BlackNurse新型DoS攻击 15M流量就可以打瘫思科防火墙 思科做出了回应

本文涉及的产品
云防火墙,500元 1000GB
简介:

近日,丹麦电信运营商TDC的安全运营中心TDC SOC公布了名为BlackNurse的新型DoS攻击,攻击者仅仅利用一台普通笔记本电脑就能攻击大型服务器使之瘫痪。在这一攻击面前, Cisco Systems、Palo Alto Networks、SonicWall和 Zyxel等众多防火墙将会失去其防御性,不过目前,思科已经否认了该新型DoS攻击属于安全问题,但并没有就此作出进一步的解释。

TDC SOC是丹麦的一家安全运营中心,成立于2015年。丹麦电信运营商TDC的安全运营中心(SOC)的专家表示,

“黑护士”攻击通过每秒发送40,000至50,000个类型和代码均为3的ICMP报文,致使防火墙的负载过重。这一报文数量并不是很大,生成这些报文需15 Mbps至18 Mbps的带宽。这意味着仅利用一台笔记本电脑就可发起“黑护士”攻击。

什么是ICMP Type 3 Code 3

我们看到的大多数ICMP攻击都是基于Type 8 Code 0,也称为ping Flood攻击,但这次发现的新型攻击是基于Type 3 Code 3

Type 3 is Destination Unreachable

Code 3 is Port Unreachable

更多详细信息请参考这里:http://www.nthelp.com/icmp.html

怎么测试你是否有这个漏洞

测试您的系统是否脆弱的最好方法是这样的,如果你防火墙WAN网侧允许 ICMP,可以用Hping3做一些测试。当攻击您的防火墙的WAN一侧,需要由内至外的打一些流量出来。在我们的测试中我们用 Ubuntu 安装 Hping3 。在测试时,你可以获得必须能够到达出站 internet 速度至少 15-18 Mbit/s。

用Hping3执行如下命令

hping3 -1 -C 3 -K 3 -i u20 <target ip>

hping3 -1 -C 3 -K 3 --flood <target ip>

基于我们的测试中,我们知道合理的小型的笔记本电脑用这些命令,可以产生约 180 Mbit/s DoS 攻击。我们也有用一台 Nexus 6 移动电话,测试 Nethunter/Kali,只可以产生 9.5 Mbit/s,不太容易执行 BlackNurse 攻击。

“我们看到,此类攻击对各类防火墙的典型影响是CPU负载很高。”TDC的安全运营中心在一篇技术报告中称,“在攻击期间,用户无法将流量从局域网发送至互联网,也无法从互联网接收流量。我们观察到,当攻击停止时,防火墙就会恢复正常。”

报告全文请见文末报告下载

BlackNurse DoS攻击检测

基于这个测试,我们制定了SNORT IDS/IPS规则检测攻击

在这个规则中很重要的一点是, 'count 250' 和 'seconds 1' ,对于你的防火墙调整到什么程度才是正常的。默认计数和秒因为我们让他们在规则中,应该是适合大多数防火墙。我们建议使用事件过滤器阻止 SNORT的洪水警报,这可以保护入侵检测系统。

具体规则如下

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurse attack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, 
soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;) 
alert icmp $HOME_NET  any -> $EXTERNAL_NET any (msg:"TDC-SOC – Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, 
soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

BlackNurse DoS攻击防护的变通方案

可以实现不同种类的缓解措施,尽量减少攻击的影响。防火墙和其他各种设备上可以配置允许 ICMP 的受信任源的列表。在防火墙WAN 接口上禁用 ICMP TYpe 3 Code 3 ,可以很容易地减轻攻击。这是我们知道到目前为止最好的缓解。

据称BlackNurse只要15M流量就可以打瘫思科防火墙

很多人可能都听说过分布式拒绝服务攻击,也就是DDoS攻击,与其相似,DoS攻击也是以大量发送请求占用服务器资源或攻击网络协议以实现缺陷达到致使服务器瘫痪目的的一种攻击手段。

而此次的BlackNurse则可以利用资源有限的普通笔记本进行攻击,仅需要15 mbps的攻击流量就能让使用某些防火墙的服务器离线,而这一攻击则是利用了网间控制报文协议 ICMP Type3封包,当攻击流量达到阙值时,目标防火墙就会大量丢包以至于防火墙背后的设备离线。

在这一攻击面前, Cisco Systems、Palo Alto Networks、SonicWall和 Zyxel等众多防火墙将会失去其防御性,不过目前,思科已经否认了该新型DoS攻击属于安全问题,但并没有就此作出进一步的解释。

思科、派拓等厂家做出回应

此类攻击曾成功入侵了采用默认配置的思科自适应安全设备(ASA)。TDC的安全运营中心针对这一攻击进行了测试。思科的产品文档建议用户允许类型为3的ICMP消息通过。

