黑護士 - DDoS 技術幫助普通筆記型電腦摧毀整個伺服器系統

即使這些伺服器配備了眾所周知的防火牆設備，如果攻擊者利用此技術，它們仍然可以關閉。

這聽起來可能令人難以置信，但你不需要一個巨大的殭屍網絡，只需要一台具有互聯網連接的筆記型電腦即可發起強大的DDoS攻擊，摧毀重要的互聯網伺服器和現有防火牆。太棒了。

TDC 安全營運中心的研究人員發現了一種新的攻擊技術，該技術允許利用有限資源的單獨攻擊者（在本例中，一台具有至少 15 Mbps 頻寬的寬頻網路的筆記型電腦）可以摧毀大型伺服器。

該技術被稱為BlackNurse 攻擊或「 Ping of Death」低速攻擊，可用於透過發送 ICMP 封包或「ping」來淹沒伺服器上的處理器來發動一系列小量 DoS 攻擊。

即使受 Cisco、Palo Alto Networks或其他公司的防火牆保護的伺服器也會受到這種攻擊技術的影響。

ICMP（Internet 控制訊息協定）是路由器和其他網路設備用來傳送和接收錯誤訊息的協定。

Ping of Death是一種透過向目標發送大小超過 65,536 位元組的 ICMP 封包來使網路過載的攻擊技術。由於此大小大於 IP 封包允許的大小，因此它將被分成更小的區塊並傳送到目標電腦。當它到達目標時，它會被重新組裝成一個完整的資料包，由於其尺寸過大，會導致緩衝區溢位和崩潰。

根據本週發布的一份技術報告，BlackNurse 攻擊還有一個更傳統的名稱：“ ping 洪水攻擊”，它基於 ICMP 類型 3 查詢（或錯誤）（目標不可達）代碼 3（連接埠不可達錯誤） 。

這些查詢是回覆封包，當目標的目標連接埠無法存取或Unreachable時，通常會傳回來源 ping 。

1. BlackNurse 攻擊技術的工作原理如下：

透過傳送代碼為 3的 ICMP 類型 3資料包，駭客可以透過使某些類型的伺服器防火牆上的 CPU 過載而導致拒絕服務 (DoS) 情況，而不管 Internet 連線的品質如何。

使用BlackNurse技術的流量非常小，只有15 Mbps 到18 Mbps（或每秒大約40,000 到50,000 個數據包），特別是與針對提供商的創紀錄的1 Tbps DDoS 攻擊相比。法國互聯網服務提供商OVH於9 月份。

同時，TDC也表示，這個龐大的資料量並不是一個重要的問題，只要保持穩定的40K到50K的ICMP封包到達受害者的網路設備就可以摧毀目標設備。

那這裡有什麼好消息呢？研究人員表示：“一旦攻擊發生，區域網路上的用戶將無法再向互聯網發送或接收流量。我們看到的所有防火牆在攻擊停止後都恢復了。”

然而，這意味著這種低容量的 DoS 攻擊技術仍然非常有效，因為它不僅會淹沒防火牆的訪問，還會迫使 CPU 處於高負載，如果攻擊有足夠的網路容量，甚至會使伺服器離線。

研究人員表示，BlackNurse不應與依賴 ICMP 類型 8 代碼 0 封包（或常規 ping 封包）的 ping 洪氾攻擊混淆。研究人員解釋：

“ BlackNurse攻擊技術引起了我們的注意，因為在測試反DDoS解決方案時，即使訪問速度和每秒數據包量處於非常低的水平，這種攻擊也可能會停止我們客戶的所有操作。 ”

“這種攻擊技術甚至可以應用於配備防火牆和大型互聯網連接的企業。我們希望專業的防火牆設備能夠處理這些攻擊。這種攻擊。”

2. 受影響的設備

BlackNurse 攻擊技術對以下產品有效：

• Cisco ASA 防火牆設備 5506、5515、5525（預設值）。
• Cisco ASA 5550（舊世代）和 5515-X（最新一代）防火牆設備。
• Cisco 路由器 897（可能會降級）。
• SonicWall（可以更改和緩解錯誤配置）。
• 來自帕洛阿爾託的一些未知設備。
• 路由器 Zyxel NWA3560-N（來自內部 LAN 的無線攻擊）。
• Zyxel Zywall USG50 防火牆設備。

3. 如何緩解BlackNurse攻擊？

對您來說還有個好消息——您可以透過多種方式反擊 BlackNurse 的攻擊。

TDC 建議了許多可用於偵測 BlackNurse 攻擊的緩解措施和IDS 規則 SNORT （開源入侵偵測系統 SNORT）。此外，PoC（概念驗證）程式碼已由 OVH 工程師發佈到 GitHub，這些程式碼也可用於針對 BlackNurse 測試 LuckyTemplates 的裝置。

為了減輕 BlackNurse 對防火牆和其他設備的攻擊，TDC 建議用戶建立一個可信任來源列表，允許發送和接收 ICMP 封包。然而，緩解攻擊的最佳方法是停用 WAN 介面上的 ICMP 類型 3 代碼 3 封包。

帕洛阿爾托網路公司也發表聲明，稱其設備僅在「非常特定的情況下受到影響，而不是在預設設定和常見做法下」。該公司還為其客戶列出了一些建議。

同時，思科表示，它不認為報告中的行為是安全問題，但警告說：

「我們建議大家為ICMP 類型3 不可達資料包設定許可證。拒絕ICMP 不可達訊息有助於停用ICMP 封包的路徑MTU 發現協定。這些可以阻止IPSec（Internet 協定安全：一組保護訊息傳輸流程安全的協定） ）並根據PPTP協定（點對點隧道協定：用於在VPN虛擬專用網路之間傳輸資料的協定）進行存取。”

此外，獨立軟體廠商NETRESEC也發表了一份對BlackNurse的詳細分析，標題為：《90年代的洪氾攻擊技術又回來了》。除了上述警告之外，SANS Institute 還發布了一份有關 BlackNurse 攻擊的簡短備忘錄，討論了該攻擊以及用戶應採取哪些措施來緩解該攻擊。