Was ist ein Sinkhole?
In Computernetzwerken ist ein Sinkhole ein Element, an das verdächtiger und gefährlicher Traffic weitergeleitet wird. Die Technik hilft Netzwerk-Administratoren zum Beispiel bei der Weiterleitung von Denial-of-Service-Verkehr vom Netzwerk, sodass die Infrastruktur des Netzwerk intakt bleibt. Wenn der Datenverkehr in den Sinkholes landet, kann dieser das Angriffsziel nicht mehr schädigen. Meist enthalten solche Sinkholes weitere Netzwerk-Analysetools. Die Tools analysieren verdächtigen Traffic und entscheiden, ob dieser bösartig ist oder nicht. Weiter helfen die Tools bei der Abwehr von Gefahren und unterstützen den Administrator bei der Identifizierung der Quelle, von der die Gefahr ausgeht. Die Art der Implementierung hängt davon ab, ob es um den Schutz eines Routers oder eines Servers geht. Sogenannte Darknets und Honeynets sind zwei Arten von Sinkholes und dienen der Neutralisierung von Angriffen durch Botnetze.
Wie deaktiviert ein Sinkhole einen Botnetz-Angriff?
Das Sinholding kann ein Botnetz und die kompromittierten Endpunkte deaktivieren. Mit einen Honeynet oder Darknet lassen sich die Angriffe aufspüren. Entsprechend konfigurierte Server sammeln Informationen darüber, wie eine Malware funktioniert, decken die Quelle auf und zeigen Wege zur erfolgreichen Abwehr. Wenn das Botnetz entdeckt und der Datenverkehr analysiert wird, kann der Nutzer eines Sinkholes die Quelle aufspüren. Die Informationen helfen bei der Identifizierung von Gefahren und kompromittierten Daten. Ein möglicher Schutz ist zum Beispiel ein Wechsel des DNS-Servers und die Weiterleitung des Verkehrs in das Sinkhole. Mithilfe von Sinkholding bleiben Computer und Daten sicher, Informationen über infizierte Rechner werden gesammelt und der Administrator kann die Malware vom System entfernen.
Wie schützt ein Sinkhole einen Router?
Für den Schutz eines Routers muss es möglich sein, den gefährlichen Traffic umzuleiten. Der Router muss über eine weitere interne Adresse verfügen, über die der Administrator die Konfiguration des Routers ändern kann. Dies ist bei Servern seltener nötig, da diese durch die Konfiguration des Routers geschützt sind.
Wie schützt ein Sinkhole einen Server?
Wenn ein Angriff festgestellt wird, wäre der Server aufgrund der erfolgenden Überladung nutzlos. Daher wird seine Adresse neu zugewiesen und es erfolgt eine Weiterleitung des Traffics zu den Sinkholes.