Атака Blacknurse: Как Отключить Брандмауэр С Помощью Ноутбука И Icmp

Обновлено: 2024-10-19 21:10:22 Роман Иванов Вебмастеру 1



Атака BlackNurse: как отключить брандмауэр с помощью ноутбука и ICMP

DoS-атаки не всегда требуют крупномасштабных ботнетов.

Исследователи информационной безопасности описал атака BlackNurse, в ходе которой можно отключить межсетевые экраны популярных производителей с помощью одного ноутбука.



В чем проблема

Датские исследователи из отдела SOC (Security Operations Center) оператора связи TDC описали атаку BlackNurse, использующую обработку ICMP-запросов популярными межсетевыми экранами.

В тексте опубликованного исследования авторы пишут, что столкнулись с проблемой при разработке собственного решения по борьбе с DoS — в некоторых случаях, несмотря на небольшой объем входящего трафика и малое количество принимаемых пакетов, общая скорость работы сети снижается.

замедлился.

Эффект наблюдался даже у крупных корпоративных клиентов с высокоскоростными каналами и использующих дорогостоящее оборудование известных вендоров.

Атака использует сообщения ICMP Type 3 «недоступен», в частности, сообщение ICMP Type 3 Code 3 «порт недоступен».

Они могут перегрузить процессор межсетевого экрана, что приведет к отказу в обслуживании.

Согласно эксперименту, используя один ноутбук аналогичным методом, можно провести атаку мощностью 180 Мбит/с.

В публикации экспертов TDC не говорится, почему эти пакеты потребляют столько процессорного времени брандмауэра, но эксперт по информационной безопасности Технологического института SANS Ганс Ульрих предложенный , что проблема может заключаться в попытке брандмауэра провести анализ пакетов с отслеживанием состояния, что требует большого количества ресурсов.

«В любом случае нагрузка на разные межсетевые экраны возрастала.

Во время атаки пользователи локальной сети за брандмауэром потеряли возможность отправлять и получать трафик в Интернет и из Интернета; после прекращения атаки функциональность была восстановлена», — пишут исследователи в своем документе.

По мнению экспертов TDC, уязвимы следующие продукты:

  • Cisco ASA 5506, 5515, 5525 (при стандартных настройках)
  • Cisco ASA 5550 (устаревший) и 5515-X (последнее поколение)
  • Cisco Router 897 (возможно отражение атаки)
  • SonicWall (проблема решена изменением стандартной конфигурации)
  • немного Пало-Альто
  • Zyxel NWA3560-N (атака на беспроводную локальную сеть)
  • Zyxel Zywall USG50
Брандмауэры, работающие через iptables, не подвержены атакам.



Как защитить себя

Узнать, уязвима ли та или иная система, можно, включив ICMP на стороне WAN брандмауэра и проведя тестирование с помощью Hping3, одновременно пытаясь подключиться к Интернету из сети.

Можно использовать следующие команды hping3: 

  
   

 hping3 -1 -C 3 -K 3 -i u20 <target ip>
 hping3 -1 -C 3 -K 3 --flood <target ip>
Исследователи также представили правило SNORT IDS для обнаружения атаки BlackNurse:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurseattack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;) alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC –Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

Для минимизации рисков можно использовать различные методы.

В частности, специалисты рекомендуют настроить на межсетевом экране список доверенных ресурсов, от которых принимаются ICMP-пакеты.

Также имеет смысл отключить ICMP Type 3 Code 3 на стороне WAN. Затруднить проведение кибератак, предотвратить масштабные утечки и смягчить последствия инцидентов информационной безопасности можно с помощью специализированных средств защиты – например, с помощью нового программно-аппаратного комплекса MaxPatrol SIEM. Используя MaxPatrol SIEM, вы можете анализировать данные, полученные от систем M?, IPS\IDS или собранные вашим собственным агентом Network Sensor — это позволяет своевременно обнаруживать и сигнализировать об атаках типа BlackNurse. При этом качественная реализация SIEM позволяет гарантировать, что, однажды описав логику обнаружения конкретной атаки, система сможет обнаруживать все атаки данного класса, как за пределами периметра, так и внутри часто.

чрезвычайно сложные иерархически неоднородные инфраструктуры.

О теории и практике внедрения и эксплуатации SIEM-систем можно узнать на примере MaxPatrol. 17 ноября в 14:00 на бесплатном вебинаре Владимира Бенгина, руководителя отдела поддержки продаж SIEM. Вы можете зарегистрироваться для участия в вебинаре Здесь Теги: #вебинар #обход брандмауэров #брандмауэр #BlackNurse #информационная безопасность #информационная безопасность

Последнее изменение: 2024-10-19 21:10:22
Вместе с данным постом часто просматривают:

Автор Статьи

Роман Иванов

Роман Иванов
Эксперт
Зарегистрирован: 2019-12-10 15:07:06
Баллов опыта: 0
Всего постов на сайте: 0
Всего комментарий на сайте: 0

Интересно

Dima Manisha

Dima Manisha

 Эксперт Wmlog. Профессиональный веб-мастер, SEO-специалист, дизайнер, маркетолог и интернет-предприниматель.