Blackhole-Routing: FIB/RIB prüfen als Beweis

Blackhole-Routing bezeichnet eine Routing-Situation, in der Pakete zwar scheinbar korrekt geroutet werden, aber in der Praxis „verschwinden“: Der Traffic erreicht sein Ziel nicht, ohne dass ein eindeutiger Link-Down oder ein klarer Fehler im Monitoring sichtbar ist. Besonders tückisch wird es, wenn Monitoring nur Control-Plane-Indikatoren betrachtet (BGP/OSPF „up“, Interfaces „up“) und trotzdem Nutzer Timeouts melden. Das Hauptkeyword Blackhole-Routing steht in vielen Incident-Reports, aber als Beweis zählt am Ende nicht ein Bauchgefühl, sondern die technische Kette: Welche Route steht in der RIB (Routing Information Base), welche Route ist tatsächlich in der FIB (Forwarding Information Base) installiert, und wie wird der Traffic in Hardware oder Software wirklich weitergeleitet? Genau hier liegt der entscheidende Ansatz: Wer systematisch RIB und FIB prüft, kann Blackholing nicht nur vermuten, sondern nachweisen – und gleichzeitig die Ursache eingrenzen, etwa falsche Next-Hops, fehlende Rekursion, fehlerhafte Policy, VRF-Leaks oder eine unvollständige Programmierung in TCAM/ASIC.

Grundlagen: Was ist Blackhole-Routing und welche Varianten gibt es?

Im Kern bedeutet Blackhole-Routing, dass ein Router oder Switch Traffic für ein Präfix annimmt, aber nicht korrekt an einen gültigen nächsten Hop weiterleitet. Das kann in unterschiedlichen Formen auftreten:

• Explizites Blackholing: Eine Route zeigt bewusst auf ein Null-Interface (z. B. Null0) oder nutzt „discard/blackhole“-Next-Hop, häufig zur DDoS-Abwehr.
• Unbeabsichtigtes Blackholing: Durch Fehlkonfiguration, falsche Policies, Routing-Leaks, defekte Rekursion oder FIB-Programmierungsprobleme werden Pakete verworfen oder in eine Sackgasse geschickt.
• Partielles Blackholing: Nur bestimmte Flows, bestimmte Protokolle, einzelne ECMP-Pfade oder ein Teil der Address-Family (IPv4 vs. IPv6) sind betroffen.
• Asymmetrisches Blackholing: Der Hinweg funktioniert, aber der Rückweg wird verworfen (kritisch bei stateful Firewalls und Load Balancern).

Für die Fehlersuche ist die Unterscheidung wichtig, weil explizites Blackholing häufig gewollt und dokumentiert ist, während unbeabsichtigtes Blackholing meist als Incident auftritt und oft aus RIB/FIB-Divergenz resultiert.

RIB und FIB: Warum die Unterscheidung der Schlüssel zum Beweis ist

Die RIB (Routing Information Base) ist die „Wahrheit“ der Control Plane: Hier stehen alle gelernten Routen aus BGP, OSPF, statischen Einträgen, Connected, EVPN/VPN usw. Die FIB (Forwarding Information Base) ist die „Wahrheit“ der Data Plane: Sie enthält die tatsächlich für die Paketweiterleitung genutzten Einträge, oft in Hardware (ASIC/TCAM) oder in einer Software-FIB. In idealen Situationen entspricht die FIB dem aus der RIB ausgewählten Best Path. In realen Netzen können jedoch Abweichungen entstehen.

Typische Gründe für RIB/FIB-Divergenz

• FIB-Installationsfehler: Route ist in der RIB vorhanden, wird aber nicht in die FIB programmiert (z. B. Ressourcenmangel, TCAM voll, Bug).
• Next-Hop nicht auflösbar: RIB zeigt einen Next-Hop, der rekursiv nicht erreichbar ist; je nach Plattform bleibt die Route in der RIB, aber nicht (vollständig) in der FIB.
• VRF- oder Policy-Effekte: Route ist im falschen Kontext (VRF) oder wird im Forwarding durch Policy-based Routing/ACLs effektiv verworfen.
• ECMP- oder Hash-Probleme: Nur ein Teil der Pfade ist defekt, wodurch nur ein Teil des Traffics blackholed.
• Adjacency- und ARP/ND-Probleme: Die Route ist installiert, aber die L2-Auflösung zum Next-Hop fehlt oder flapped, wodurch Forwarding scheitert.

Der Beweis für Blackhole-Routing entsteht, wenn Sie zeigen können, dass (a) die RIB eine Route und einen Next-Hop vorgibt, (b) die FIB entweder keinen passenden Eintrag hat oder einen anderen Weiterleitungsweg nutzt, und (c) die Weiterleitung in der Datenebene zu Drops führt.

