Még ha ezek a kiszolgálók jól ismert tűzfaleszközökkel vannak felszerelve, akkor is eltávolíthatók, ha egy támadó kihasználja ezt a technikát.
Lehet, hogy hihetetlenül hangzik, de egy óriási botnet helyett csak egy internetkapcsolattal rendelkező laptopra van szükség ahhoz, hogy erőteljes DDoS- támadást indítson , amely lerombolja a fontos internetes szervereket és a meglévő tűzfalakat.
A TDC Security Operations Center kutatói felfedeztek egy új támadási technikát, amely lehetővé teszi, hogy a korlátozott erőforrásokkal rendelkező magányos támadók (jelen esetben egy laptop legalább 15 Mb/s sávszélességű szélessávú hálózattal) letörjenek nagy szervereket .
A BlackNurse támadásnak vagy a " Ping of Death " kis sebességű támadásnak nevezett technikával kis volumenű DoS-támadások sorozatát lehet indítani, ICMP-csomagok vagy "pingek" küldésével, amelyek elárasztják a szerver processzorait.
Még a Cisco , Palo Alto Networks vagy más cégek tűzfalai által védett szervereket is érinti ez a támadási technika.
Az ICMP (Internet Control Message Protocol) az útválasztók és más hálózati eszközök által hibaüzenetek küldésére és fogadására használt protokoll.
A Ping of Death egy támadási technika, amely túlterheli a hálózatot azáltal, hogy 65 536 bájtnál nagyobb ICMP-csomagokat küld a célpontnak. Mivel ez a méret nagyobb, mint az IP-csomagok megengedett mérete, a rendszer kisebb darabokra osztja, és elküldi a célszámítógépnek. Amikor eléri a célt, újra összeáll egy komplett csomaggá, túlzott mérete miatt puffer túlcsordulást és összeomlást okoz.
A héten közzétett technikai jelentés szerint a BlackNurse támadást hagyományosabb néven is ismerik: " ping flood attack ", és az ICMP Type 3 lekérdezéseken (vagy hibákon) alapul. Destination Unreachable) Code 3 (Port Unreachable error) .
Ezek a lekérdezések válaszcsomagok, amelyek általában akkor térnek vissza a forrás pinghez, amikor a cél célportja nem érhető el – vagy Unreachable .
1. Így működik a BlackNurse támadási technika:
Egy 3-as típusú ICMP- csomag 3-as kódú küldésével a hacker szolgáltatásmegtagadási (DoS) állapotot idézhet elő azáltal, hogy túlterheli a CPU-kat bizonyos típusú szervertűzfalakon. , függetlenül az internetkapcsolat minőségétől.
A BlackNurse technikát alkalmazó forgalom nagyon kicsi, mindössze 15 Mbps-tól 18 Mbps-ig (vagy kb. 40 000-től 50 000-ig terjedő csomagok másodpercenként), különösen a szolgáltatót célzó rekord 1 Tbps-os DDoS támadáshoz képest. A francia internetszolgáltató OVH szeptemberben .
Eközben a TDC azt is elmondta, hogy ez a hatalmas mennyiség nem jelent fontos problémát, ha pusztán az áldozat hálózati eszközét elérő ICMP-csomagok 40 000 és 50 000 közötti folyamatos folyamának fenntartása tönkreteheti azt.
Szóval mi a jó hír? " Amint a támadás megtörténik, a LAN-felhasználók többé nem tudnak forgalmat küldeni vagy fogadni az internetre és onnan" - mondták a kutatók ."
Ez azonban azt jelenti, hogy ez az alacsony volumenű DoS támadási technika továbbra is nagyon hatékony, mert nem csak a tűzfalat árasztja el hozzáférésekkel, hanem a CPU-kat is nagy terhelésre kényszeríti, még akkor is, ha a támadásnak elegendő hálózati kapacitása van offline állapotban.
A kutatók szerint a BlackNurse-t nem szabad összetéveszteni az ICMP Type 8 Code 0 csomagokon (vagy normál ping csomagokon) támaszkodó ping-elárasztásos támadásokkal. A kutatók megmagyarázzák:
" A BlackNurse támadási technika felkeltette a figyelmünket, mert az anti-DDoS megoldás tesztelése során még akkor is, ha a hozzáférési sebesség és a másodpercenkénti csomagok mennyisége nagyon alacsony volt, ez a támadás leállíthatja ügyfeleink összes műveletét ."
" Ez a támadási technika akár tűzfallal és nagy internetkapcsolattal felszerelt vállalkozásoknál is alkalmazható. Reméljük, hogy a professzionális tűzfaleszközök képesek lesznek kezelni ezeket a támadásokat. ezt a támadást ."
2. Érintett eszközök
A BlackNurse támadási technika a következő termékekkel hatékony:
3. Hogyan lehet enyhíteni a BlackNurse támadást?
Még mindig van egy jó hír az Ön számára – számos módon védekezhet a BlackNurse támadásai ellen.
