Новый метод позволит одному лэптопу блокировать брандмауэр предприятия

15 ноябрь, 2016 - 10:35
Новый метод позволит одному лэптопу блокировать брандмауэр предприятия

В отличие от получивших в последнее время невиданное распространение атак DDoS, использующих тысячи ботов, новая техника BlackNurse позволяет полностью нарушить работу высокопроизводительного межсетевого экрана предприятия с помощью всего одного компьютера.

Обнаруженный исследователями способ состоит в рассылке пакетов Internet Control Message Protocol (ICMP) особого вида.

Пакеты ICMP Type 8 Code 0 применяются в хорошо известных атаках ping flood, перегружающих сетевое оборудование эхо-запросами с целью отказа в обслуживании (DoS). BlackNurse вместо этого использует ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable), и некоторые брандмауэры тратят много ресурсов центрального процессора для обработки таких пакетов.

По информации экспертов из Security Operations Center (SOC) датского оператора телекоммуникаций TDC, для того, чтобы перегрузить межсетевой экран требуется каждую секунду отправлять ему 40-50 тысяч пакетов ICMP Type 3 Code 3. Это относительно небольшой трафик, занимающий полосу от 15 до 18 МБ/с, который вполне возможно генерировать даже с одного ноутбука.

«В ходе этой атаки пользователи со стороны локальной сети не могут отсылать и принимать трафик в/из Интернета», — утверждается в техническом докладе, подготовленном TDC SOC.

Специалисты успешно протестировали такие атаки на брандмауэрах Cisco Adaptive Security Appliance (ASA) в разных конфигурациях. Собственная документация компании Cisco рекомендует пользователям разрешать прием сообщений ICMP Type 3, так как отказ может помешать трафику IPSec и PPTP.

Ряд устройств от Palo Alto Networks, SonicWall и Zyxel Communications также являются уязвимыми от BlackNurse, но лишь в неправильной конфигурации, либо если не активированы определенные меры защиты.

Только в Дании TDC SOC идентифицировал 1,7 млн устройств, разрешающих приём трафика ICMP из Интернета.

Отключение ICMP Type 3 Code 3 в WAN-интерфейсе рекомендуется авторами доклада как лучшая практика борьбы с новой атакой. Тем же клиентам, которым требуются запросы ICMP, они предлагают активировать опции ICMP Flood и ICMPv6 Flood в профиле защиты межсетевого экрана.