低带宽DDoS攻击可瘫痪防火墙
研究人员警告:特定类型的低带宽分布式拒绝服务(DDoS)攻击,可以导致某些广为使用的企业级防火墙陷入暂时的拒绝服务状态。
在分析客户遭到的DDoS攻击时,丹麦电信运营商TDC的安全运营中心发现:基于网际报文控制协议(ICMP)的某些攻击,甚至能以低带宽造成严重破坏。
ICMP攻击也称为ping洪泛攻击,是很常见的攻击形式,但通常依赖“回显请求”包(Type 8 Code 0)。引起TCD注意的攻击,则是基于ICMP“端口不可达”包(Type 3 Code 3)。
该攻击被TDC命名为“黑护士(BlackNurse)”,甚至能在低至15-18Mbps的带宽下依然十分有效,即便受害者拥有高达 1 Gbps 的互联网连接,其防火墙仍会遭到破坏。
在对“黑护士”攻击的描述报告中,TDC写道:“我们在不同防火墙上观测到的影响,通常都是高CPU占用。攻击进行时,局域网用户将无法从互联网收发数据。攻击一旦停止,我们观测的所有防火墙即恢复正常工作。”
少量仅有大约15-18Mbps上行速率的互联网连接,就能让大公司处于拒绝服务状态直到攻击得以缓解。专家指出,此类攻击已有20多年历史,但公司企业仍未充分认识到这些风险。对丹麦IP段的扫描揭示,有超过170万台设备响应 ICMP ping——意味着此类攻击可能造成巨大影响。 目前,研究人员已确认,“黑护士”攻击对思科ASA和SonicWall防火墙有效,但很可能也影响到 Palo Alto Networks 和其他厂商的产品。Linux下的Iptables防火墙、MikroTik公司产品,以及OpenBSD不受影响。 虽然某些情况下攻击是因防火墙有漏洞才能成功,但一些厂商将责任归到了配置问题上。检测规则和概念验证代码已放出,用户可用之发现攻击和测试自己的设备。 “黑护士”网站将SonicWall拉进了受影响产品列表中,备注称:当防火墙被错误配置时攻击才能成功。SonicWall表示,正与TDC进行交涉。该厂商的测试显示,正常的ICMP洪泛保护开启时,其防火墙不受此类攻击影响。 思科在今年6月就被告知了此类攻击,但TDC称该公司不准备将此问题归类为安全漏洞。 在一份声明中,思科称其已经注意到了可能针对防火墙的新型DoS攻击。该问题不是厂商特定的,没有利用安全漏洞。在一次攻击事件中,被提到的ASA设备仍在执行既定的安全策略,并没有被破坏。
思科的安全方法在产品构想之初就开始了,且整个部署中都会延续。该研究中提到的ASA防火墙,针对DoS威胁的防护是多层的,我们与客户共同协作,确保DoS安全为网络中更上层的服务负责。思科ASA防火墙案例中,TDC建议拒绝 ICMP Type 3 报文发送到该产品的WAN口,或者升级到更高端的多核ASA防火墙——“黑护士”攻击对此类系统没那么有效。专业反DDoS服务也能缓解此类威胁。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 澳门是伟大祖国的一方宝地 7965735
- 2 上海地铁又现致歉信专用章 7994245
- 3 星巴克大罢工 7877579
- 4 2024 向上的中国 7704212
- 5 向佐 我一踢腿就会走光 7679212
- 6 80岁顶级富豪再婚娶33岁华裔妻子 7503227
- 7 特朗普:马斯克不会成为总统 7411327
- 8 鹿晗录制新综艺 法令纹明显 7353525
- 9 韩国一军方驻地爆炸 3名平民被烧伤 7213001
- 10 大S老公具俊晔站C位跳女团舞 7101163