RTBH – Remote Triggered Black Hole

1. Khái niệm RTBH là gì?

RTBH (Remote Triggered Black Hole) là một kỹ thuật bảo vệ mạng được sử dụng để chặn nhanh lưu lượng tấn công (thường là DDoS) bằng cách định tuyến nó tới một “black hole” (hố đen) – một địa chỉ IP đặc biệt mà khi lưu lượng đi vào sẽ bị drop hoàn toàn, không quay lại.

Điểm đặc biệt của RTBH:

• “Remote Triggered” nghĩa là việc kích hoạt được thực hiện từ xa, thường qua một thiết bị trung tâm hoặc router biên (edge router).

• “Black Hole” nghĩa là nơi lưu lượng bị loại bỏ ngay lập tức (null route).

RTBH thường dùng khi:

• Một IP hoặc dải IP của bạn bị DDoS mạnh khiến hạ tầng bị quá tải.

• Bạn cần ngăn chặn lưu lượng trước khi nó vào sâu trong mạng nội bộ.

• Tích hợp với ISP hoặc nhà mạng để họ drop lưu lượng ngay tại biên mạng của họ.

DataOnline là 1 trong các đơn vị tiên phong tại Việt Nam triển khai RTBH.

2. Nguyên lý hoạt động

Nguyên tắc chung:

1. Router biên (hoặc core router) được cấu hình một route đặc biệt, ví dụ:

   ip route 192.0.2.1 255.255.255.255 Null0 tag 666


   hoặc trong BGP:

   network 192.0.2.1/32


2. Khi cần chặn IP nào, router nhận được một “trigger” qua BGP (từ hệ thống chống DDoS hoặc admin).

3. BGP thông báo route đặc biệt này đến tất cả router liên quan hoặc ISP.

4. Lưu lượng tới IP đó bị chuyển hướng vào Null0 (black hole) và bị drop.

3. Các loại RTBH

RTBH có 2 cách triển khai phổ biến:

a) Destination-based RTBH

• Chặn tất cả lưu lượng đến một IP đích.

• Thường dùng khi server đó bị tấn công mạnh và bạn muốn cô lập ngay.

• Ví dụ: Drop mọi traffic tới 203.0.113.10.

b) Source-based RTBH

• Chặn tất cả lưu lượng đến từ một nguồn IP (kẻ tấn công).

• Cần hỗ trợ uRPF (Unicast Reverse Path Forwarding) để xác minh nguồn.

• Hữu ích khi chỉ muốn chặn nguồn độc hại, giữ nguyên traffic hợp lệ.

4. Quy trình hoạt động RTBH với BGP

1. Chuẩn bị

   • Router phải chạy BGP với ISP hoặc core router khác.

   • Cấu hình một community đặc biệt cho “blackhole route”.

   • ISP đồng ý nhận community này và route traffic vào Null0.

2. Khi xảy ra tấn công

   • Admin gửi lệnh quảng bá IP bị tấn công kèm community “blackhole”.

   • Ví dụ Cisco:

     ip route 203.0.113.10 255.255.255.255 Null0
router bgp 65001
network 203.0.113.10 mask 255.255.255.255 route-map blackhole
route-map blackhole permit 10
set community 65001:666


   • ISP nhận community 65001:666 và drop traffic từ xa.

3. Hủy blackhole

   • Xóa route hoặc gỡ community → ISP dừng drop.

5. Ưu điểm và hạn chế

Ưu điểm

• Nhanh chóng: Chặn lưu lượng gần như ngay lập tức khi bị tấn công.

• Giảm tải hạ tầng: Traffic độc hại bị chặn ở biên mạng, không vào hệ thống.

• Tự động hóa: Có thể tích hợp với hệ thống phát hiện DDoS để kích hoạt tự động.

Hạn chế

• Với Destination-based RTBH, IP bị chặn sẽ mất cả traffic hợp lệ.

• Cần cấu hình sẵn với ISP và đồng ý về community/route.

• Không lọc được traffic tinh vi nếu chỉ dựa vào IP.

6. Ứng dụng thực tế

• ISP lớn: Triển khai RTBH để bảo vệ khách hàng khỏi DDoS.

• Doanh nghiệp: Kết hợp RTBH với IDS/IPS để khi phát hiện tấn công → tự động gửi BGP update blackhole.

• Các trung tâm dữ liệu: Dùng để cô lập máy chủ bị compromise hoặc bị tấn công.

7. So sánh RTBH với ACL Firewall

8. Kết luận

RTBH là một công cụ cực kỳ hữu hiệu để xử lý tình huống DDoS hoặc cần chặn traffic độc hại ngay từ xa, đặc biệt khi phối hợp với ISP. Tuy nhiên, cần có kế hoạch và quy trình kích hoạt/hủy rõ ràng để tránh làm gián đoạn dịch vụ hợp lệ.