BlackNurse
BlackNurse - attacken är en form av överbelastningsattack baserad på ICMP-översvämning . Attacken är speciell eftersom en blygsam bandbredd på 20Mbit/s kan vara effektiv för att störa ett offers nätverk.
Attacken består av att skicka ICMP Destination Unreachable- paket till en destination. Detta fungerar eftersom dessa paket fick destinationen att förbruka resurser i en relativt hög hastighet i förhållande till trafiken.
Upptäckt
Attacken upptäcktes först av forskarna Lenny Hansson och Kenneth Bjerregard Jørgensen vid den danska teleoperatörens TDC Security Operations Center. Forskarnas mål är att skydda kunder på det telekomnätet från DDoS- attacker och andra cyberhot.
Teamet noterade i sin release om attacken:
BlackNurse-attacken väckte vår uppmärksamhet, eftersom vi i vår anti-DDoS-lösning upplevde att även om trafikhastigheten och paketen per sekund var mycket låg, kunde denna attack hålla våra kunders verksamhet nere. Detta gällde till och med kunder med stora internetupplänkar och stora företagsbrandväggar på plats. Vi hade förväntat oss att professionell brandväggsutrustning skulle kunna hantera attacken.
DOS-attacker
Denial of service åstadkoms vanligtvis genom att översvämma den riktade maskinen eller resursen med överflödiga förfrågningar i ett försök att överbelasta system och förhindra att några eller alla legitima förfrågningar uppfylls.
Vanligtvis görs en sådan attack på ett distribuerat sätt, där många klienter skickar förfrågningar till en given server. Summan av all kundens trafik räcker ofta för att överväldiga destinationen och få tjänsten att gå offline eller bli otillgänglig.
Ge sig på
I fallet med BlackNurse-attacken, istället för att översvämma ett fjärrsystems internettrafik med överflödig trafik, utnyttjar attacken en obalans mellan de resurser som krävs för att skicka trafik och de resurser som krävs för att bearbeta den. [ citat behövs ]
BlackNurse-attackerna använder nämligen ICMP med Type 3 Code 3-paket.
Detta är ett paket som är avsett att skickas när en destinations port inte kan nås.
Till skillnad från tidigare attacker med ICMP-protokollet -- Smurf Attack , Ping flood , Ping of death -- översvämmer BlackNurse inte destinationen med trafik. Istället insåg forskarna att paketet "Destination Port Unreachable" orsakar hög CPU-användning i brandväggen som bearbetar det. Med en relativt liten bandbredd på 15-18Mbit/s kan en angripare få CPU-användningen att öka i en målbrandvägg, vilket gör att brandväggen inte kan behandla fler förfrågningar.
Fastställande av sårbarhet
För att testa om din enhet är sårbar kan du skicka ICMP-paketet till ditt nätverk med hping . Det rekommenderas att köra dessa kommandon från WAN- sidan av din brandvägg.
- hping3 -1 -C3 -K3 -i u20<target ip>
- hping3 -1 -C 3 -K 3 --flod<target ip>
När du kör testet, försök att använda nätverket normalt samtidigt som du tittar på processoranvändningen av brandväggen.
Orsaker till effektivitet
På grund av historien om ICMP-attacker (som Smurf Attack , Ping flood , Ping of death ) blockeras ofta många ICMP-paket på brandväggar. Vissa ICMP-paket är dock nödvändiga för att nätverket ska fungera korrekt. Destinationsport som inte kan nås är ett av de paket som krävs.
Vanligtvis kommer dock en attack bara att vara effektiv om den inkommande trafiken är större än den drabbade maskinens bandbredd. När det gäller BlackNurse utnyttjar attacken dock bearbetningslogiken i många brandväggar för att hantera denna trafik.
Denna attack är viktig eftersom den utnyttjar en nödvändig komponent av internettrafik och eftersom den inte kräver användning av ett botnät för att utföra attacker.
Påverkan
På grund av den låga kostnaden för attacken, eftersom anslutningar med låg bandbredd är vanliga, kan denna attack användas mycket effektivt. De ursprungliga forskarna vid SOC TDC har noterat att attacken för närvarande används mot klienter på deras eget nätverk.
Namnets ursprung
Attacken kallades BlackNurse som ett skämt eftersom två av dess främsta forskare var en före detta smed och en före detta sjuksköterska. Media tog upp detta namn innan det kunde ändras.