A TDC számos enyhítést és IDS-szabályt ajánl a SNORT (nyílt forráskódú behatolásészlelési rendszer SNORT) használatához, amelyek segítségével észlelhetők a BlackNurse támadások. Továbbá a PoC (proof-of-concept) kódokat az OVH mérnökei közzétették a GitHub-on, amelyekkel a Wiki.SpaceDesktop eszközeit is tesztelhetik a BlackNurse ellen.
A tűzfalak és egyéb eszközök elleni BlackNurse támadások mérséklése érdekében a TDC azt javasolja a felhasználóknak, hogy hozzanak létre egy listát azokról a megbízható forrásokról, amelyek jogosultak ICMP-csomagok küldésére és fogadására . A támadás mérséklésének legjobb módja azonban az ICMP Type 3 Code 3 csomagok letiltása a WAN interfészen.
A Palo Alto Networks is kiadott egy közleményt, amely szerint eszközei csak " nagyon meghatározott forgatókönyvek esetén érintettek, nem alapértelmezett beállításokkal és az általános gyakorlattal szemben ". A cég néhány ajánlást is felsorolt ügyfelei számára.
Eközben a Cisco azt mondta, hogy a jelentésben szereplő viselkedést nem tekinti biztonsági problémának, de figyelmeztetett, hogy:
" Azt javasoljuk, hogy mindenki állítson be licencet az ICMP 3. típusú elérhetetlen csomagjaihoz. Az ICMP elérhetetlen üzeneteinek megtagadása segít letiltani a Path MTU Discovery protokollt az ICMP csomagoknál. Ezek megakadályozhatják az IPSec-et (Internet Protocol Security: az információátviteli folyamat biztonságát szolgáló protokollok készlete ) és a PPTP protokoll szerinti hozzáférés (Point-To-Point Tunneling Protocol: VPN virtuális magánhálózatok közötti adatátvitelre használt protokoll) .
Ezenkívül a független szoftvergyártó, a NETRESEC részletes elemzést is közzétett a BlackNurse-ról: " A 90-es évek elárasztásos támadástechnikája visszatér ." A fenti figyelmeztetéseken kívül a SANS Institute egy rövid feljegyzést is közzétett a BlackNurse támadásról, amelyben megvitatja a támadást, és azt, hogy mit tegyenek a felhasználók annak enyhítésére.
A statikus IP-cím a számítógép vagy az útválasztó beállításaiban konfigurált rögzített IP-cím. Egyes internetszolgáltatók (ISP) megkövetelik, hogy statikus IP-címet adjon meg a számítógépén vagy az útválasztó TCP/IP-beállításaiban, hogy csatlakozhasson az internethez.
A fertőzés módja szerint a PublicBoardSearch a böngésző-gépeltérítő kategóriába tartozik. Ez egy olyan típusú rosszindulatú program, amelyet arra terveztek, hogy átvegye egy ismerős böngésző beállításait.
Nagy felbontású háttérképek gyűjteménye számítógép- és laptopfelhasználók számára teljes felbontásban Full HD-tól 4K-ig.
A Unix rendszer, más néven „visszacsatolás”, képes hálózati kommunikációt küldeni és fogadni magának egy virtuális hálózati eszközön keresztül. A számítógép képes üzeneteket küldeni magának, lehetővé téve a kommunikációt aktív hálózat nélkül.
Biztosan hallottad már azt a mondást, hogy azt kapod, amiért fizetsz, de mi a helyzet a víruskereső szoftverrel? Vásároljon szoftvercsomagokat az ingyenes védelmi megoldások helyett? Talán nem ez a helyzet, és itt van az ok!
A mai cikkben a Quantrimang összefoglalja a piacon lévő népszerű víruskereső szoftvermárkákat, és megnézi, miben különböznek a Windows PC-k és a macOS között.
Nem világos, hogy a Sun Valley mit hoz a legfelső szintű felhasználói felület változtatásokon és fejlesztéseken túl. Tehát íme, amit a felhasználók látni fognak a Windows 10 nagy Sun Valley frissítésétől, amikor az jövőre indul.
A Windows a Futtatás rendszergazdaként lehetőséget biztosít, amely lehetővé teszi a felhasználók számára, hogy rendszergazdai jogosultságokkal futtassák az alkalmazásokat és programokat. Használhatja számítógépe hibaelhárítására is. De mi van, ha ez a funkció hibásan működik, és elveszi a rendszergazdai jogokat?
A számítógép meghajtójával kapcsolatos hibák megakadályozhatják a rendszer megfelelő indítását, és korlátozhatják a hozzáférést a fájlokhoz és az alkalmazásokhoz.
Egyes rosszindulatú programváltozatok különböző modulokat használhatnak a célrendszerre gyakorolt hatásuk megváltoztatására. Tehát mi az a moduláris kártevő, és hogyan működik?
