DDoS 黑洞路由/過濾（有時稱為黑孔）是緩解?DDoS 攻擊的一種對策，網(wǎng)絡流量將被路由到“黑洞”中并且丟失。如果在沒有特定限制條件下實施黑洞過濾，合法和惡意網(wǎng)絡流量都會路由到空路由或黑洞中，并從網(wǎng)絡中丟棄。當使用?UDP?等無連接協(xié)議時，不會將丟棄數(shù)據(jù)通知返回給源服務器。對于?TCP?等以連接為導向的協(xié)議（需要握手才能與目標系統(tǒng)連接），數(shù)據(jù)丟棄時會返回通知。

對于沒有其他手段阻止攻擊的組織，黑洞路由是一個廣泛可用的選項。這種緩解方法可能會帶來嚴重后果，從而成為緩解 DDoS 攻擊的一個不受歡迎的選擇。與抗生素同時毀滅好細菌和壞細菌類似，如果部署不當，這種 DDoS 緩解措施將無區(qū)別地破壞網(wǎng)絡或服務的流量來源。復雜的攻擊也會使用可變 IP 地址和攻擊向量，這可能會限制這種緩解措施作為破壞攻擊的唯一手段的有效性。

在善意流量也受影響時使用黑洞路由有一個關鍵的后果，攻擊者已基本實現(xiàn)了破壞前往目標網(wǎng)絡或服務的流量的目標。盡管可能會幫助惡意行為者實現(xiàn)其目標，但當攻擊的目標是較大網(wǎng)絡中的小型站點時，黑洞路由仍然有用。在這種情況下，對定向到目標站點的流量進行黑洞路由可以防止大型網(wǎng)絡遭受攻擊的影響。

案例研究：一家巴基斯坦 ISP 如何通過黑洞路由關閉 YouTube

2008 年，YouTube 因為巴基斯坦電信使用黑洞路由而宕機了數(shù)小時。在發(fā)生這一狀況前，巴基斯坦通訊部發(fā)出命令，要求在全國范圍內屏蔽 YouTube，以回應一段包含描繪先知穆罕默德的荷蘭卡通的 YouTube 視頻。巴基斯坦政府所有的電信服務部門通過黑洞路由解決方案響應了這些命令，但這些解決方案產生了意外的副作用。

巴基斯坦電信創(chuàng)建了一個黑洞路由，并且廣而告之，聲稱這是任何試圖訪問 YouTube 網(wǎng)址的人的合法目的地。之后，流量被發(fā)送到黑洞路由并且被丟棄。問題是巴基斯坦電信使用 BGP *與全世界的 ISP 共享此路由。因此，巴基斯坦實際上是向全世界的互聯(lián)網(wǎng)提供商通告，這是 YouTube 流量的正確目的地，然后將所有 YouTube 綁定流量發(fā)送到一個黑洞。幸運的是，YouTube 擁有一個非常老練的技術團隊，能夠在數(shù)小時內識別并解決問題，但這個例子顯示了使用黑洞路由所帶來的嚴重風險。