Black Nurse – technika DDoS pomáha bežnému notebooku zničiť celý serverový systém

Aj keď sú tieto servery vybavené dobre známymi firewallovými zariadeniami, stále môžu byť odstránené, ak útočník zneužije túto techniku.

Môže to znieť neuveriteľne, ale namiesto obrovského botnetu potrebujete na spustenie silného DDoS útoku , ktorý zničí dôležité internetové servery a existujúce brány firewall, iba laptop s internetovým pripojením.

Výskumníci z TDC Security Operations Center objavili novú techniku ​​útoku, ktorá umožňuje osamelým útočníkom s obmedzenými zdrojmi (v tomto prípade prenosný počítač so širokopásmovou sieťou so šírkou pásma aspoň 15 Mbps) zničiť veľké servery .

Táto technika , nazývaná útok BlackNurse alebo nízkorýchlostný útok „ Ping of Death “ , sa dá použiť na spustenie série nízkoobjemových DoS útokov pomocou odosielania paketov ICMP alebo „pingov“, ktoré zahltia procesory na serveri.

Dokonca aj servery chránené firewallmi od Cisco , Palo Alto Networks alebo iných spoločností sú ovplyvnené touto technikou útoku.

ICMP (Internet Control Message Protocol) je protokol používaný smerovačmi a inými sieťovými zariadeniami na odosielanie a prijímanie chybových správ.

Ping of Death je technika útoku, ktorá preťažuje sieť posielaním paketov ICMP s veľkosťou presahujúcou 65 536 bajtov do cieľa. Pretože táto veľkosť je väčšia ako povolená veľkosť paketov IP, bude rozdelená na menšie časti a odoslaná do cieľového počítača. Po dosiahnutí cieľa sa znova poskladá do kompletného paketu, kvôli nadmernej veľkosti spôsobí pretečenie vyrovnávacej pamäte a pád.

Podľa technickej správy zverejnenej tento týždeň je útok BlackNurse známy aj pod tradičnejším názvom: „ ping flood attack “ a je založený na dopytoch (alebo chybách) ICMP Type 3. Destination Unreachable) Code 3 (chyba Port Unreachable) .

Tieto dotazy sú pakety odpovedí, ktoré sa zvyčajne vrátia na zdrojový príkaz ping, keď je cieľový port nedosiahnuteľný – alebo nedostupný .

1. Ako funguje technika útoku BlackNurse:

Odoslaním paketu ICMP typu 3 s kódom 3 môže hacker spôsobiť stav odmietnutia služby (DoS) preťažením procesorov na určitých typoch serverových firewallov., bez ohľadu na kvalitu internetového pripojenia.

Objem prevádzky pomocou techniky BlackNurse je veľmi malý, iba od 15 Mbps do 18 Mbps (alebo asi 40 000 až 50 000 paketov za sekundu), najmä v porovnaní s rekordným 1 Tbps DDoS útokom zameraným na poskytovateľa. Francúzsky poskytovateľ internetových služieb OVH v septembri .

Medzitým TDC tiež povedalo, že tento obrovský objem nie je dôležitým problémom, keď už len udržiavanie stáleho prúdu ICMP paketov od 40 000 do 50 000, ktoré sa dostanú do sieťového zariadenia obete, ho môže zničiť.

Aké sú tu dobré správy? „ Akonáhle dôjde k útoku, používatelia v sieti LAN už nebudú môcť odosielať ani prijímať prenosy do az internetu," uviedli vedci ."

To však znamená, že táto technika nízkoobjemového DoS útoku je stále veľmi efektívna, pretože nielenže zahlcuje firewall prístupmi, ale tiež núti CPU k vysokej záťaži, dokonca ak má útok dostatočnú sieťovú kapacitu, odpojí servery.

Výskumníci tvrdia, že BlackNurse by sa nemal zamieňať s útokmi ping flooding, ktoré sa spoliehajú na pakety ICMP Type 8 Code 0 (alebo bežné ping pakety). Vedci vysvetľujú:

" Technika útoku BlackNurse pritiahla našu pozornosť, pretože pri testovaní riešenia anti-DDoS, aj keď rýchlosť prístupu a objem paketov za sekundu boli na veľmi nízkej úrovni, tento útok môže tiež zastaviť všetky operácie našich zákazníkov ."

" Túto techniku ​​útoku možno dokonca použiť na podniky vybavené firewallmi a veľkými internetovými pripojeniami. Dúfame, že profesionálne firewallové zariadenia zvládnu tieto útoky. tento útok ."

2. Dotknuté zariadenia

Technika útoku BlackNurse je účinná s nasledujúcimi produktmi:

• Cisco ASA Firewall Appliances 5506, 5515, 5525 (v predvolenom nastavení).
• Zariadenia firewall Cisco ASA 5550 (staršia generácia) a 5515-X (najnovšia generácia).
• Cisco Router 897 (môže prejsť na nižšiu verziu).
• SonicWall (nesprávna konfigurácia sa dá zmeniť a zmierniť).
• Niektoré neznáme zariadenia od Palo Alto.
• Router Zyxel NWA3560-N (bezdrôtový útok z internej LAN).
• Firewall Zyxel Zywall USG50.

3. Ako zmierniť útok BlackNurse?

Stále máme pre vás dobré správy – existuje niekoľko spôsobov, ako sa môžete brániť útokom BlackNurse.

TDC odporúča množstvo zmiernení a pravidiel IDS SNORT (open source intrusion detection system SNORT), ktoré možno použiť na detekciu útokov BlackNurse. Okrem toho inžinieri OVH poslali na GitHub kódy PoC (proof-of-concept), ktoré môžu byť tiež použité na testovanie zariadení Wiki.SpaceDesktop proti BlackNurse.

Na zmiernenie útokov BlackNurse na firewally a iné zariadenia TDC odporúča, aby si používatelia vytvorili zoznam dôveryhodných zdrojov, ktoré môžu odosielať a prijímať pakety ICMP . Najlepším spôsobom, ako zmierniť útok, je však jednoducho vypnúť pakety ICMP Type 3 Code 3 na rozhraní WAN.

Spoločnosť Palo Alto Networks tiež vydala vyhlásenie, v ktorom uviedla, že jej zariadenia boli ovplyvnené iba „ veľmi špecifickými scenármi, nie v predvolených nastaveniach a proti bežným praktikám “. Spoločnosť tiež uviedla niekoľko odporúčaní pre svojich zákazníkov.

Spoločnosť Cisco medzitým uviedla, že správanie v správe nepovažuje za bezpečnostný problém, ale varovala, že:

" Odporúčame, aby si každý nastavil licenciu pre pakety ICMP typu 3 nedostupné. Odmietnutie správ o nedostupnosti ICMP pomáha deaktivovať protokol Path MTU Discovery pre pakety ICMP. Tieto môžu brániť IPSec (Internet Protocol Security: súbor protokolov na zabezpečenie procesu prenosu informácií ) a prístup podľa protokolu PPTP (Point-To-Point Tunneling Protocol: Protokol používaný na prenos údajov medzi virtuálnymi privátnymi sieťami VPN) .

Okrem toho nezávislý dodávateľ softvéru NETRESEC publikoval aj podrobnú analýzu BlackNurse s názvom: " Technika záplavového útoku z 90. rokov je späť ." Okrem vyššie uvedených upozornení oznámil inštitút SANS aj krátke oznámenie o útoku BlackNurse, v ktorom sa diskutuje o útoku a o tom, čo by používatelia mali urobiť, aby ho zmiernili.