Symptome: Wie Blackholing in der Praxis aussieht

Blackhole-Routing ist selten ein „alles geht gar nicht“-Problem. Häufig ist es selektiv: bestimmte Subnetze sind nicht erreichbar, bestimmte Dienste brechen ab, während andere funktionieren. Typische Indikatoren:

• Ping/Traceroute endet unerwartet (oft mit Timeouts nach einem bestimmten Hop).
• TCP-Verbindungen hängen (SYN geht raus, SYN/ACK kommt nicht zurück oder umgekehrt).
• Monitoring widersprüchlich: Routing-Protokolle up, Interfaces up, aber Applikationen down.
• Asymmetrische Erreichbarkeit: Von Standort A nach B geht es, von B nach A nicht.
• Nur ein Teil der Flows betroffen: Besonders häufig bei ECMP, LAG oder Anycast-Designs.

Beweisführung: Systematisch RIB und FIB prüfen

Um Blackhole-Routing belastbar nachzuweisen, hilft ein klarer Ablauf. Ziel ist, jede Annahme durch einen überprüfbaren Zustand zu ersetzen: Welche Route ist gewählt, welcher Next-Hop ist aktiv, ist die Route wirklich in der FIB, und ist die L2-/Adjacency zur Weiterleitung stabil?

Schritt 1: Betroffenes Präfix eindeutig definieren

Starten Sie mit einem konkreten Ziel: eine IP oder ein Präfix, das nicht erreichbar ist. Prüfen Sie, ob das Problem IPv4, IPv6 oder beides betrifft. Notieren Sie außerdem den erwarteten Pfad (z. B. „über DCI“, „über Internet-Edge“, „über Firewall-Cluster“).

Schritt 2: RIB prüfen – welche Route ist aus Sicht der Control Plane aktiv?

In der RIB prüfen Sie:

• Best Path: Welche Route ist ausgewählt (BGP Best Path, OSPF Cost, statische Route)?
• Next-Hop: Wohin soll weitergeleitet werden?
• Quelle und Attribute: Bei BGP z. B. Local Preference, AS-Path, MED, Communities, Origin, Route-Target (bei VPN).
• Rekursion: Ist der Next-Hop selbst wiederum erreichbar (existiert eine Route zum Next-Hop)?

Wenn die RIB schon hier „komisch“ aussieht (z. B. Next-Hop zeigt auf ein unerwartetes Segment), liegt die Ursache oft in Policies oder Route Leaks. Wenn die RIB plausibel ist, aber der Traffic trotzdem verschwindet, wird die FIB-Prüfung entscheidend.

Schritt 3: FIB prüfen – ist die Route wirklich im Forwarding installiert?

Die zentrale Frage lautet: Existiert ein FIB-Eintrag, der das Zielpräfix abdeckt, und zeigt er auf denselben Next-Hop wie die RIB? Prüfen Sie dabei auch:

• Longest Prefix Match: Gibt es ein spezifischeres Präfix, das in der FIB greift und den Traffic „umlenkt“?
• ECMP: Welche Next-Hops sind tatsächlich programmiert? Sind alle Up?
• Hardware vs. Software: Manche Plattformen zeigen getrennt, ob ein Eintrag in Hardware offloaded ist oder nur softwareseitig existiert.

Ein typischer Beweis für Blackholing ist die Situation: In der RIB ist Route X aktiv, aber in der FIB fehlt sie oder sie ist durch ein unerwartetes spezifischeres Präfix übersteuert. Dann kann die Datenebene nicht so forwarden, wie die Control Plane „verspricht“.

Schritt 4: Adjacency (ARP/ND) und Next-Hop-Auflösung prüfen

Selbst wenn Route und FIB stimmen, kann der Forwarding-Pfad scheitern, wenn der Next-Hop auf Layer 2 nicht auflösbar ist. Prüfen Sie daher:

• ARP/ND-Eintrag für den Next-Hop (stabil, korrekt, nicht flappend).
• Interface- und Fehlercounter (Drops, CRC, Output Discards), die auf physische oder Queue-Probleme hindeuten können.
• Neighbor/Adjacency-State in der Hardware (falls das Gerät das ausweist).

Schritt 5: Data-Plane-Verifikation – Drops und Telemetrie

Um den Nachweis zu vervollständigen, ist ein Blick auf Data-Plane-Indikatoren hilfreich: Drops am Interface, ACL-Hits, PBR-Zähler, Firewall-Session-Logs, oder Flow-Telemetrie (NetFlow/IPFIX/sFlow). So schließen Sie aus, dass das Paket zwar korrekt geroutet wird, aber an einer Policy oder Security-Komponente verworfen wird.

Häufige Ursachen und wie RIB/FIB sie entlarvt

Die RIB/FIB-Prüfung ist nicht nur „Beweis“, sondern auch ein sehr schneller Weg zur Root-Cause-Klasse.

Falscher Next-Hop durch Policy oder Route Leak

• Indiz in der RIB: Best Path kommt von einem unerwarteten Neighbor oder mit ungewöhnlichen Attributen.
• Indiz in der FIB: Forwarding zeigt in Richtung eines Segments, das das Ziel nicht tragen kann.
• Typische Ursache: Fehlende Prefix-Listen, zu breite Route-Maps, falsche Communities oder VRF-Import/Export-Fehler.

