Атака BlackNurse превращает один ноутбук в мощную машину для уничтожения серверов

Когда мы слышим о распределенной атаке отказа в обслуживании (DDoS), мы думаем, что тысячи, если не миллионы зомби-компьютеров или подключенных устройств Интернета вещей (как показывает последний случай с Dyn) эффективно отправляют огромные пакеты данных, чтобы вывести из строя конкретный веб-сайт или сервис. Обычно предполагается, что инструменты DDoS или стрессеры, как их называют, нуждаются в тысячах зомби для проведения массовой атаки, которая может вывести из строя защищенный DDoS веб-сайт. Однако новые исследования доказывают, что новая атака использует ОДИН ноутбук для проведения массовой DDoS-атаки, которая может отключить высокозащищенный сервер.

Исследователи безопасности из Центра операций безопасности TDC в Дании назвали новую технику атаки BlackNurse. Атака BlackNurse использует очень ограниченные ресурсы, чтобы отключить большие серверы, когда они защищены определенными межсетевыми экранами, произведенными Cisco Systems и другими производителями.

Атака BlackNurse облегчает киберпреступникам проведение простой атаки отказа в обслуживании против веб-сайта, используя всего 15 мегабит или около 40 000 пакетов в секунду, чтобы разорвать интернет-соединение у уязвимых серверов. Представьте, что могла бы сделать атака BlackNurse, если бы она использовалась в недавней атаке на Dyn. Для сравнения, неизвестные хакеры, которые вывели из строя весь интернет на Среднем Западе и Восточном побережье США 21 октября, по всей видимости, использовали ботнеты IoT и отправили бесполезные пакеты данных со скоростью 1 Терабайт в секунду, чтобы вызвать хаос и отключить такие сервисы, как Reddit, Twitter, Spotify и т.д.

В блоге, опубликованном в среду, исследователи написали:

Атака BlackNurse привлекла наше внимание, потому что в нашем решении против DDoS мы заметили, что даже несмотря на то, что скорость трафика и количество пакетов в секунду были очень низкими, эта атака могла удерживать операции наших клиентов в нерабочем состоянии. Это касалось даже клиентов с большими интернет-каналами и крупными корпоративными межсетевыми экранами. Мы ожидали, что профессиональное оборудование межсетевого экрана сможет справиться с атакой.

Содержание

• Как BlackNurse использует один ноутбук для проведения массовой DDoS-атаки
• Опасения по поводу атаки BlackNurse
• Меры по противодействию атаке BlackNurse

Как BlackNurse использует один ноутбук для проведения массовой DDoS-атаки

Исследователи выяснили, что атака BlackNurse использует уязвимость протокола управления сообщениями Интернета (ICMP), который маршрутизаторы и другие сетевые устройства используют для отправки и получения сообщений об ошибках. Поскольку нет защиты или ограничения на отправку или получение таких сообщений ICMP, атака BlackNurse использует это, отправляя специальный тип пакетов ICMP — в частности, пакеты ICMP типа 3 с кодом 3, которые хакеры могут использовать для создания нежелательной нагрузки на ЦП и сервера, защищенные межсетевыми экранами Cisco и других компаний.

Во время своего исследования они обнаружили, что после достижения порога в 15 Мбит/с до 18 Мбит/с целевые межсетевые экраны сбрасывают так много пакетов, что сервер выходит из строя.

Используя те же недействительные пакеты ICMP, исследователи провели атаку BlackNurse, используя ОДИН НОУТБУК, отправив всего 180 Мбит/с и отключив сервер.

Не имеет значения, есть ли у вас интернет-соединение на 1 Гбит/с. Влияние, которое мы наблюдаем на различных межсетевых экранах, обычно приводит к высокой нагрузке на ЦП. Когда атака продолжается, пользователи с сайта [локальной сети] больше не могут отправлять/получать трафик в/из Интернета. Все межсетевые экраны, которые мы видели, восстанавливаются, когда атака прекращается.

Опасения по поводу атаки BlackNurse

Тревожным является то, что исследователи выяснили, что атака BlackNurse используется в реальных условиях. За последние два года они уже обнаружили около 95 таких DDoS-атак. В отчете не указано, были ли атаки ICMP основаны на недавно обнаруженной атаке BlackNurse или на ранее известной атаке ICMP, которая отправляет пакеты типа 8 с кодом 0.

Меры по противодействию атаке BlackNurse

Согласно исследователям из Netresec, компании по безопасности, которая сотрудничала с TDC Security в исследовании, атака работает только против серверов, использующих межсетевые экраны от Cisco Systems, Palo Alto Networks, SonicWall и Zyxel. Исследователи предоставили конкретные модели, которые уязвимы к атаке BlackNurse в этом блоге. Palo Alto Networks выпустила свое

Один из затронутых производителей межсетевых экранов, Palo Alto Networks, выпустил собственное уведомление, в котором сообщается, что устройства компании уязвимы только в «очень специфических, нестандартных сценариях, которые противоречат лучшим практикам».

Cisco, к удивлению, не считает атаку BlackNurse проблемой безопасности, хотя и не объяснила, почему. Институт Sans имеет свое собственное краткое описание атаки здесь.