低帶寬DDoS攻擊可癱瘓防火墻

yh-security 2016-11-14 15:26:28 漏洞播報(bào) 0個(gè)評(píng)論

本文原創(chuàng)作者：nana

來(lái)源：安全牛

研究人員警告：特定類(lèi)型的低帶寬分布式拒絕服務(wù)(DDoS)攻擊，可以導(dǎo)致某些廣為使用的企業(yè)級(jí)防火墻陷入暫時(shí)的拒絕服務(wù)狀態(tài)。

blacknurse-attack

在分析客戶(hù)遭到的DDoS攻擊時(shí)，丹麥電信運(yùn)營(yíng)商TDC的安全運(yùn)營(yíng)中心發(fā)現(xiàn)：基于網(wǎng)際報(bào)文控制協(xié)議(ICMP)的某些攻擊，甚至能以低帶寬造成嚴(yán)重破壞。

ICMP攻擊也稱(chēng)為ping洪泛攻擊，是很常見(jiàn)的攻擊形式，但通常依賴(lài)“回顯請(qǐng)求”包(Type 8 Code 0)。引起TCD注意的攻擊，則是基于ICMP“端口不可達(dá)”包(Type 3 Code 3)。

該攻擊被TDC命名為“黑護(hù)士(BlackNurse)”，甚至能在低至15-18Mbps的帶寬下依然十分有效，即便受害者擁有高達(dá) 1 Gbps 的互聯(lián)網(wǎng)連接，其防火墻仍會(huì)遭到破壞。

在對(duì)“黑護(hù)士”攻擊的描述報(bào)告中，TDC寫(xiě)道：“我們?cè)诓煌阑饓ι嫌^(guān)測(cè)到的影響，通常都是高CPU占用。攻擊進(jìn)行時(shí)，局域網(wǎng)用戶(hù)將無(wú)法從互聯(lián)網(wǎng)收發(fā)數(shù)據(jù)。攻擊一旦停止，我們觀(guān)測(cè)的所有防火墻即恢復(fù)正常工作。”

少量?jī)H有大約15-18Mbps上行速率的互聯(lián)網(wǎng)連接，就能讓大公司處于拒絕服務(wù)狀態(tài)直到攻擊得以緩解。

專(zhuān)家指出，此類(lèi)攻擊已有20多年歷史，但公司企業(yè)仍未充分認(rèn)識(shí)到這些風(fēng)險(xiǎn)。對(duì)丹麥IP段的掃描揭示，有超過(guò)170萬(wàn)臺(tái)設(shè)備響應(yīng) ICMP ping——意味著此類(lèi)攻擊可能造成巨大影響。

目前，研究人員已確認(rèn)，“黑護(hù)士”攻擊對(duì)思科ASA和SonicWall防火墻有效，但很可能也影響到 Palo Alto Networks 和其他廠(chǎng)商的產(chǎn)品。Linux下的Iptables防火墻、MikroTik公司產(chǎn)品，以及OpenBSD不受影響。

雖然某些情況下攻擊是因防火墻有漏洞才能成功，但一些廠(chǎng)商將責(zé)任歸到了配置問(wèn)題上。檢測(cè)規(guī)則和概念驗(yàn)證代碼已放出，用戶(hù)可用之發(fā)現(xiàn)攻擊和測(cè)試自己的設(shè)備。

“黑護(hù)士”網(wǎng)站將SonicWall拉進(jìn)了受影響產(chǎn)品列表中，備注稱(chēng)：當(dāng)防火墻被錯(cuò)誤配置時(shí)攻擊才能成功。SonicWall表示，正與TDC進(jìn)行交涉。該廠(chǎng)商的測(cè)試顯示，正常的ICMP洪泛保護(hù)開(kāi)啟時(shí)，其防火墻不受此類(lèi)攻擊影響。

思科在今年6月就被告知了此類(lèi)攻擊，但TDC稱(chēng)該公司不準(zhǔn)備將此問(wèn)題歸類(lèi)為安全漏洞。

在一份聲明中，思科稱(chēng)其已經(jīng)注意到了可能針對(duì)防火墻的新型DoS攻擊。該問(wèn)題不是廠(chǎng)商特定的，沒(méi)有利用安全漏洞。在一次攻擊事件中，被提到的ASA設(shè)備仍在執(zhí)行既定的安全策略，并沒(méi)有被破壞。

思科的安全方法在產(chǎn)品構(gòu)想之初就開(kāi)始了，且整個(gè)部署中都會(huì)延續(xù)。該研究中提到的ASA防火墻，針對(duì)DoS威脅的防護(hù)是多層的，我們與客戶(hù)共同協(xié)作，確保DoS安全為網(wǎng)絡(luò)中更上層的服務(wù)負(fù)責(zé)。

思科ASA防火墻案例中，TDC建議拒絕 ICMP Type 3 報(bào)文發(fā)送到該產(chǎn)品的WAN口，或者升級(jí)到更高端的多核ASA防火墻——“黑護(hù)士”攻擊對(duì)此類(lèi)系統(tǒng)沒(méi)那么有效。專(zhuān)業(yè)反DDoS服務(wù)也能緩解此類(lèi)威脅。

原文地址：http://www.aqniu.com/threat-alert/20968.html

上一篇：Gmail存高危漏洞，用戶(hù)帳號(hào)可被輕松破解
下一篇：【漏洞預(yù)警】 CVE-2016-1247：Debian、Ubuntu發(fā)行版的Nginx本地提權(quán)漏洞（含POC）

漏洞播報(bào)

低帶寬DDoS攻擊可癱瘓防火墻

本文原創(chuàng)作者：nana

來(lái)源：安全牛

聯(lián)系我們：cert@chaosec.com