Даже если эти серверы оснащены хорошо известными брандмауэрами, их все равно можно отключить, если злоумышленник воспользуется этой техникой.
Это может показаться невероятным, но вместо гигантского ботнета вам понадобится всего лишь ноутбук с подключением к Интернету, чтобы запустить мощную DDoS- атаку , выводящую из строя важные интернет-серверы и существующие межсетевые экраны.
Исследователи из Центра управления безопасностью TDC обнаружили новую технику атаки, которая позволяет злоумышленникам-одиночкам с ограниченными ресурсами (в данном случае ноутбуком с широкополосной сетью с пропускной способностью не менее 15 Мбит/с) могут выводить из строя крупные серверы .
Эта техника , получившая название BlackNurse или низкоскоростная атака « Ping of Death » , может использоваться для запуска серии малообъемных DoS-атак с использованием отправки ICMP-пакетов или «пингов» для переполнения процессоров на сервере.
Этой технике атаки подвержены даже серверы, защищенные межсетевыми экранами Cisco , Palo Alto Networks или других компаний.
ICMP (Протокол управляющих сообщений Интернета) — это протокол, используемый маршрутизаторами и другими сетевыми устройствами для отправки и получения сообщений об ошибках.
Ping of Death — это метод атаки, который перегружает сеть, отправляя цели ICMP-пакеты, размер которых превышает 65 536 байт. Поскольку этот размер превышает допустимый размер IP-пакетов, он будет разделен на более мелкие части и отправлен на компьютер назначения. Когда он достигнет цели, он будет пересобран в полноценный пакет, из-за чрезмерного размера это вызовет переполнение буфера и сбой.
Согласно техническому отчету, опубликованному на этой неделе, атака BlackNurse также известна под более традиционным названием: « атака ping-флуд » и основана на запросах (или ошибках) ICMP типа 3. Пункт назначения недоступен) Код 3 (ошибка недостижимости порта) .
Эти запросы представляют собой ответные пакеты, которые обычно возвращаются к отправителю ping, когда порт назначения цели недоступен (или Unreachable) .
1. Вот как работает техника атаки BlackNurse:
Отправляя пакет ICMP Type 3 с кодом 3, хакер может вызвать состояние отказа в обслуживании (DoS), перегружая процессоры на определенных типах межсетевых экранов серверов, независимо от качества подключения к Интернету.
Объем трафика с использованием техники BlackNurse очень мал, всего от 15 Мбит/с до 18 Мбит/с (или примерно от 40 000 до 50 000 пакетов в секунду), особенно по сравнению с рекордной DDoS-атакой со скоростью 1 Тбит/с, нацеленной на провайдера.Французский интернет-провайдер OVH в сентябре .
Между тем, в TDC также заявили, что этот огромный объем не является важной проблемой, поскольку простое поддержание устойчивого потока ICMP-пакетов от 40 до 50 тыс., достигающих сетевого устройства жертвы, может уничтожить его целевое устройство.
Так какие же здесь хорошие новости? " Как только произойдет атака, пользователи локальной сети больше не смогут отправлять или получать трафик в Интернет и из Интернета, - говорят исследователи ".
Однако это означает, что этот метод DoS-атаки с небольшим объемом по-прежнему очень эффективен, поскольку он не только переполняет межсетевой экран доступами, но и заставляет процессоры работать с высокой нагрузкой, даже отключая серверы, если атака имеет достаточную пропускную способность сети.
Исследователи говорят, что BlackNurse не следует путать с атаками ping-затопления, основанными на пакетах ICMP Type 8 Code 0 (или обычных ping-пакетах). Исследователи объясняют:
« Техника атаки BlackNurse привлекла наше внимание, поскольку при тестировании анти-DDoS-решения, даже когда скорость доступа и объем пакетов в секунду находились на очень низком уровне, эта атака также может остановить все операции наших клиентов ».
« Эта техника атаки может быть применена даже к предприятиям, оснащенным межсетевыми экранами и большими подключениями к Интернету. Мы надеемся, что профессиональные устройства с межсетевыми экранами смогут справиться с этими атаками. Эта атака ».
2. Затронутые устройства
Техника атаки BlackNurse эффективна для следующих продуктов:
3. Как смягчить атаку BlackNurse?
Для вас еще есть хорошие новости: существует несколько способов дать отпор атакам BlackNurse.
TDC рекомендует ряд мер по снижению риска и правил IDS SNORT (система обнаружения вторжений с открытым исходным кодом SNORT), которые можно использовать для обнаружения атак BlackNurse. Кроме того, инженеры OVH разместили на GitHub коды PoC (проверка концепции), которые также можно использовать для тестирования устройств LuckyTemplates на предмет BlackNurse.
Чтобы смягчить атаки BlackNurse на межсетевые экраны и другие устройства, TDC рекомендует пользователям создать список доверенных источников, которым разрешено отправлять и получать пакеты ICMP . Однако лучший способ смягчить атаку — просто отключить пакеты ICMP Type 3 Code 3 на интерфейсе WAN.
Palo Alto Networks также опубликовала заявление, в котором говорится, что ее устройства пострадали только при « очень специфических сценариях, а не при настройках по умолчанию и вопреки общепринятым практикам ». Компания также перечислила некоторые рекомендации для своих клиентов.
Между тем, Cisco заявила, что не считает описанное в отчете поведение проблемой безопасности, но предупредила, что:
« Мы рекомендуем всем настроить лицензию на недоступные пакеты ICMP типа 3. Запрет сообщений о недоступных ICMP-сообщениях помогает отключить протокол Path MTU Discovery для пакетов ICMP. Это может помешать IPSec (безопасность протокола Интернета: набор протоколов для защиты процесса передачи информации). ) и доступ по протоколу PPTP (Протокол туннелирования «точка-точка»: протокол, используемый для передачи данных между виртуальными частными сетями VPN) ».
Кроме того, независимый поставщик программного обеспечения NETRESEC также опубликовал подробный анализ BlackNurse под названием « Техника атаки Flood из 90-х вернулась ». В дополнение к вышеупомянутым предупреждениям институт SANS также опубликовал короткую записку об атаке BlackNurse, в которой обсуждается сама атака и то, что пользователи должны делать, чтобы смягчить ее последствия.
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
Иногда вам может потребоваться удалить все старые журналы событий сразу. В этом руководстве Quantrimang.com покажет вам 3 способа быстрого удаления всех журналов событий в средстве просмотра событий Windows 10.
Во многих предыдущих статьях мы упоминали, что сохранять анонимность в Интернете чрезвычайно важно. Частная информация утекает каждый год, что делает безопасность в Интернете все более необходимой. По этой же причине нам следует использовать виртуальные IP-адреса. Ниже мы узнаем о методах создания поддельных IP-адресов!
WindowTop — это инструмент, который позволяет затемнять все окна приложений и программ, запущенных на компьютерах с Windows 10. Или вы можете использовать интерфейс с темным фоном в Windows.
Языковая панель в Windows 8 — это миниатюрная языковая панель инструментов, предназначенная для автоматического отображения на экране рабочего стола. Однако многие люди хотят скрыть эту языковую панель на панели задач.
Беспроводное подключение сегодня является необходимостью, и поэтому безопасность беспроводной сети необходима для обеспечения безопасности вашей внутренней сети.
Увеличение скорости Интернета имеет важное значение для оптимизации сетевого подключения. Вы можете получить оптимальные впечатления от развлечений и работы, используя компьютеры, телевизоры с возможностью подключения к Интернету, игровые приставки и т. д.
