Black Nurse - เทคนิค DDoS ช่วยให้แล็ปท็อปทั่วไปสามารถทำลายระบบเซิร์ฟเวอร์ทั้งหมดได้

แม้ว่าเซิร์ฟเวอร์เหล่านั้นจะติดตั้งอุปกรณ์ไฟร์วอลล์ที่รู้จักกันดี แต่ก็ยังสามารถปิดระบบได้หากผู้โจมตีใช้ประโยชน์จากเทคนิคนี้

อาจฟังดูไม่น่าเชื่อ แต่แทนที่จะเป็นบอตเน็ตขนาดยักษ์ คุณเพียงต้องการแล็ปท็อปที่เชื่อมต่ออินเทอร์เน็ตเพื่อเปิดการโจมตีDDoS อันทรงพลัง ทำลายเซิร์ฟเวอร์อินเทอร์เน็ตที่สำคัญและไฟร์วอลล์ที่มีอยู่ ยิ่งใหญ่

นักวิจัยที่ศูนย์ปฏิบัติการรักษาความปลอดภัย TDC ได้ค้นพบเทคนิคการโจมตีใหม่ที่อนุญาตให้ผู้โจมตีคนเดียวที่มีทรัพยากรจำกัด (ในกรณีนี้ แล็ปท็อปที่มีเครือข่ายบรอดแบนด์ที่มีแบนด์วิธอย่างน้อย 15 Mbps) สามารถโจมตีเซิร์ฟเวอร์ขนาดใหญ่ได้

เรียกว่าการโจมตี BlackNurseหรือการโจมตีความเร็วต่ำ " Ping of Death "เทคนิคนี้สามารถใช้เพื่อเปิดชุดการโจมตี DoS ปริมาณต่ำโดยใช้การส่งแพ็กเก็ต ICMP หรือ "ping" เพื่อทำให้โปรเซสเซอร์ท่วมเซิร์ฟเวอร์

แม้แต่เซิร์ฟเวอร์ที่ได้รับการป้องกันด้วยไฟร์วอลล์จาก Cisco , Palo Alto Networksหรือบริษัทอื่นๆ ก็ได้รับผลกระทบจากเทคนิคการโจมตีนี้

ICMP (Internet Control Message Protocol) เป็นโปรโตคอลที่ใช้โดยเราเตอร์และอุปกรณ์เครือข่ายอื่นๆ เพื่อส่งและรับข้อความแสดงข้อผิดพลาด

Ping of Deathเป็นเทคนิคการโจมตีที่ทำให้เครือข่ายโอเวอร์โหลดโดยการส่งแพ็กเก็ต ICMP ที่มีขนาดเกิน 65,536 ไบต์ไปยังเป้าหมาย เนื่องจากขนาดนี้ใหญ่กว่าขนาดแพ็คเก็ต IP ที่อนุญาต มันจะถูกแบ่งออกเป็นชิ้นเล็กๆ และส่งไปยังคอมพิวเตอร์ปลายทาง เมื่อถึงเป้าหมายก็จะถูกประกอบกลับเป็นแพ็กเก็ตที่สมบูรณ์ เนื่องจากมีขนาดใหญ่เกินไป จะทำให้บัฟเฟอร์ล้นและเสียหาย

ตามรายงานทางเทคนิคที่เผยแพร่ในสัปดาห์นี้ การโจมตี BlackNurse ยังเป็นที่รู้จักในชื่อดั้งเดิม: " ping Flood Attack " และขึ้นอยู่กับคำสั่ง ICMP Type 3 (หรือข้อบกพร่อง) รหัสปลายทางไม่สามารถเข้าถึงได้) รหัส 3 (ข้อผิดพลาดพอร์ตไม่สามารถเข้าถึงได้) .

