近日,丹麦电信运营商TDC的安全运营中心TDC SOC公布了名为BlackNurse的新型DoS攻击,攻击者仅仅利用一台普通笔记本电脑就能攻击大型服务器使之瘫痪。在这一攻击面前, Cisco Systems、Palo Alto Networks、SonicWall和 Zyxel等众多防火墙将会失去其防御性,不过目前,思科已经否认了该新型DoS攻击属于安全问题,但并没有就此作出进一步的解释。
TDC SOC是丹麦的一家安全运营中心,成立于2015年。丹麦电信运营商TDC的安全运营中心(SOC)的专家表示,
“黑护士”攻击通过每秒发送40,000至50,000个类型和代码均为3的ICMP报文,致使防火墙的负载过重。这一报文数量并不是很大,生成这些报文需15 Mbps至18 Mbps的带宽。这意味着仅利用一台笔记本电脑就可发起“黑护士”攻击。
什么是ICMP Type 3 Code 3
我们看到的大多数ICMP攻击都是基于Type 8 Code 0,也称为ping Flood攻击,但这次发现的新型攻击是基于Type 3 Code 3
Type 3 is Destination Unreachable
Code 3 is Port Unreachable
更多详细信息请参考这里:http://www.nthelp.com/icmp.html
怎么测试你是否有这个漏洞
测试您的系统是否脆弱的最好方法是这样的,如果你防火墙WAN网侧允许 ICMP,可以用Hping3做一些测试。当攻击您的防火墙的WAN一侧,需要由内至外的打一些流量出来。在我们的测试中我们用 Ubuntu 安装 Hping3 。在测试时,你可以获得必须能够到达出站 internet 速度至少 15-18 Mbit/s。
用Hping3执行如下命令
hping3 -1 -C 3 -K 3 -i u20 <target ip>
hping3 -1 -C 3 -K 3 --flood <target ip>
基于我们的测试中,我们知道合理的小型的笔记本电脑用这些命令,可以产生约 180 Mbit/s DoS 攻击。我们也有用一台 Nexus 6 移动电话,测试 Nethunter/Kali,只可以产生 9.5 Mbit/s,不太容易执行 BlackNurse 攻击。
“我们看到,此类攻击对各类防火墙的典型影响是CPU负载很高。”TDC的安全运营中心在一篇技术报告中称,“在攻击期间,用户无法将流量从局域网发送至互联网,也无法从互联网接收流量。我们观察到,当攻击停止时,防火墙就会恢复正常。”
报告全文请见文末报告下载
BlackNurse DoS攻击检测
基于这个测试,我们制定了SNORT IDS/IPS规则检测攻击
在这个规则中很重要的一点是, 'count 250' 和 'seconds 1' ,对于你的防火墙调整到什么程度才是正常的。默认计数和秒因为我们让他们在规则中,应该是适合大多数防火墙。我们建议使用事件过滤器阻止 SNORT的洪水警报,这可以保护入侵检测系统。
具体规则如下
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurse attack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url,
soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)
alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC – Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url,
soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)
BlackNurse DoS攻击防护的变通方案
可以实现不同种类的缓解措施,尽量减少攻击的影响。防火墙和其他各种设备上可以配置允许 ICMP 的受信任源的列表。在防火墙WAN 接口上禁用 ICMP TYpe 3 Code 3 ,可以很容易地减轻攻击。这是我们知道到目前为止最好的缓解。
据称BlackNurse只要15M流量就可以打瘫思科防火墙
很多人可能都听说过分布式拒绝服务攻击,也就是DDoS攻击,与其相似,DoS攻击也是以大量发送请求占用服务器资源或攻击网络协议以实现缺陷达到致使服务器瘫痪目的的一种攻击手段。
而此次的BlackNurse则可以利用资源有限的普通笔记本进行攻击,仅需要15 mbps的攻击流量就能让使用某些防火墙的服务器离线,而这一攻击则是利用了网间控制报文协议 ICMP Type3封包,当攻击流量达到阙值时,目标防火墙就会大量丢包以至于防火墙背后的设备离线。
在这一攻击面前, Cisco Systems、Palo Alto Networks、SonicWall和 Zyxel等众多防火墙将会失去其防御性,不过目前,思科已经否认了该新型DoS攻击属于安全问题,但并没有就此作出进一步的解释。
思科、派拓等厂家做出回应
此类攻击曾成功入侵了采用默认配置的思科自适应安全设备(ASA)。TDC的安全运营中心针对这一攻击进行了测试。思科的产品文档建议用户允许类型为3的ICMP消息通过。
思科在用户手册中发出警告
思科在用户手册中做出了以下警告,“拒绝ICMP不可达消息会导致ICMP路径MTU发现被禁用,这可能会停止IPsec和PPTP流量。”
此类攻击也波及了派拓网络(Palo Alto Networks)、SonicWall和Zyxel通信公司的某些防火墙。不过,这些防火墙仅在配置错误或某些防护未开启时才会受到影响。
Palo Alto发博文称其NF不受影响
针对TDC的安全运营中心的报告,Palo Alto Networks发布了一篇博文称,“Palo Alto Networks公司的下一代防火墙默认丢弃ICMP报文,因此您的组织并不会受到此类攻击的影响,也无需采取行动。但如果您在安全策略中设置允许ICMP报文通过,那就另当别论了。”
该公司称,如果客户需放过ICMP报文,可采用拒绝服务防护的最佳实践缓解攻击。这就涉及客户在其防火墙的拒绝服务防护配置文件中开启ICMP Flood和ICMPv6 Flood防护。
一般情况下,拒绝服务攻击的实现方式是向攻击目标发送流量,使其负载超过其互联网带宽的承受能力。“黑护士”攻击在这方面不同寻常,因为无法通过提供额外带宽停止此类攻击。
“可在防火墙和其他类型的设备上配置受信任源,放行来自这些受信任源的ICMP报文。”TDC的安全运营中心的专家建议,“在WAN口上禁用类型和代码均为3的ICMP报文可以很容易地缓解攻击。这是目前我们知晓的最佳缓解方案。”
话虽如此,目前有很多设备配置为接受来自互联网的ICMP流量。TDC的安全运营中心仅在丹麦就发现了170万这样配置的设备。
BlackNurse新型DoS攻击报告
点击图片下载