BlackNurse攻击:4Mbps搞瘫路由器和防火墙

本文涉及的产品
云防火墙,500元 1000GB
简介:

研究人员宣称,最新的知名漏洞BlackNurse,是一种拒绝服务攻击,能够凭借仅仅15到18Mbps的恶意ICMP数据包就将防火墙和路由器干掉。

该攻击会滥用Internet控制报文协议(ICMP)第3类代码为3的“端口不可达”消息,并且已经发现数起针对思科路由器的攻击事件,以及针对包括ZyXEL、Sonicwall以及Palo Alto Networks等供应商的路由器或防火墙的攻击事件。发现这一漏洞的安全研究人员Lenny Hansson和Kenneth J rgensen宣称该攻击可以仅用4Mbps的流量即可中断Cisco ASA 55xx系列的路由器。

研究人员在BlackNurse的网站上写到:“我们发现思科ASA 55xx系列防火墙产品的问题最大,即使选择拒绝所有通向防火墙的ICMP通讯,防火墙还是会受到仅用4Mbit就可以造成的DOS(拒绝服务)攻击。”

TDC的研究人员指出,要延缓BlackNurse攻击,可通过简单地配置将可信任的源加入允许配置的白名单中即可。通过在广域网上将ICMP第3类代码为3进行无效化,能够轻易地缓解此种攻击的危害。这也是我们目前所了解的最佳的缓解办法。

尽管研究人员们相信漏洞是基于设备控制数据包的方式,问题发生的源头目前仍不清楚。“我们当前只发现基于硬件的防火墙存在问题,这些数据包会直接送到CPU”,Hansson和J rgensen两位研究人员通过邮件如是告诉本站。

然而,并非所有人都认同BlackNurse可能带来威胁这一观点。SANS技术学会的研究院院长Johannes Ullrich在一篇博客中写到:“目前尚不清楚为何这些特殊的ICMP数据包需要如此频繁地通过CPU进行处理,但在我看来,很可能是由于防火墙试图对这些数据包进行状态分析。ICMP不可达数据包中包含了有效载荷中造成错误的开头几字节的数据,防火墙能够利用这些有效载荷去判断错误是否是由过去留在网络中的合法数据包造成,这种分析过程需要消耗较多的资源”。

思科在一份给本站的声明中淡化了威胁的程度,认为:“这一问题并不针对特定供应商,并且该攻击并不导致安全漏洞,在已知的攻击事件中,提到的ASA设备能够继续执行和配置安全策略,没有出现妥协。对于研究中所提到的ASA系列防火墙,其面向DoS攻击的保护是多方面的,而且我们与消费者们密切合作,确保上游网络中的DoS安全,并将其作为最佳实践”。

Palo Alto Networks向其客户发布的一份有关BlackNurse的声明中叙述到,“我们已经针对该问题进行调查,并且向购买Palo Alto Networks下一代防火墙的客户解释,该问题仅仅会影响很特殊的,有违最佳实践的非通常情况下的应用场景”。

Palo Alto为其客户提供的免受BlackNurse的最佳办法,包括配置DoS保护文件来阻止ICMP以及ICMPv6的数据包洪泛攻击,然而该公司也警告说洪泛攻击可能采用任意协议类型。

“施展攻击并不需要大量的带宽”,Hansson和J rgensen告诉本站,他们注意到如果将BlackNurse与类似上个月摧毁Dyn DNS服务的Mirai DDoS这样的僵尸网络结合起来,将引起很大的麻烦,因为这种攻击能够通过物联网设备发起”,我们已经见识了面向思科设备的4(Mpbs)大小的拒绝服务攻击。上传速率很小的物联网设备能够从僵尸网络中袭来。这意味着像Mirai的僵尸网络能够一次性攻击更多的目标。这会比1TBps的单次单一目标攻击更具有威胁。

至于攻击的来源,研究人员说:“现在我们已经发现,相信这种攻击是利用了某种分布式拒绝服务的攻击方式。这是基于我们了解到的客户所遭遇的混合攻击类型总结所而来的。”

本文转自d1net(转载)

目录
相关文章
|
9月前
|
监控 网络协议 安全
华为配置防火墙直连路由器出口实验
华为配置防火墙直连路由器出口实验
381 6
|
9月前
|
运维 监控 安全
F5防火墙如何应对恶意攻击?一文搞懂
F5防火墙如何应对恶意攻击?一文搞懂
135 0
|
1月前
|
监控 安全 网络协议
常见防火墙攻击和增强防火墙安全性措施
防火墙是网络的守护者,能有效阻断不必要的端口和有害IP地址。但最出色的防火墙也可能被攻破或因流量过大而失效。例如,万豪国际曾因防火墙被突破,导致约5亿客户信息泄露,包括姓名、地址、护照号码等。攻击手段如DDoS、流量放大、应用层攻击等,可使防火墙不堪重负。为增强安全性,需及时更新防火墙等措施。EventLog Analyzer等日志检测工具可帮助监控防火墙和服务器日志,提供实时事件关联和告警,确保网络安全。
77 15
|
3月前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
180 3
|
4月前
|
监控 网络协议 Shell
ip和ip网段攻击拦截系统-绿叶结界防火墙系统shell脚本
这是一个名为“小绿叶技术博客扫段攻击拦截系统”的Bash脚本,用于监控和拦截TCP攻击。通过抓取网络数据包监控可疑IP,并利用iptables和firewalld防火墙规则对这些IP进行拦截。同时,该系统能够查询数据库中的白名单,确保合法IP不受影响。此外,它还具备日志记录功能,以便于后续分析和审计。
82 6
|
7月前
|
监控 安全 网络安全
|
监控 安全 网络安全
防火墙以及路由器和交换机的安装,调试以及维护工作的详细说明方法?
防火墙以及路由器和交换机的安装,调试以及维护工作的详细说明方法?
|
安全 测试技术 网络安全
路由器?防火墙?
路由器?防火墙?
140 0
|
SQL JSON 安全
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
|
网络安全 网络虚拟化 数据安全/隐私保护
ASA防火墙和路由器配置IPSec VPN
ASA防火墙和路由器配置IPSec VPN
ASA防火墙和路由器配置IPSec VPN