四兩撥千斤 | 一台筆記本也可令伺服器下線

來自丹麥TDC安全運營中心的安全研究員發現了一種攻擊方法，並將其命名為BlackNurse，可發動大規模的DDoS攻擊。攻擊者可利用這種方法以有限的資源迫使伺服器下線。即便是這些伺服器被Cisco Systems、Palo Alto Networks、SonicWall、Zyxe防火牆保護著，也一樣能攻擊成功。

「這種攻擊方式並不是單純的依賴於網路，我們將其稱之為BlackNurse。BlackNurse和老的ICMP洪攻擊不同，ICMP洪攻擊會快速的向目標發送ICMP請求，而BlackNurse是會發送一種特殊類型的ICMP數據包，尤其是含有code3 的Type 3 ICMP數據包。」n

「BlackNurse公司之所以會吸引我們的注意，是因為我們的反DDoS解決方案總出現了一種很奇怪的現象，即使通信速度和每秒傳輸數據的量很低，這種攻擊還是會阻礙客戶的操作。這種攻擊甚至還適用於擁有大型上行鏈路和擁有大企業防火牆的用戶。」n

BlackNurse攻擊利用的是Type3 Code 3 ICMP數據包，它通常被路由器和網路設備用於接受和發送錯誤的信息。通過發送特定類型的ICMP數據包，攻擊者可以以此使CPU超載。

安全研究員發現，當通信速度達到極限值——150 Mbps到180 Mbps時，網路設備就會釋放大量的數據包，從而致使伺服器離線。TDC SOC的安全研究員解釋稱，一個攻擊者只需一台筆記本便可以發動峰值為180 Mbps的DDoS攻擊。

「如果你的網路連接速度為1 Gbit/s，那就不會受到影響。在攻擊發生期間，本地用戶將無法從網上發送和接收流量。經過我們的測試發現，一旦攻擊停止，所有的防火牆功能便會恢復正常。」n

受BlackNurse攻擊影響的設備有：

Cisco ASA 5506, 5515, 5525 (默認設置)nCisco ASA 5550 (Legacy) 和5515-X (最新型號)nCisco Router 897 nPalo Alto (未驗證)nSonicWall nZyxel NWA3560-N nZyxel Zywall USG50n

註：本文參考來源於securityaffairs

推薦閱讀：