DDoS 黑洞路由/过滤(有时称为黑孔)是缓解 DDoS 攻击的一种对策,网络流量将被路由到“黑洞”中并且丢失。如果在没有特定限制条件下实施黑洞过滤,合法和恶意网络流量都会路由到空路由或黑洞中,并从网络中丢弃。当使用 UDP 等无连接协议时,不会将丢弃数据通知返回给源服务器。对于 TCP 等以连接为导向的协议(需要握手才能与目标系统连接),数据丢弃时会返回通知。
对于没有其他手段阻止攻击的组织,黑洞路由是一个广泛可用的选项。这种缓解方法可能会带来严重后果,从而成为缓解 DDoS 攻击的一个不受欢迎的选择。与抗生素同时毁灭好细菌和坏细菌类似,如果部署不当,这种 DDoS 缓解措施将无区别地破坏网络或服务的流量来源。复杂的攻击也会使用可变 IP 地址和攻击向量,这可能会限制这种缓解措施作为破坏攻击的唯一手段的有效性。
在善意流量也受影响时使用黑洞路由有一个关键的后果,攻击者已基本实现了破坏前往目标网络或服务的流量的目标。尽管可能会帮助恶意行为者实现其目标,但当攻击的目标是较大网络中的小型站点时,黑洞路由仍然有用。在这种情况下,对定向到目标站点的流量进行黑洞路由可以防止大型网络遭受攻击的影响。
[…] 我们以在阿里云租用的云服务器为例,阿里云为了保证整个机房的网络稳定,对每台服务器路由限制带宽峰值为5G甚至2G,一但入网超过这个峰值就会对服务器IP进行黑洞路由处理,这个时候你和黑客一样都是无法访问服务器的。 […]