最近有研究人员发现了一种被称为BlackNurse的简单攻击方式,能够让独立入侵者能用有限的资源(一个有15Mbps带宽的笔记本)驱动大规模DDoS攻击,直接将大型服务器踢下线。 发现BlackNurse攻击的是一个家叫做TDC的丹麦安全运营中心,据说BlackNurse能够攻击大型防火墙保护下的服务器,包括Cisco Systems, Palo Alto Networks, SonicWall和Zyxel的防火墙。
在研究人员发布分析报告中还提到:“我们将这种攻击方式命名为BlackNurse,它不是仅仅建立在网络连接上的单纯ICMP(控制报文协议Internet Control Message Protocol)泛洪攻击,要知道传统的ICMP泛洪攻击是通过高频向目标发送ICMP请求来实现的,而BlackNurse攻击则是基于ICMP Type3 Code3的包,而这种包通常被路由器和网络设备用来发送和接受错误信息。” ICMP是TCP/IP的一个子协议,大部分常见的ICMP攻击都是基于Type8 Code0的,即泛洪攻击。Type8 Code0是Echo request——回显请求(Ping请求),Ping的原理是向网络上的另一个主机系统发送ICMP报文请求,如果指定系统获得报文,它会回送应答报文,这类似潜水艇声纳系统中使用的发声装置。 而BlackNurse攻击基于Type3(Destination Unreachable) Code3(Port Unreachable)——端口不可达,当目标端口不可达,所发出的ICMP包都会返回源。攻击者可以通过发这种特定的ICMP包令大多数服务器防火墙的CPU过载。一旦设备抛弃的包到了临界值15Mbps至18Mbps(每秒4万到5万个包),服务器就会直接下线。
来自TDC安全管理平台(SOC)的研究人员解释道,只要攻击者拥有一台笔记本,就可以利用BlackNurse发起峰值达180Mbps的DDoS攻击。
换句话说,这样低容量的DDoS攻击能够起效的主要原因是它不像泛洪攻击那样以流量取胜,而是增加CPU的负荷,这样即使网站还有很大的流量依然会被踢下线。 经专家证实,在过去的两年内TDC安全运营中心的用户共遭到95起利用ICMP协议的DDoS攻击,但并没有提到其中具体有多少起采用了BlackNurse攻击。 Netresec的安专家也支持了TDC的分析,确定这种攻击针对一些主要的防火墙制造商,包括Cisco Systems, Palo Alto Networks, SonicWall和Zyxel。 TDC证实容易被BlackNurse攻击的防火墙主要有以下几种型号:
Palo Alto Networks公司还专门为这种DDoS攻击提出了建议。传送门 * 参考来源:securityaffairs,FB小编孙毛毛编译 |