只用一台笔记本发动DDoS攻击,就能让大型服务器下线

最近有研究人员发现了一种被称为BlackNurse的简单攻击方式,能够让独立入侵者能用有限的资源(一个有15Mbps带宽的笔记本)驱动大规模DDoS攻击,直接将大型服务器踢下线。

发现BlackNurse攻击的是一个家叫做TDC的丹麦安全运营中心,据说BlackNurse能够攻击大型防火墙保护下的服务器,包括Cisco Systems, Palo Alto Networks, SonicWall和Zyxel的防火墙。

在研究人员发布分析报告中还提到:“我们将这种攻击方式命名为BlackNurse,它不是仅仅建立在网络连接上的单纯ICMP(控制报文协议Internet Control Message Protocol)泛洪攻击。

要知道传统的ICMP泛洪攻击是通过高频向目标发送ICMP请求来实现的,而BlackNurse攻击则是基于ICMP Type3 Code3的包,而这种包通常被路由器和网络设备用来发送和接受错误信息。”

ICMP是TCP/IP的一个子协议,大部分常见的ICMP攻击都是基于Type8 Code0的,即泛洪攻击。Type8 Code0是Echo request——回显请求(Ping请求),Ping的原理是向网络上的另一个主机系统发送ICMP报文请求,如果指定系统获得报文,它会回送应答报文,这类似潜水艇声纳系统中使用的发声装置。

而BlackNurse攻击基于Type3(Destination Unreachable) Code3(Port Unreachable)——端口不可达,当目标端口不可达,所发出的ICMP包都会返回源。攻击者可以通过发这种特定的ICMP包令大多数服务器防火墙的CPU过载。

一旦设备抛弃的包到了临界值15Mbps至18Mbps(每秒4万到5万个包),服务器就会直接下线。

“BlackNurse攻击能吸引我们注意力的主要原因是它能够以这样低的频率源源不断地攻击目标,在我们所知的所有抗DDoS方案中,如此低的流量和每秒发包数也是十分罕见的。 BlackNurse攻击甚至对有着海量带宽的企业防火墙也有效。当然我们也期望有专业的防火墙能够应对这种类型的攻击。”报告中称。

来自TDC安全管理平台(SOC)的研究人员解释道,只要攻击者拥有一台笔记本,就可以利用BlackNurse发起峰值达180Mbps的DDoS攻击。

“这种攻击方式跟你有没有1Gbit/s的网络连接没关系,它最大的影响在于令各类防火墙的CPU过载。在遭受攻击时,本地局域网的用户将不能通过网络发送和接受数据。一旦停止攻击就能看到防火墙恢复功能。”

换句话说,这样低容量的DDoS攻击能够起效的主要原因是它不像泛洪攻击那样以流量取胜,而是增加CPU的负荷,这样即使网站还有很大的流量依然会被踢下线。

经专家证实,在过去的两年内TDC安全运营中心的用户共遭到95起利用ICMP协议的DDoS攻击,但并没有提到其中具体有多少起采用了BlackNurse攻击。

Netresec的安专家也支持了TDC的分析,确定这种攻击针对一些主要的防火墙制造商,包括Cisco Systems, Palo Alto Networks, SonicWall和Zyxel。

TDC证实容易被BlackNurse攻击的防火墙主要有以下几种型号:

Cisco ASA 5506, 5515, 5525 (default settings) Cisco ASA 5550 (Legacy) and 5515-X (latest generation) Cisco Router 897 (unless rate-limited) Palo Alto (unverified) SonicWall (if misconfigured) Zyxel NWA3560-N (wireless attack from LAN Side) Zyxel Zywall USG50

Palo Alto Networks公司还专门为这种DDoS攻击提出了建议。点击阅读原文查看详情。

* 参考来源:securityaffairs,FB小编孙毛毛编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-11-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

WiFi联盟宣布WPA3协议已最终完成 安全性增加

WiFi联盟(Wi-Fi Alliance)周一宣布WPA3协议已最终完成,这是WiFi连接的新标准。

612
来自专栏FreeBuf

美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》

近期,美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告(Enhanced Analysis of GRIZZLY STEPPE Activit...

2305
来自专栏FreeBuf

你的CAD图纸被盗了吗?

本次分析的样本是CAD脚本动态生产的一种VBS蠕虫病毒,大概10多年前就已经开始通过E-Mail传播此样本,而如今这类病毒依旧活跃着,浮浮沉沉,生生不息。 蠕虫...

2058
来自专栏FreeBuf

警惕,WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序

WinRAR解压缩软件在中国有非常大的保有量,中国也是WinRAR的重要市场。不过最近卡巴斯基实验室的研究报告却让我们惊出一身冷汗,某些来源的WinRAR和Tr...

2546
来自专栏北京马哥教育

初识常见DDOS攻击手段

一、什么是DDoS? DDoS攻击就是攻击者发起的一个尝试,目的是耗尽可用于网络、应用程序或服务的资源,以致于真正的用户无法访问这些资源。它是由一组恶意软件感染...

5919
来自专栏FreeBuf

CIA Vault7最新泄露文档:樱花盛开

多份维基解密于2017年6月15日披露的文件显示,CIA早在2006年便开始了一项名为“樱花盛开”(Cherry Blossom)的项目。曝光的文档资料详实,图...

2996
来自专栏程序员互动联盟

【答疑释惑】Makefile是什么,Windows下面如何编写?

1 问题 ? 解答: ? 点评:Windows下用微软的VS是不需要自己编写Makefile的,但是如果使用Cygwin之类的编译环境,还是需要自己编写Mak...

3619
来自专栏FreeBuf

WannaMine再升级,摇身一变成为军火商?

WannaMine是个“无文件”僵尸网络,在入侵过程中无任何文件落地,仅仅依靠WMI类属性存储ShellCode,并通过“永恒之蓝”漏洞攻击武器以及“Mimik...

1780
来自专栏信安之路

APT-RAT(Poison ivy ) 攻击模拟及监测口令提取

APT:高级持续性威胁,APT 攻击主要是指针对特定组织、特定领域或个人进行的蓄谋已久的攻击。如:针对一个国家的基础设施的破坏,针对国防、航空航天、医疗、军民融...

1570
来自专栏DHUtoBUAA

通过ODBC接口访问人大金仓数据库

  国产化软件和国产化芯片的窘境一样,一方面市场已经存在性能优越的同类软件,成本很低,但小众的国产化软件不仅需要高价买入版权,并且软件开发维护成本高;另一方面,...

1660

扫码关注云+社区

领取腾讯云代金券