrutadores notan que un enrutador malicioso está descartando todo el tráfico, generalmente comenzarán a eliminar ese enrutador de sus tablas de reenvío y, finalmente, no se dirigirá ningún tráfico al ataque. Sin embargo, si un enrutador malicioso comienza a descartar paquetes dentro de un cierto período de tiempo o cada n paquetes, a menudo es más difícil de detectar porque todavía fluye algo de tráfico a través de la red.
Un ataque de caída de paquetes a menudo se puede usar para atacar una red inalámbrica ad-hoc . Dado que las redes inalámbricas tienen una arquitectura muy diferente a la de una red cableada típica, un host puede transmitir que tiene la ruta más corta a su destino, lo que hace que todo el tráfico se dirija a ese host comprometido y le permite descartar paquetes a voluntad. También en una red móvil ad-hoc, los hosts son especialmente vulnerables a los ataques conjuntos: cuando se piratean varios hosts, pueden interrumpir el correcto funcionamiento de otros hosts en la red [15] [16] [17] .