Black hole (informatique)

En informatique, la notion de trou noir (black hole en anglais) correspond aux points d'un réseau qui font discrètement disparaitre le trafic sans informer la source du trafic. Lors de l'examen d'un réseau informatique les trous noirs ne peuvent pas être détectés. Pour les trouver il faut analyser le trafic perdu.

Technique

Afin de mettre un trou noir en place il suffit de faire en sorte que pour le trafic une adresse IP donnée ou un nom de domaine donné le routeur renvoie les données vers le NULL. L'implémentation de BGP sur les routeurs permet de rerouter le trafic vers l'adresse IP de son choix. En configurant le routeur de manière à ce que certains préfixes soient automatiquement rerouté vers une adresse IP maîtrisée^[1].

Firewall

La majorité des firewall modernes possèdent la possibilité de faire "disparaitre" le trafic provenant d'un domaine ou d'une adresse IP spécifique.

Contre-mesure contre une attaque par Déni de Service

Cette technique de reroutage du trafic peut s'avérer extrêmement efficace contre les attaques par Déni de Service. Le trafic malfaisant étant automatiquement, après détection de l'adresse IP d'origine, rerouté vers un trou noir il ne sature aucun des services du serveur.

DNS Black holing

A l'image du black holing mis en place avec un routeur classique, le DNS black holing permet de rediriger les requêtes réalisées vers un site prédéterminé en s'appuyant sur l'outil DNS^[2]. Cette technique permet, au sein d'un réseau local privé ou professionnel, d'empêcher les utilisateurs de se rendre sur des sites malveillants^[3]. Des sites maintiennent des listes de sites jugés comme malveillant^[4] afin de permettre de mettre à jour les systèmes de DNS Black holing mis en place.

Références

1. ↑ http://www.secsup.org/Tracking/
2. ↑ http://www.malwaredomains.com/?page_id=6
3. ↑ http://blogs.orange-business.com/securite/2008/08/dns-blackholing-utilisation-des-techniques-dattaques-a-des-fins-defensives.html
4. ↑ http://www.malwaredomains.com/