Black Nurse - DDoS テクニックにより、通常のラップトップがサーバー システム全体をダウンさせることができます

これらのサーバーに既知のファイアウォール デバイスが装備されている場合でも、攻撃者がこの手法を悪用するとサーバーがダウンする可能性があります。

信じられないかもしれませんが、巨大なボットネットの代わりに、インターネットに接続されたラップトップだけで強力なDDoS攻撃を開始し、重要なインターネット サーバーと既存のファイアウォールをダウンさせることができます。

TDC セキュリティ オペレーション センターの研究者は、限られたリソース (この場合、少なくとも 15 Mbps の帯域幅のブロードバンド ネットワークを備えたラップトップ) を使用して単独の攻撃者が大規模サーバーをダウンできる新しい攻撃手法を発見しました。

BlackNurse 攻撃または「 Ping of Death」低速攻撃と呼ばれるこの手法は、ICMP パケットまたは「ping」を送信してサーバー上のプロセッサをフラッディングすることで、一連の少量の DoS 攻撃を開始するために使用できます。

Cisco、Palo Alto Networks 、またはその他の企業のファイアウォールで保護されているサーバーも、この攻撃手法の影響を受けます。

ICMP (Internet Control Message Protocol) は、ルーターやその他のネットワーク デバイスがエラー メッセージを送受信するために使用するプロトコルです。

Ping of Death は、 65,536 バイトを超えるサイズの ICMP パケットをターゲットに送信することにより、ネットワークに過負荷をかける攻撃手法です。このサイズは IP パケットの許容サイズより大きいため、より小さな部分に分割されて宛先コンピューターに送信されます。ターゲットに到達すると、完全なパケットに再組み立てされますが、サイズが大きすぎるため、バッファ オーバーフローやクラッシュが発生します。

今週発行された技術レポートによると、BlackNurse 攻撃は、より伝統的な名前「ping フラッド攻撃」としても知られており、ICMP タイプ 3 クエリ (またはバグ) に基づいています。宛先到達不能) コード 3 (ポート到達不能エラー) 。

これらのクエリは応答パケットであり、通常、ターゲットの宛先ポートが到達できない場合、またはUnreachable の場合に送信元 ping に戻ります。

1. BlackNurse 攻撃手法がどのように機能するかは次のとおりです。

ハッカーは、コード 3 のICMP タイプ 3パケットを送信することにより、インターネット接続の品質に関係なく、特定の種類のサーバー ファイアウォールの CPU に過負荷をかけ、サービス拒否 (DoS) 状態を引き起こす可能性があります。

BlackNurse技術を使用したトラフィック量は非常に少なく、特にプロバイダーをターゲットとした記録的な 1 Tbps DDoS 攻撃と比較すると、わずか 15 Mbps ～ 18 Mbps (または 1 秒あたり約 40,000 ～ 50,000 パケット) です。 。

一方、TDC は、被害者のネットワーク デバイスに到達する 40K から 50K の ICMP パケットの安定したストリームを維持するだけでターゲット デバイスを破壊できる場合、この膨大な量は重要な問題ではないとも述べています。

さて、ここで良いニュースは何でしょうか？ 「攻撃が発生すると、LAN 上のユーザーはインターネットとの間でトラフィックを送受信できなくなります。攻撃が停止した後、私たちが確認したファイアウォールはすべて回復しました。」と研究者らは述べています。

ただし、これは、この少量の DoS 攻撃手法が依然として非常に効果的であることを意味します。ファイアウォールにアクセスが殺到するだけでなく、CPU に高負荷を強いることになり、攻撃に十分なネットワーク容量がある場合にはサーバーをオフラインにすることさえあります。

研究者らは、BlackNurse を、 ICMP Type 8 Code 0 パケット (または通常の ping パケット) に依存する ping フラッディング攻撃と混同すべきではないと述べています。研究者たちは次のように説明しています。

「BlackNurse 攻撃手法が私たちの注目を集めたのは、DDoS 対策ソリューションのテストにおいて、アクセス速度と 1 秒あたりのパケット量が非常に低いレベルであっても、この攻撃によりお客様のすべての業務が停止する可能性があるためです。」

「この攻撃手法は、ファイアウォールや大規模なインターネット接続を備えた企業にも適用される可能性があります。専門的なファイアウォール デバイスがこれらの攻撃に対処できることを期待しています。」

2. 影響を受けるデバイス

BlackNurse 攻撃手法は、次の製品で有効です。

• Cisco ASA ファイアウォール アプライアンス 5506、5515、5525 (デフォルト設定)。
• Cisco ASA 5550 (旧世代) および 5515-X (最新世代) ファイアウォール デバイス。
• Cisco ルーター 897 (ダウングレードされる可能性があります)。
• SonicWall (設定ミスを変更および軽減できます)。
• パロアルトのいくつかの未知のデバイス。
• ルーター Zyxel NWA3560-N (社内 LAN からの無線攻撃)。
• Zyxel Zywall USG50 ファイアウォール デバイス。

3. BlackNurse 攻撃を軽減するにはどうすればよいですか?

まだ良いニュースがあります。BlackNurse 攻撃に反撃する方法はたくさんあります。

TDC は、BlackNurse 攻撃の検出に使用できるいくつかの緩和策とIDS ルール SNORT (オープン ソース侵入検知システム SNORT) を推奨しています。さらに、PoC (概念実証) コードが OVH エンジニアによって GitHub に投稿されており、LuckyTemplates のデバイスを BlackNurse に対してテストするために使用することもできます。

ファイアウォールやその他のデバイスに対する BlackNurse 攻撃を軽減するために、TDC はユーザーがICMP パケットの送受信を許可された信頼できる送信元のリストを作成することを推奨しています。ただし、攻撃を軽減する最善の方法は、WAN インターフェイス上の ICMP Type 3 Code 3 パケットを無効にすることです。

パロアルトネットワークスも声明を発表し、同社のデバイスは「デフォルト設定や一般的な慣行に反する非常に特殊なシナリオ」下でのみ影響を受けると述べた。同社は顧客への推奨事項もリストに挙げています。

一方、Ciscoは、報告書の挙動はセキュリティ上の問題とは考えていないとしながらも、次のように警告した。

"すべてのユーザーに、ICMP タイプ 3 到達不能パケットのライセンスを設定することをお勧めします。ICMP 到達不能メッセージを拒否すると、ICMP パケットのパス MTU 検出プロトコルを無効にすることができます。これらにより、IPSec (インターネット プロトコル セキュリティ: 情報送信プロセスを保護するための一連のプロトコル) が防止される可能性があります。 ) および PPTP プロトコル (ポイントツーポイント トンネリング プロトコル: VPN 仮想プライベート ネットワーク間でデータを送信するために使用されるプロトコル) に従ってアクセスします。」

さらに、独立系ソフトウェア ベンダーの NETRESEC も、「90 年代のフラッディング攻撃手法が復活」と題した BlackNurse の詳細な分析を発表しました。上記の警告に加えて、SANS Institute は BlackNurse 攻撃に関する短いメモを発表し、攻撃とそれを軽減するためにユーザーが何をすべきかについて説明しました。