Blackhole

**elmikrotik** · 29-10-2013, 16:27

Boa Tarde....
O que seria Blackhole?
Por que é interessante criar uma regra com o mesmo em ip route?

**trober** · 29-10-2013, 18:03

Postado originalmente por elmikrotik

O que seria Blackhole?

Postado originalmente por elmikrotik

Por que é interessante criar uma regra com o mesmo em ip route?

Boa tarde.

Um buraco negro (no inglês "black hole") é um área dentro das dimensões espaciais e temporais, em que nada dele escapa, mesmo sendo algo deslocando-se na velocidade da luz (a própria luz, inclusive). Analogicamente falando, no contexto computacional, podemos comparar black hole ao /dev/null.

Encaminhar uma rota para um buraco negro, equivale a neutralizar o alcance, a partir do roteador no qual foi definida a regra.

Há tópicos[1][2][3], aqui no Portal Under-Linux, que podem auxiliar sobre o conceito e utilização de black holes

[1] https://under-linux.org/showthread.p...328#post597328
[2] https://under-linux.org/showthread.p...730#post604730
[3] https://under-linux.org/showthread.p...407#post586176

**elmikrotik** · 30-10-2013, 08:50

Postado originalmente por trober

Boa tarde.

Um buraco negro (no inglês "black hole") é um área dentro das dimensões espaciais e temporais, em que nada dele escapa, mesmo sendo algo deslocando-se na velocidade da luz (a própria luz, inclusive). Analogicamente falando, no contexto computacional, podemos comparar black hole ao /dev/null.

Encaminhar uma rota para um buraco negro, equivale a neutralizar o alcance, a partir do roteador no qual foi definida a regra.

Há tópicos[1][2][3], aqui no Portal Under-Linux, que podem auxiliar sobre o conceito e utilização de black holes

[1] https://under-linux.org/showthread.p...328#post597328
[2] https://under-linux.org/showthread.p...730#post604730
[3] https://under-linux.org/showthread.p...407#post586176

Obrigado pela ajuda
Entao se eu criar esta regra em meu roteador principal onde todos os outros roteadores estao conectados, em ip route o DST-Address meu AS e o Type Blackholes qual seria o efeito desta regra?

Ela seria usada para negar um ataque dentro da rede interna, desculpe se estiver falando besteira, mas se puderem me ajudar a esclarecer desde ja agradeço.

**trober** · 30-10-2013, 11:16

Postado originalmente por elmikrotik

Entao se eu criar esta regra em meu roteador principal onde todos os outros roteadores estao conectados, em ip route o DST-Address meu AS e o Type Blackholes qual seria o efeito desta regra?

O seu remote-peer ficará inalcançável.

Postado originalmente por elmikrotik

Ela seria usada para negar um ataque dentro da rede interna, desculpe se estiver falando besteira, mas se puderem me ajudar a esclarecer desde ja agradeço.

Vamos considerar o seguinte cenário:

[rtr-A]-----[rtr-B]-----[rtr-C]-----[rtr-D]-----[rtr-E]

rtr-A é o roteador que está na borda da rede, sendo ou não sendo AS, sendo ou não sendo um simples NAT de uma rede SOHO.

Então você adiciona, em rtr-A, a seguinte regra:

Código :

/ip route add dst-address=200.160.0.8 type=blackhole comment="black hole test"

Como resultado, em todos os encaminhamentos, no qual rtr-A iria encaminhar para o gateway correspondente, e que tenha como destino o endereço (de exemplo) 200.160.0.8, será neutralizada a ação (de encaminhamento), sendo aplicável à todas as requisições encaminhadas em rtr-A (em qualquer direção).

É bem menos penosa esta forma de "bloqueio", na perspectiva do custo computacional, do que filtrar usando regras de firewall

Se você tem AS, pode usar communities para distribuir a regra de black hole, deixando (desejavelmente) mais próxima do ponto de origem de um ataque. Mais deixamos esta conversa para um outro momento.

E sim, você pode (e deve) neutralizar ataques originados dentro de sua rede. Se conseguir neutralizar no ativo mais próximo da fonte do ataque, melhor. Serão menos ativos e circuitos degragados, e uma rede menos congestionada

**elmikrotik** · 30-10-2013, 11:37

Postado originalmente por trober

O seu remote-peer ficará inalcançável.

Vamos considerar o seguinte cenário:

[rtr-A]-----[rtr-B]-----[rtr-C]-----[rtr-D]-----[rtr-E]

rtr-A é o roteador que está na borda da rede, sendo ou não sendo AS, sendo ou não sendo um simples NAT de uma rede SOHO.

Então você adiciona, em rtr-A, a seguinte regra:

Código :

/ip route add dst-address=200.160.0.8 type=blackhole comment="black hole test"

Como resultado, em todos os encaminhamentos, no qual rtr-A iria encaminhar para o gateway correspondente, e que tenha como destino o endereço (de exemplo) 200.160.0.8, será neutralizada a ação (de encaminhamento), sendo aplicável à todas as requisições encaminhadas em rtr-A (em qualquer direção).

É bem menos penosa esta forma de "bloqueio", na perspectiva do custo computacional, do que filtrar usando regras de firewall

Se você tem AS, pode usar communities para distribuir a regra de black hole, deixando (desejavelmente) mais próxima do ponto de origem de um ataque. Mais deixamos esta conversa para um outro momento.

E sim, você pode (e deve) neutralizar ataques originados dentro de sua rede. Se conseguir neutralizar no ativo mais próximo da fonte do ataque, melhor. Serão menos ativos e circuitos degragados, e uma rede menos congestionada

Desde ja agradeço pelos esclarecimentos e duvidas tiradas.
Muito obrigado

Blackhole

Ferramentas de Tópicos

Blackhole

Re: Blackhole

Re: Blackhole

Re: Blackhole

Re: Blackhole