思科在用户手册中发出警告

思科在用户手册中做出了以下警告,“拒绝ICMP不可达消息会导致ICMP路径MTU发现被禁用,这可能会停止IPsec和PPTP流量。”

此类攻击也波及了派拓网络(Palo Alto Networks)、SonicWall和Zyxel通信公司的某些防火墙。不过,这些防火墙仅在配置错误或某些防护未开启时才会受到影响。

Palo Alto发博文称其NF不受影响

针对TDC的安全运营中心的报告,Palo Alto Networks发布了一篇博文称,“Palo Alto Networks公司的下一代防火墙默认丢弃ICMP报文,因此您的组织并不会受到此类攻击的影响,也无需采取行动。但如果您在安全策略中设置允许ICMP报文通过,那就另当别论了。”

该公司称,如果客户需放过ICMP报文,可采用拒绝服务防护的最佳实践缓解攻击。这就涉及客户在其防火墙的拒绝服务防护配置文件中开启ICMP Flood和ICMPv6 Flood防护。

一般情况下,拒绝服务攻击的实现方式是向攻击目标发送流量,使其负载超过其互联网带宽的承受能力。“黑护士”攻击在这方面不同寻常,因为无法通过提供额外带宽停止此类攻击。

“可在防火墙和其他类型的设备上配置受信任源,放行来自这些受信任源的ICMP报文。”TDC的安全运营中心的专家建议,“在WAN口上禁用类型和代码均为3的ICMP报文可以很容易地缓解攻击。这是目前我们知晓的最佳缓解方案。”

话虽如此,目前有很多设备配置为接受来自互联网的ICMP流量。TDC的安全运营中心仅在丹麦就发现了170万这样配置的设备。

BlackNurse新型DoS攻击报告

点击图片下载



原文发布时间: 2017年3月24日
本文由:企业网 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/blacknurse-new-type-dos-attack
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站 
相关文章
|
7月前
|
运维 监控 安全
F5防火墙如何应对恶意攻击?一文搞懂
F5防火墙如何应对恶意攻击?一文搞懂
111 0
|
2月前
|
监控 网络协议 Shell
ip和ip网段攻击拦截系统-绿叶结界防火墙系统shell脚本
这是一个名为“小绿叶技术博客扫段攻击拦截系统”的Bash脚本,用于监控和拦截TCP攻击。通过抓取网络数据包监控可疑IP,并利用iptables和firewalld防火墙规则对这些IP进行拦截。同时,该系统能够查询数据库中的白名单,确保合法IP不受影响。此外,它还具备日志记录功能,以便于后续分析和审计。
51 6
|
2月前
|
机器学习/深度学习 人工智能 安全
|
4月前
|
云安全 安全 数据库连接
什么是 DoS 和 DDoS 攻击?
【8月更文挑战第31天】
353 0
|
4月前
|
监控 安全 Serverless
SAE 防火墙的震撼之举:默认拦截公网一切流量,开启网络安全的无敌模式!
【8月更文挑战第7天】在数字化时代,网络安全至关重要。SAE(Serverless Application Engine,无服务器应用引擎)的防火墙功能默认阻止所有公网流量,为应用与数据提供坚实保护。这像坚固城门,将潜在威胁拒之门外,减少恶意攻击风险。如同在混沌中建立秩序,划定网络安全边界。但依赖默认设置不足,需根据业务需求配置规则,如开放特定端口或IP范围。还需持续监控防火墙效果,通过分析访问日志等手段及时调整优化,确保最佳防护效果。
79 0
|
6月前
|
存储 安全 算法
智能合约中Gas限制和DoS攻击漏洞
智能合约中Gas限制和DoS攻击漏洞
78 7
|
7月前
|
弹性计算 监控 安全
通过NAT网关和云防火墙防护私网出站流量安全的最佳实践
针对云上企业出站流量安全攻击,企业可以通过采用“NAT网关+NAT边界防火墙”方案实现出向流量有效监控保护,有效降低恶意软件攻陷风险、内部人员风险、数据泄露风险、供应链风险、出站流量合规风险等
139 3
|
7月前
|
安全 Serverless 网络安全
SAE防火墙功能默认阻止所有来自公网的流量
SAE防火墙功能默认阻止所有来自公网的流量
155 1
|
监控 网络协议 安全
DoS和DDoS攻击
DoS和DDoS攻击
3534 0
|
传感器 算法 网络协议
【弹性分布式EMA】在智能电网中DoS攻击和虚假数据注入攻击(Matlab代码实现)
【弹性分布式EMA】在智能电网中DoS攻击和虚假数据注入攻击(Matlab代码实现)
368 0