Qué es un BlackHole BGP

¿Qué es?

Un BlackHole es la forma de eliminar una IP de internet. Cuando anunciamos un rango IP a uno de nuestros proveedores, lo mínimo que podemos anunciar es un /24 (256 IPs) , esto no quiere decir que si nos atacan la ip 1.2.3.4 dejemos de anunciar a Internet el rango 1.2.3.0/24. No podemos anular 255 Ips porque una sea atacada. La forma es con Blackhole, seguimos anunciando el rango completo, pero le decimos que el 1.2.3.4/32 no aceptamos tráfico. De esta forma el trafico que va a esa IP es descartado.

Su Importancia

Desgraciadamente, cada vez son más frecuentes los ataques DDOS. Con las conexiones que a día de hoy tenemos en casa, no es difícil hacer un ataque de 1Gb  desde un único equipo. Cuando el destinatario es un servidor o un usuario que está detrás de un pequeño operador local que en ocasiones no tienen ni controlados ni monitorizadas las conexiones y mucho menos automatizados los procesos, no pueden resistirlo. Esto implica que todos los usuarios de ese proveedor se vean afectados. Como ya vimos en la importancia del Peering, todos queremos tener la mejor conexión, pero de que nos sirve si un sólo equipo puede tirar toda la red.

¿Cómo se hace?

Para hacer un Blackhole, podemos hacerlo local o remoto.

Local

En nuestros routers, indicamos que el tráfico que va hacia o desde esa IP sea descartado. Esto es fácil, pero tiene un problema. Nos sigue llegando ese tráfico y puede llegar a saturarnos el caudal, por lo que el resto se ven afectados. Así se usa cuando estamos recibiendo un ataque DOS, que al venir de una sola IP podemos bloquearla.

Remoto

Hay dos formas de decirle a nuestro proveedor que vamos a meter una IP en BlackHole. Será nuestro operador el que dependiendo de su estructura nos indique cual debemos usar. La más usada es mediante una community (normalmente es el AS:666). La otra opción es estableciendo una conexión BGP contra sus servidores de BlackHole y le anunciamos a él sólo el /32 (por ejemplo, Cogent lo hace así). Tenemos que tener en cuenta que sólo podemos anunciar una IP que sea de nuestros rangos.

¿Cuánto dura?

Pues básicamente lo que dura el ataque. Hay que tener en cuenta que hemos sido nosotros los que hemos decidido que es IP esté fuera de navegación. Igualmente vamos a ser nosotros los que decidamos cuando puede volver a estar operativa.