Next-Hop rekursiv nicht erreichbar

• Indiz in der RIB: Route zeigt auf Next-Hop, aber die Route zum Next-Hop fehlt, ist instabil oder in falscher VRF.
• Indiz in der FIB: Route wird nicht installiert oder zeigt auf ein Drop/Null-Verhalten.
• Typische Ursache: IGP-Problem, VRF-Leak, fehlende Connected-Route, falsche Next-Hop-Self-Policy.

FIB-Programmierung scheitert (Ressourcen/TCAM/ASIC)

• Indiz in der RIB: Route vorhanden, stabil, plausibel.
• Indiz in der FIB: Eintrag fehlt oder ist nur teilweise vorhanden; zusätzliche Hinweise sind „FIB failure“-Logs oder Ressourcenalarme.
• Typische Ursache: Zu große Tabellen, falsche TCAM-Profile, Softwarefehler, unerwartete Feature-Kombinationen.

Partielles Blackholing durch ECMP oder LAG

• Indiz in der RIB: Mehrere Next-Hops (ECMP) sind erlaubt.
• Indiz in der FIB: Einer der programmierten Pfade zeigt auf einen fehlerhaften Link/Neighbor.
• Typische Ursache: Einseitige LAG-Probleme, defekte Member-Links, asymmetrische MTU, Hashing auf einen „schlechten“ Pfad.

Blackhole-Routing vs. absichtliches Blackholing (DDoS-Abwehr)

In vielen Netzen wird Blackhole-Routing absichtlich eingesetzt, um Angriffe zu dämpfen – etwa durch statische Nullrouten oder BGP-Blackhole-Communities, die Traffic zu einem „discard“-Next-Hop lenken. Der entscheidende Unterschied ist die Dokumentation und Intention: Absichtliches Blackholing ist zeitlich begrenzt, nachvollziehbar und in Policies eingebettet. Unbeabsichtigtes Blackholing dagegen trifft häufig auch legitimen Traffic und ist nicht sauber begründet.

Für Hintergrundwissen zu BGP als Routing-Protokoll ist die Spezifikation zu BGP-4 (RFC 4271) hilfreich. Zum Konzept der Forwarding-Entscheidung und Longest Prefix Match bietet die Übersicht zu Longest Prefix Match eine gut verständliche Grundlage.

Praktische Strategien: Blackholing eingrenzen, ohne das Netz zu destabilisieren

Wenn ein Incident läuft, ist die Versuchung groß, „einfach Routes zu löschen“ oder Sessions zu resetten. Das kann jedoch Routing-Churn und weitere Ausfälle verursachen. Ein strukturierter Ansatz reduziert Risiko:

Stabilisieren vor Optimieren

• Scope klarziehen: Welche Präfixe/Services sind betroffen?
• Change Freeze: Keine parallel laufenden Changes, die die Interpretation der RIB/FIB-Daten verwässern.
• Priorisieren: Erst Core/Border/FW-Pfade prüfen, dann Access.

Gezielte Verifikation statt breiter Maßnahmen

• RIB/FIB für das konkrete Präfix auf den relevanten Hop-Geräten prüfen (Ingress, Transit, Egress).
• Adjacency prüfen (ARP/ND) und Interface-Counter korrelieren.
• ECMP testweise reduzieren, wenn partielles Blackholing vermutet wird (nur kontrolliert und nach Runbook).

Policies und Guardrails nutzen

• Max-Prefix und Policy-Filter: verhindern, dass Leaks die FIB/RIB überrollen.
• Monitoring auf RIB/FIB-Divergenz: Alarme, wenn eine Route in der RIB existiert, aber nicht in der FIB.
• Dokumentierte Blackhole-Mechanismen: Damit absichtliches Blackholing nicht als Incident fehlinterpretiert wird.

Messbarkeit: Warum der Beweis ohne FIB oft unvollständig bleibt

Viele Diagnosen bleiben stecken, weil nur die RIB betrachtet wird. In modernen Netzwerken mit Hardware-Forwarding, Offloads, VRFs und komplexen Policies ist die FIB der entscheidende Wahrheitsanker. Ein sauberer Beweis für Blackhole-Routing lautet daher sinngemäß: „Die Route ist in der RIB so und so, aber die FIB zeigt X (oder nichts), und genau daraus folgen Drops im Datenpfad.“ Diese Kette ist belastbar, nachvollziehbar und für Postmortems oder Provider-Eskalationen geeignet.

Outbound-Quellen für vertiefendes Verständnis

Für die Grundlagen von BGP und dessen Route-Auswahl dient RFC 4271 (BGP-4) als Standardreferenz. Für das Forwarding-Prinzip, das bei der FIB-Prüfung zentral ist, erklärt Longest Prefix Match die Logik hinter der Auswahl der spezifischsten Route. Wer zusätzlich den Zusammenhang zwischen Routing-Tabellen und Paketweiterleitung in IP-Netzen vertiefen möchte, findet in der Übersicht zu Routingtabellen eine verständliche Einordnung, die sich gut mit der praktischen RIB/FIB-Diagnose verknüpfen lässt.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.