Атаката BlackNurse: лесен начин за спиране на големи сървъри само с един лаптоп

1
55

Проблемът бе разкрит от специалистите на датската компания TDC, която предлага на своите клиенти разнообразни телекомуникационни услуги. По време на анализ на маломощна DDoS атака (15-18 Mb/s), осъществена от неизвестни извършители, експертите обърнаха внимание на странен ICMP трафик.

Атаката не е нещо особено, но специалистите били обезпокоени от ICMP пакетите със скорост 40-50 хиляди в секунда, предизвикващи падането на мрежовото оборудване.

TDC нарекоха тази атака BlackNurse, въпреки че още от 80-те години тези атаки бе прието да се наричат ping флуд. Атаката се базира на ICMP Type 3 заявките (дестинацията е недостъпна Code 3 (портът е недостъпен). Тези пакети се изпращат в отговор на изпратени ping-ове и съобщават, че конкретния порт е недостъпен.

Оказа се, че тези атаки много зле се отразяват на работата на съвременните защитни стени. С помощта на BlackNurse атакуващите претоварват централния процесор на хоста и потребителите, обслужвани от него, остават без интернет. Уязвими срещу BlackNurse са защитните стени Cisco ASA 5515 и 5525 с настройки по подразбиране, както и някои модели SonicWall.

TDC съветва да се изключи ICMP Type 3 Code 3 за WAN и да се създаде списък с доверени източници, за които ICMP е разрешен и добре настроен.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари