DOS技术让一台笔记本电脑取下企业防火墙
在分布式拒绝服务攻击的大小达到前所未有的水平的时候,研究人员在野外发现了一种新的攻击技术,允许单个笔记本电脑取下高带宽企业防火墙。
攻击被称为Blacknurse,涉及发送特定类型和代码的Internet控制消息协议(ICMP)数据包。ICMP通常用于Ping网络诊断实用程序,以及尝试过载与ping消息的系统的攻击 - 称为ping泛洪 - 使用ICMP类型8代码0数据包。
Blacknurse使用ICMP类型3(目的地无法访问)代码3(端口无法访问)数据包,而且一些防火墙在处理时消耗了很多CPU资源。
根据丹麦电信运营商TDC的安全运营中心的专家,它需要40,000到50,000 ICMP类型3代码3分组一秒钟,以超载防火墙。这不是大量数据包,生成它们所需的带宽为15Mbps至18Mbps,这意味着Blacknurse攻击可以从单个笔记本电脑启动。
“我们在不同防火墙上看到的影响通常是高CPU负载,”TDC安全运营中心(SoC)在技术报告中表示。“当攻击正在进行时,来自LAN Side的用户将无法再能够从Internet发送/接收流量。当攻击停止时,我们所看到的所有防火墙。“
TDC“S SoC以默认配置成功地对抗Cisco Adaptive Security Appliance(ASA)防火墙进行了测试。思科自己的文档建议用户允许ICMP类型3邮件。
“否认ICMP无法访问的消息禁用ICMP路径MTU发现,该Discovery可以停止IPSec和PPTP流量,”该公司在其用户指南中警告。
来自Palo Alto Networks,SonicWALL和Zyxel通信的一些防火墙也受到影响,但只有在他们“重新误解或某些保护未打开时才。
“Palo Alto Networks默认情况下,下一代防火墙删除了ICMP请求,因此除非您在安全策略中明确允许ICMP,否则您的组织不受影响,并且不需要任何操作,”Palo Alto在博客文章中响应TDC SoC而言报告。
该公司表示,需要允许ICMP请求的客户可以遵循DOS保护的最佳实践,以减轻这种攻击。这涉及在防火墙的DOS保护配置文件中启用ICMP泛滥和ICMPv6洪水。
拒绝服务攻击通常是关于生成比目标的Internet带宽更多的流量。在这方面,Blacknurse是不寻常的,因为它不能通过供应额外的带宽来停止。
“在防火墙和其他类型的设备上,允许ICMP的可信资源列表可以康明,”TDC的SOC专家建议。“在WAN接口上禁用ICMP类型3代码3可以很容易地减轻攻击。这是我们到目前为止所知道的最佳缓解。“
也就是说,在那里有许多设备,CONPD可以接受来自Internet的ICMP流量。TDC SoC独自在丹麦确定了170万。