ข้อความค้นหาเหล่านี้เป็นแพ็กเก็ตตอบกลับ ซึ่งโดยทั่วไปจะส่งกลับไปยังการ Ping ต้นทางเมื่อพอร์ตปลายทางของเป้าหมายไม่สามารถเข้าถึงได้ – หรือไม่สามารถเข้าถึงได้

1. นี่คือวิธีการทำงานของเทคนิคการโจมตี BlackNurse:

ด้วยการส่ง แพ็คเก็ต ICMP Type 3ด้วยรหัส 3 แฮกเกอร์สามารถทำให้เกิดเงื่อนไขการปฏิเสธการบริการ (DoS) โดยการโอเวอร์โหลด CPU บนไฟร์วอลล์เซิร์ฟเวอร์บางประเภท โดยไม่คำนึงถึงคุณภาพของการเชื่อมต่ออินเทอร์เน็ต

ปริมาณการรับส่งข้อมูลโดยใช้ เทคนิค BlackNurseมีน้อยมากเพียง 15 Mbps ถึง 18 Mbps (หรือประมาณ 40,000 ถึง 50,000 แพ็กเก็ตต่อวินาที) โดยเฉพาะเมื่อเปรียบเทียบกับสถิติการโจมตี DDoS ที่ 1 Tbps ที่กำหนดเป้าหมายไปที่ผู้ให้บริการ OVH ผู้ให้บริการอินเทอร์เน็ตของฝรั่งเศสในเดือนกันยายน .

ในขณะเดียวกัน TDC ยังกล่าวอีกว่าปริมาณมหาศาลนี้ไม่ใช่ปัญหาสำคัญเมื่อเพียงการรักษากระแสข้อมูลแพ็คเก็ต ICMP ที่สม่ำเสมอจาก 40K ถึง 50K ไปยังอุปกรณ์เครือข่ายของเหยื่อก็สามารถทำลายอุปกรณ์เป้าหมายได้

แล้วข่าวดีที่นี่คืออะไร? ผู้ใช้บน LAN จะไม่สามารถส่งหรือรับการรับส่งข้อมูลเข้าและออกจากอินเทอร์เน็ตได้อีกต่อไป" นักวิจัยกล่าว"

อย่างไรก็ตาม นี่หมายความว่าเทคนิคการโจมตี DoS ปริมาณต่ำนี้ยังคงมีประสิทธิภาพมาก เนื่องจากไม่เพียงทำให้ไฟร์วอลล์ท่วมท้นด้วยการเข้าถึง แต่ยังบังคับให้ CPU มีภาระงานสูง แม้กระทั่งทำให้เซิร์ฟเวอร์ออฟไลน์หากการโจมตีมีความจุเครือข่ายเพียงพอ

นักวิจัยกล่าวว่าBlackNurse ไม่ควรสับสน กับการโจมตีแบบ Ping Flooding ที่ต้องอาศัยแพ็กเก็ต ICMP Type 8 Code 0 (หรือแพ็กเก็ต Ping ปกติ) นักวิจัยอธิบายว่า:

“ เทคนิคการโจมตี BlackNurse ดึงดูดความสนใจของเรา เนื่องจากในการทดสอบโซลูชันต่อต้าน DDoS แม้ว่าความเร็วการเข้าถึงและปริมาณแพ็คเก็ตต่อวินาทีจะอยู่ในระดับต่ำมาก การโจมตีนี้อาจหยุดการดำเนินการของลูกค้าทั้งหมดของเราด้วย ”

" เทคนิคการโจมตีนี้สามารถนำไปใช้กับธุรกิจที่มีไฟร์วอลล์และการเชื่อมต่ออินเทอร์เน็ตขนาดใหญ่ เราหวังว่าอุปกรณ์ไฟร์วอลล์ระดับมืออาชีพจะสามารถรับมือกับการโจมตีเหล่านี้ได้ การโจมตีครั้งนี้ "

2. อุปกรณ์ที่ได้รับผลกระทบ

เทคนิคการโจมตี BlackNurse มีผลกับผลิตภัณฑ์ต่อไปนี้:

