丹麦电信运营商 TDC 安全中心的研究人员发现了一种称为“ BlackNurse ”的简单攻击方法,可允许单个攻击者使用有限的资源发动 DDoS 攻击使大型服务器离线。
研究员发布详细报道称“ BlackNurse ”与已知的向目标发送 ICMP 请求的旧 ICMP 洪流攻击不同,“ BlackNurse ”攻击是指构造 Type 为3 ,Code 为 3 的 ICMP 报文,形成的 DOS 攻击。Type3 是 ICMP 的异常报文,一般由原始报文触发,这种报文的 internet Header 部分需要带有原始报文的首部部分字节,Code3 的意思是端口不可达异常,路由器和网络设备收到这类错误之后,需要从 ICMP 报文中附带的原始报文首部信息中查询是否为自己发送的报文引起,这一动作会消耗很多计算资源。因此,这个机制可以被利用来进行 DoS,即攻击者伪造大量 type3 异常报文,导致防火墙设备花费大量的 CPU 资源来处理这种错误请求,从而消耗掉防火墙 CPU 的所有资源。
研究人员注意到,当阈值达到 15 Mbps 至 18 Mbps 时,网络设备会因此丢弃众多数据包,服务器也将离线。研究人员解释说,“ BlackNurse ”攻击可允许攻击者使用一台笔记本电脑发动流量峰值达到 180 Mbps 的 DDoS 攻击。
此外,专家们证实在过去的两年间有 95 起以 TDC 网络为目标的 DDoS 攻击事件,但没有提及具体有多少起使用了“ BlackNurse ”攻击。
主要受影响的防火墙厂商包括思科系统、帕洛阿尔托网络、合勤科技( Zyxel )。
TDC验证的易受到BlackNurse攻击设备:
Cisco ASA 5506,5515,5525(默认设置)
Cisco ASA 5550( Legacy )和5515-X(最新一代)
Cisco 路由器 897(除非限制速率)
Palo Alto(未经验证)
SonicWall(如果配置不正确)
Zyxel NWA3560-N(来自 LAN Side 的无线攻击)
Zyxel Zywall USG50
稿源:本站翻译整理,封面来源:百度搜索
请登录后发表评论
注册