Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1743314
  • 博文数量: 391
  • 博客积分: 8464
  • 博客等级: 中将
  • 技术积分: 4589
  • 用 户 组: 普通用户
  • 注册时间: 2008-12-13 15:12
个人简介

狮子的雄心,骆驼的耐力,孩子的执著!

文章分类

全部博文(391)

文章存档

2023年(4)

2018年(9)

2017年(13)

2016年(18)

2014年(7)

2013年(29)

2012年(61)

2011年(49)

2010年(84)

2009年(95)

2008年(22)

分类: 网络与安全

2009-11-01 13:05:21

网络黑洞的产生原理

     对有所了解的朋友都碰到过这种事情:在没有UPS不间断电源支撑的情况下,由于电源的突然中断,导致公司机房里包括路由器在内的所有设备都停止运行。

    当电源恢复供应,节点路由器重新启动,内外网络互联在几分钟内却并未立刻完全恢复,这期间,通过网络传输的数据很可能会由于无法正常传输与接收而丢失。

 这一网络故障是怎么产生的呢?

 在节点路由器重启后的几分钟内,该路由器会首先向它的下一节点发送可联通性通告,但是,由于断电带来的路由表信息丢失,此时该节点路由器并未拥有完整的路由表信息,于是,在它发送完可联通性通告之后,会由于无法获得正确的路由方向而将经过该节点的中转数据包直接丢弃。这也就是产生数据丢失的原因。

解决网络黑洞的方法

    那么,怎么解决这一网络故障呢?

      产生数据包丢失的原因是由于该节点路由器没有完整的路由表信息,那么我们就从这里下手解决:进入节点路由管理界面,将ospf值设置为最大,以达到快速确认各节点路由器位置的效果,并在最短时间内建立完整的路由表。

  看到上文提到的数据丢失过程,大家可能觉得它跟大家耳熟能详的自然”黑洞“结果一样。不错,以上数据丢失的现象就是网络“黑洞”,而两种现象产生东西完全丢失的雷同结果也就是网络”黑洞“命名的缘由!

  除了以上非人为原因引起的网络黑洞外,还有一些人为恶意攻击引起的网络黑洞,如传送伪路由信息造成数据包传送路由错误而被接收数据包的节点路由器拒绝接收以造成数据丢失,或发送伪IP信息以造成网络中断达到数据包丢失的效果等。

  不过,无论采用什么方式实现,其结果都如同宇宙自然现象中”黑洞“吸收并永远”蒸发“宇宙尘埃一样,造成数据包不复存在的效果。由此引起的后果显而易见:轻则在数据包接收者经长时间未接收到数据包后,向数据包发送者再次索取数据——浪费了时间、耽误了工作,重则由于数据包发送者在未确认接收的情况下,误删除原始文件而造成不可估量的经济损失。

  解决以上人为黑洞的方法,只有预防:针对各种人为黑洞原理规则,在路由器端设置相应信息过滤策略或嵌入更高级的智能化过滤功能。 在远古时代,年年的洪荒给人类带来无穷的灾难。所有先辈的领导者都采用强行堵截的方式,试图阻挡洪水的蔓延,可结果却是:他们都失败了! 直到大禹担当治水重任,他一反前辈截流的常理,利用引流的方式将洪水导入九州土地,将洪水消于无形。

  网络黑洞引起数据包丢失,其可能造成的重大损失是无法估量的。不过,反过来看,网络黑洞丢数据包的特性我们却可以进行善用以造福人群。

早期的反流量攻击方法:智能截流

  上世纪末所有在IDC担当过相当时间网络技术支持的朋友,估计都曾被同一类攻击闹得灰头土脸过,那就是流量攻击。起初,大家反击流量攻击采取的方式是:关闭核心路由器部分可能被流量攻击原理利用的功能模块,或直接在核心路由器上增加具备强大分析与过滤功能的模块。这些手段在刚开始还取得了一定的成效:

     关闭核心路由器的部分功能,可以避免一部分流量攻击手段失效,不过这种方式却被黑客利用来进行窃取机密数据,而当越来越多基于TCP/IP技术的流量攻击手段出现时,这种方式所造成的更大安全隐患已经无法被网络管理者所接受;在核心路由器上增加强大的分析与过滤功能模块,按理说还是不错的方式,不过这样一来,势必大大占用核心路由器的处理资源,以致核心路由器因同时处理庞大的路由信息而无法进行正常而基本的快速路由传输工作,从而造成网络数据拥堵,当网络管理者为核心路由器极速下降的工作效率懊恼时,这种堵截流量攻击的方式也宣告失败。

成熟的反流量攻击方法:黑洞疏流

  时间并不算长,聪明的网络安全技术人员很快想到一个办法:规划网络框架时,核心路由器的功能不变,只是在防火强内增加一个或级联路由器(大型机房采用)并设置网络黑洞,在这个位置的路由器,仅仅完成简单的非智能化路由功能,着重应用黑洞技术对进入内网的流量进行智能分析,并将非法流量在这一层通过黑洞技术永久抛弃(大型机房里的级联路由器还将把非法流量向下一级的路由器中进行疏导,以减少单个路由器的流量承压)。

  随着时间的推移,攻守双方的能力也随着时间的推进继续增长。在这期间,作为攻方的流量攻击手段日增、流量大小愈升,而作为守方的网络管理者,则在快速改进疏导策略之外,还得益于网络产品处理能力的逐渐提升,可以在核心路由处理性能大幅提升的前提下,增加更多的智能化常规非法流量过滤功能模块,同时在防火墙内的黑洞上针对性地进行二次分析与过滤,将疏堵两种方式结合以更好地防守流量攻击。

  黑客攻防里有一句同时适合攻守双方的原始法则:以毒攻毒!黑洞技术的应用也即由此而来!

  时间推进到几年后的现在,黑洞仍然是网络部署中的必备环节。此时,大家都已经认识到:黑洞技术在网络中的应用,对于流量攻击的防守,实在是具有举足轻重的作用。在充满五彩光环的宇宙中,一艘漂亮的小型飞船游荡于布满宇宙尘埃的星际,驾驶员和乘客正悠闲地沉浸在观光的喜悦中,一切显得如此宁静而安详……

  然而,在所有现场的人们都没注意到的位置,也是在飞船行进轨道必经的前方,静静地出现了一个暗无光线的区域,与这片区域极不协调的是,在区域所有边界的地方,出现了一道由折射光线组成的奇异光环,而如果注意观察,可以看到,在这片奇异光环里,正有无数大小不一石块般的宇宙尘埃向这片暗无光线的区域飞速聚拢,而进入黑色区域的宇宙尘埃则魔术般地瞬间消失无踪……

  以上情景,是只在科普或科幻电影中才会出现的情节,而所有看到这个情节的人们都会不约而同地为飞船里的人捏一把汗。
  为什么?
  因为电影里的人们,将会遭遇到恐怖的”黑洞“!
 可能许多朋友看到文章题目里的”黑洞“两字,都会把它跟上文的情节联系起来,不过这次要说的”黑洞“却不是上面情节里天文现象范畴的”黑洞“,而是互联网络应用中的”黑洞“。

本篇文章来源于 ZOL

阅读(865) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~