• Cisco ASA Firewall Appliances 5506, 5515, 5525 (ที่การตั้งค่าเริ่มต้น)
• อุปกรณ์ไฟร์วอลล์ Cisco ASA 5550 (รุ่นเก่า) และ 5515-X (รุ่นล่าสุด)
• Cisco Router 897 (อาจดาวน์เกรด)
• SonicWall (การกำหนดค่าที่ไม่ถูกต้องสามารถเปลี่ยนแปลงและบรรเทาได้)
• อุปกรณ์ที่ไม่รู้จักบางตัวจากพาโลอัลโต
• เราเตอร์ Zyxel NWA3560-N (การโจมตีไร้สายจาก LAN ภายใน)
• Zyxel อุปกรณ์ไฟร์วอลล์ Zywall USG50

3. จะบรรเทาการโจมตีของ BlackNurse ได้อย่างไร

ยังมีข่าวดีสำหรับคุณ - มีหลายวิธีที่คุณสามารถต่อสู้กับการโจมตีของ BlackNurse ได้

TDC แนะนำการบรรเทาผลกระทบและ กฎ IDSหลายประการ SNORT (ระบบตรวจจับการบุกรุกแบบโอเพ่นซอร์ส SNORT) ที่สามารถใช้เพื่อตรวจจับการโจมตีของ BlackNurse นอกจากนี้ รหัส PoC (พิสูจน์แนวคิด) ได้รับการโพสต์ไปยัง GitHub โดยวิศวกร OVH ซึ่งสามารถใช้เพื่อทดสอบอุปกรณ์ของ LuckyTemplates กับ BlackNurse ได้ด้วย

เพื่อลดการโจมตีของ BlackNurse บนไฟร์วอลล์และอุปกรณ์อื่นๆ TDC แนะนำให้ผู้ใช้สร้างรายการแหล่งที่มาที่เชื่อถือได้ อนุญาตให้ส่งและรับแพ็คเก็ต ICMP อย่างไรก็ตาม วิธีที่ดีที่สุดในการบรรเทาการโจมตีคือการปิดการใช้งานแพ็กเก็ต ICMP Type 3 Code 3 บนอินเทอร์เฟซ WAN

นอกจากนี้ พาโล อัลโต เน็ตเวิร์กส์ ยังออกแถลงการณ์ โดยระบุว่าอุปกรณ์ของตนได้รับผลกระทบภายใต้ " สถานการณ์ที่เฉพาะเจาะจงมากเท่านั้น ไม่ใช่ในการตั้งค่าเริ่มต้น และขัดต่อแนวทางปฏิบัติทั่วไป " บริษัทยังได้จัดทำรายการคำแนะนำสำหรับลูกค้าด้วย

ในขณะเดียวกัน Cisco กล่าวว่าไม่ได้ถือว่าพฤติกรรมในรายงานเป็นปัญหาด้านความปลอดภัย แต่เตือนว่า:

" เราขอแนะนำให้ทุกคนตั้งค่าใบอนุญาตสำหรับแพ็คเก็ต ICMP Type 3 ที่ไม่สามารถเข้าถึงได้ การปฏิเสธข้อความที่ไม่สามารถเข้าถึงได้ของ ICMP จะช่วยปิดการใช้งานโปรโตคอล Path MTU Discovery สำหรับแพ็คเก็ต ICMP สิ่งเหล่านี้สามารถป้องกัน IPSec (Internet Protocol Security: ชุดของโปรโตคอลเพื่อความปลอดภัยของกระบวนการส่งข้อมูล ) และการเข้าถึงตามโปรโตคอล PPTP (Point-To-Point Tunneling Protocol: โปรโตคอลที่ใช้ในการส่งข้อมูลระหว่างเครือข่ายส่วนตัวเสมือน VPN) "

นอกจากนี้ ผู้จำหน่ายซอฟต์แวร์อิสระ NETRESEC ยังตีพิมพ์บทวิเคราะห์โดยละเอียดของ BlackNurse ในหัวข้อ: " เทคนิคการโจมตีแบบน้ำท่วมจากยุค 90 กลับมาแล้ว " นอกเหนือจากคำเตือนข้างต้นแล้ว สถาบัน SANS ยังได้ประกาศบันทึกสั้นๆ เกี่ยวกับการโจมตีของ BlackNurse โดยพูดคุยถึงการโจมตีและสิ่งที่ผู้ใช้ควรทำเพื่อบรรเทาผลกระทบ