ЧерныйМедсестра
 | Эта статья нуждается в дополнительных цитатах для проверки . ( июль 2017 г. ) |
Атака BlackNurse — это форма атаки типа «отказ в обслуживании», основанная на ICMP-флудинге . Атака особенная, поскольку скромная пропускная способность в 20 Мбит/с может быть эффективной для нарушения работы сети жертвы. [1]
Атака заключается в отправке пакетов ICMP Destination Unreachable в пункт назначения. Это работает, потому что эти пакеты заставляют пункт назначения потреблять ресурсы с относительно высокой скоростью по сравнению с трафиком. [2]
Открытие
[ редактировать ]Атака была впервые обнаружена исследователями Ленни Ханссоном и Кеннетом Бьеррегардом Йоргенсеном в Центре обеспечения безопасности датского оператора связи TDC. Цель исследователей — защитить клиентов этой телекоммуникационной сети от DDoS- атак и других киберугроз. [3]
В своем сообщении о нападении команда отметила:
Атака BlackNurse привлекла наше внимание, поскольку в нашем анти-DDoS-решении мы обнаружили, что, хотя скорость трафика и количество пакетов в секунду были очень низкими, эта атака могла препятствовать работе наших клиентов. Это применимо даже к клиентам с крупными интернет-каналами и крупными корпоративными межсетевыми экранами. Мы ожидали, что профессиональное оборудование межсетевого экрана сможет справиться с атакой. [3]
DOS-атаки
[ редактировать ]Отказ в обслуживании обычно достигается путем переполнения целевой машины или ресурса лишними запросами в попытке перегрузить системы и предотвратить выполнение некоторых или всех законных запросов.
Обычно такая атака осуществляется распределенным образом, когда множество клиентов отправляют запросы на определенный сервер. Сумма всего трафика клиента часто бывает достаточной, чтобы перегрузить пункт назначения и привести к отключению службы или ее недоступности.
Атака
[ редактировать ]В случае атаки BlackNurse вместо того, чтобы наполнять интернет-трафик удаленной системы избыточным трафиком, атака использует дисбаланс между ресурсами, необходимыми для отправки трафика, и ресурсами, необходимыми для его обработки. [ нужна ссылка ]
А именно, атаки BlackNurse используют ICMP с пакетами Type 3 Code 3. [4]
Это пакет, который предназначен для отправки, когда порт назначения недоступен. [5]
В отличие от предыдущих атак с использованием протокола ICMP — атака Smurf , ping-флуд , ping of death — BlackNurse не заливает пункт назначения трафиком. Вместо этого исследователи поняли, что пакет «Порт назначения недоступен» вызывает высокую загрузку ЦП в брандмауэре , который его обрабатывает. [3] Используя относительно небольшую пропускную способность в 15–18 Мбит/с, злоумышленник может вызвать резкое увеличение загрузки ЦП целевого брандмауэра, в результате чего этот брандмауэр перестанет обрабатывать больше запросов.
Определение уязвимости
[ редактировать ]Чтобы проверить, уязвимо ли ваше устройство, вы можете отправить ICMP-пакет в свою сеть с помощью hping . Рекомендуется запускать эти команды со стороны WAN вашего брандмауэра.
- hping3 -1 -C 3 -K 3 -i u20 <целевой IP>
- hping3 -1 -C 3 -K 3 --flood <целевой IP>
Во время теста попытайтесь нормально использовать сеть, наблюдая за использованием ЦП брандмауэром.
Причины эффективности
[ редактировать ]Из-за истории атак ICMP многие пакеты ICMP обычно блокируются на брандмауэрах. Однако некоторые пакеты ICMP необходимы для правильной работы сети. Порт назначения недоступен — это один из тех пакетов, который требуется. [6] [7]
Однако обычно атака будет эффективной только в том случае, если входящий трафик превышает пропускную способность компьютера-жертвы. Однако в случае с BlackNurse атака использует логику обработки многих межсетевых экранов для обработки этого трафика.
Эта атака важна, поскольку она использует необходимый компонент интернет-трафика и не требует использования ботнета для выполнения атак.
Влияние
[ редактировать ]Из-за низкой стоимости атаки, поскольку широко распространены соединения с низкой пропускной способностью, эту атаку можно использовать очень эффективно. Первые исследователи из SOC TDC отметили, что атака в настоящее время используется против клиентов в их собственной сети.
Происхождение имени
[ редактировать ]Атака была названа «Черная медсестра» в шутку, потому что двое ее главных исследователей были бывшими кузнецом и бывшей медсестрой. СМИ подхватили это имя еще до того, как его удалось изменить. [2]
Ссылки
[ редактировать ]- ^ «Брандмауэры отключены атакой Ping of Death 'BlackNurse' • The Register» . Регистр . Проверено 3 июля 2017 г.
- ^ Jump up to: а б Эрик Хьельмвик (10 ноября 2016 г.). «Атака отказа в обслуживании BlackNurse — блог NETRESEC» . Netresec.com . Проверено 6 июля 2017 г.
- ^ Jump up to: а б с «Атака черной медсестры» (PDF) . Soc.tdc.dk. Проверено 6 июля 2017 г.
- ^ «DDoS-атаки BlackNurse с низкой пропускной способностью могут вывести из строя брандмауэры» . Неделя безопасности . Проверено 3 июля 2017 г.
- ^ Постел, Дж. (сентябрь 1981 г.). «RFC 792 — Протокол управляющих сообщений Интернета» . Tools.ietf.org . дои : 10.17487/RFC0792 . Проверено 6 июля 2017 г.
- ^ Бейкер, Фред (июнь 1995 г.). «RFC 1812 — Требования к маршрутизаторам IP версии 4» . Tools.ietf.org . Проверено 6 июля 2017 г.
- ^ Брейден, Роберт Т. (октябрь 1989 г.). Брейден, Р. (ред.). «RFC 1122 — Требования к хостам Интернета — коммуникационные уровни» . Tools.ietf.org . дои : 10.17487/RFC1122 . Проверено 6 июля 2017 г.