B

lacknurse jest kolejnym rodzajem ataku typu ICMP Flood. Wystarczy niewielka przepustowość, aby przeprowadzić skuteczny DoS (Denial of Service) na kilku zaporach ogniowych znanych producentów. Czym ten atak różni się od typowego ICMP Ping Flood? Ping używa pakietów ICMP Typu 8, czyli Echo Requests, a pielęgniarka ICMP Typu 3, czyli Destination Unreachable – co powoduje znacznie większe zużywanie zasobów na zaporach w porównaniu do innych bardziej powszechnych ataków. Wystarczy, że firewall zezwala na przyjmowanie pakietów ICMP Typu 3 na zewnętrznych interfejsach, aby atak stał się bardzo skuteczny nawet przy jego niskiej przepustowości. Jak niskiej? Wystarczy około 15 – 18 Mbit/s i wolumen pakietów w przedziale od 40 do 50 tysięcy na sekundę, aby położyć np. 1 Gbit/s łącze ofiary.

Największy wpływ atak ma na wysokie obciążenie CPU zapór ogniowych. Kiedy atak jest w toku, użytkownicy od strony sieci LAN tracą możliwość wysyłania i odbierania ruchu do i z Internetu. Wystarczy zatrzymać atak, aby urządzenie chroniące sieć ponownie odzyskało stan normalnej pracy. Najlepszym sposobem, aby sprawdzić swoje styki sieciowe jest tymczasowe umożliwienie otrzymywania pakietów ICMP po stronie interfejsów WAN zapory i przeprowadzić kilka testów na przykład za pomocą programu hping3 (dostępny jako gotowy pakiet do instalacji w systemie Ubuntu). Podczas ataku należy na bieżąco sprawdzać czy chronieni użytkownicy posiadają nadal możliwość dostępu do Internetu:

hping3 -1 -C 3 -K 3 -i u20 $ADRES_IP
hping3 -1 -C 3 -K 3 --flood $ADRES_IP

Odkrywcy ataku – zespół analityków z TDC Security Operations Center przetestował możliwość przeprowadzenia ataku na telefonie Nexus 6 z oprogramowaniem Nethunter oraz mocniejszym laptopem – produkując ruch rzędu 9.5 Mbit/s oraz 180 Mbit/s za pomocą powyższych poleceń. Najbardziej narażone są urządzenia Cisco ASA firewall z serii 55xx (5506, 5515, 5525 , 5540), ponieważ nawet przy blokadzie całego ruchu ICMP odczuwają atak już przy 4 Mbit/s. Dobrą wiadomością jest, że systemy Linux są bezpieczne – iptables nie jest podane – nawet przy 480 Mbit/s.

Więcej informacji: Blacknurse, BlackNurse Denial of Service Attack, The BlackNurse Attack