RTBH (Remote Triggered Black Hole) – Giải pháp chống DDoS mạnh mẽ

1. Tổng quan RTBH là gì?

RTBH (Remote Triggered Black Hole Filtering) là một phương pháp kỹ thuật sử dụng trong mạng để chặn lưu lượng không mong muốn ngay trước khi nó xâm nhập vào mạng được bảo vệ. Bằng cách tạo một “black hole” (hố đen) – tức một tuyến null route – thiết bị sẽ loại bỏ hoàn toàn các gói tin không mong muốn mà không tiêu tốn tài nguyên xử lý.

• Remote Triggered nghĩa là việc chặn được kích hoạt từ xa, thường thông qua một thiết bị trung tâm (trigger router).

• Black Hole là nơi “hút” các gói tin, loại bỏ chúng ngay khi tới điểm cấu hình.

2. RTBH chống DDoS trong thực tế

Trong các tình huống tấn công DDoS, lượng traffic “dỏm” tràn vào có thể làm nghẽn đường truyền, quá tải router và làm gián đoạn dịch vụ hợp lệ. RTBH giúp:

• Chặn sớm lưu lượng độc hại ngay ở biên mạng.

• Giảm thiểu tải CPU và bandwidth.

• Tự động hoặc bán tự động phản ứng nhanh, giúp hệ thống phục hồi nhanh chóng.

Do tính chất linh hoạt, RTBH thường được triển khai phối hợp với hệ thống phát hiện DDoS để phản ứng tự động khi phát hiện tấn công.

3. Cơ chế hoạt động (IPv4 và IPv6)

a) Khối đích (Destination-based RTBH)

1. Trigger Router (thường tại trung tâm điều hành) tạo static route tới IP bị tấn công (hoặc prefix) với Next Hop dẫn đến Null0 và tag rõ ràng.

2. Thông qua iBGP, route này được lan truyền đến các edge router.

3. Edge router sẽ chuyển hướng toàn bộ lưu lượng đến IP đó vào interface Null0 và giáng hạ (drop) nó.

4. Khi sự cố kết thúc, chỉ cần gỡ static route → BGP propagate thay đổi và traffic hợp lệ được phục hồi.
   

b) Khối nguồn (Source-based RTBH)

• Dựa vào uRPF (Unicast Reverse Path Forwarding) để kiểm tra ngược nguồn lưu lượng.

• Nếu luồng đến từ một IP nguồn không hợp lệ hoặc bị Black-holed, router sẽ drop ngay.

• Hạn chế: khó áp dụng trong môi trường có nguồn IP spoofing do giả mạo.

c) Với IPv6

• Nguyên lý áp dụng tương tự như IPv4; thủ tục đơn giản và hiệu quả.

• RFC 5635 công nhận RTBH cho IPv6; bổ sung prefix 100::/64 là discard prefix theo RFC 6666.

• uRPF vẫn là công cụ hữu ích trong kịch bản IPv6.
  

4. Quy trình sử dụng RTBH chống DDoS

1. Đảm bảo trigger router đã có peering iBGP với tất cả edge router.

2. Tại trigger router, tạo static route hoặc route-map để đánh dấu prefix cần black hole:

   ipv6 route 2001:db8:f::e0/128 Null0 tag 666
route-map v6blackhole-trigger permit 10
match tag 666
set local-preference 200
set origin igp
set community no-export 100:666
set ipv6 next-hop 100::1


3. Đưa route-map vào BGP configuration để lan truyền thông điệp RTBH:

   router bgp 64500
address-family ipv6
redistribute static route-map v6blackhole-trigger
neighbor 2001:dbd::2 peer ...
neighbor 2001:dbd::2 send-community


4. Edge routers nhận community rồi xử lý theo policy — chuyển hết traffic của prefix vào Null0.

5. Sau khi sự cố qua, gỡ trigger route → BGP withdrawal → traffic trở lại bình thường.

5. Ưu điểm & lưu ý triển khai

Lưu ý:

• Destination-based RTBH có thể chặn cả traffic hợp lệ đến IP đó; chỉ dùng khi thật sự cần.

• Source-based RTBH khó chính xác khi lưu lượng spoofed.

• Cần triển khai an toàn: xác thực BGP, lọc prefix, TTL security để tránh bị lạm dụng.

6. Ứng dụng & kịch bản thực tế

• ISP hoặc backbone provider: cung cấp RTBH như dịch vụ cho khách hàng để đối phó tức thì với DDoS.

• Tổ chức/doanh nghiệp: kết hợp giữa hệ thống phát hiện tấn công và trigger router để tự động kích hoạt RTBH.

• Flood websites: khi website bị tấn công, trigger black hole, cập nhật DNS IP mới, giảm TTL để chuyển người dùng sang IP mới, sau đó bỏ black hole để phục hồi dịch vụ.

Tuy nhiên, RTBH cũng chặn cả lưu lượng hợp lệ đến IP bị đưa vào black hole, vì vậy đây thường là biện pháp khẩn cấp, dùng khi cần cô lập một mục tiêu bị tấn công để cứu toàn bộ hệ thống.

7. Kết luận

RTBH là một giải pháp cực kỳ hiệu quả để bảo vệ mạng trước các cuộc tấn công DDoS lớn. Với khả năng chặn sớm, triển khai nhanh và tiết kiệm tài nguyên, RTBH trở thành một thành phần chiến lược trong hệ thống phòng thủ mạng hiện đại. Tuy nhiên, cần triển khai cẩn trọng, đảm bảo an toàn cấu hình BGP và quy trình kích hoạt/thanh lý rõ ràng để tránh gián đoạn dịch vụ hợp lệ.

Tài liệu tham khảo: REMOTELY TRIGGERED BLACK HOLE FILTERING — DESTINATION BASED AND SOURCE BASED