即使是一台计算机也可以使用BlackNurse攻击摧毁大型服务器

TDC安全运营中心的研究人员发现了一种新的攻击技术，只有资源有限的攻击者（在本例中，一台笔记本电脑和至少15Mbps的带宽）才能使用这种技术使大型服务器离线。

被称为黑人护士“攻击还是低比率”死亡之声“攻击，该技术可通过发送特殊形式的Internet控制消息协议（ICMP）数据包或‘ping’来发起多个低容量DoS攻击，这些数据包覆盖了受Cisco、Palo Alto Networks等防火墙保护的服务器上的处理器。

ICMP是路由器和其他网络设备用来发送和接收错误消息的协议。

根据本周发布的一份技术报告[PDF]，BlackNurse攻击更传统地被称为“ping洪水攻击”，它基于ICMP类型3（目标不可访问）代码3（端口不可访问）请求。

这些请求是数据包回复，通常在目标的目标端口“无法访问”时返回给ping源

以下是黑护士攻击的工作原理：

通过发送代码为3的第3类ICMP数据包，黑客可以通过过载特定类型服务器防火墙的CPU而导致拒绝服务（DoS）状态，而不管internet连接的质量如何。

BlackNurse的流量非常小，从15 Mbps到18 Mbps（或每秒约40000到50000个数据包）不等，这与9月法国互联网服务提供商OVH遭受的破纪录的1.1 Tbps DDoS攻击相比是可笑的。

然而，TDC解释说，这不是问题所在，因为主要问题是40K到50K ICMP数据包的稳定流到达受害者的网络设备，并不断使目标设备崩溃。

好消息是什么？研究人员说，“当攻击正在进行时，LAN端的用户将无法再向Internet发送/接收流量。我们看到的所有防火墙在攻击停止时都会恢复。”

换句话说，这种低容量DoS技术仍然有效，因为它不会让流量淹没防火墙，而是将高负载推到CPU上，有效地让服务器离线，即使它们有大量的网络容量。

研究人员表示，BlackNurse不应与“基于ICMP 8型代码0的ping洪水攻击”和#8211；正常的交通。研究人员解释说：

“BlackNurse攻击引起了我们的注意，因为在我们的防DDoS解决方案中，我们体验到，尽管通信速度和每秒数据包数非常低，但这种攻击可能会降低我们客户的操作。”

“这甚至适用于拥有大型互联网上行链路和大型企业防火墙的客户。我们原以为专业的防火墙设备能够应对攻击。”

受影响的产品

BlackNurse攻击针对以下产品：

• Cisco ASA 5506、5515、5525（默认设置）
• 思科ASA 5550（传统）和5515-X（最新一代）
• Cisco Router 897 (can be mitigated)
• SonicWall（可以更改和减轻错误配置）
• 一些未经证实的帕洛阿尔托
• Zyxel NWA3560-N（局域网端的无线攻击）
• Zyxel Zywall USG50

如何减轻黑护士攻击？

好消息是什么？有办法反击黑护士的袭击。

TDC提出了一些缓解措施和SNORT ID规则，可用于检测BlackNurse攻击。此外，OVH安全工程师在GitHub上发布的概念验证（PoC）代码也可以被网络管理员用来测试他们的设备是否符合BlackNurse的要求。

为了减轻BlackNurse对防火墙和其他设备的攻击，TDC建议用户配置允许ICMP的受信任源列表。然而，减轻攻击的最佳方法是在WAN接口上简单地禁用ICMP类型3代码3。

Palo Alto Networks还发布了一条建议，称其设备仅在“非常具体、违反最佳实践的非默认情况下”才会受到影响该公司还为其客户列出了一些建议。

同时，思科表示，它不认为报告的行为是一个安全问题，警告：

“我们建议您授予ICMP不可访问消息类型（类型3）的权限。拒绝ICMP不可访问消息将禁用ICMP路径MTU发现，这可能会停止IPSec和PPTP通信。”

此外，独立软件供应商NETRESEC还在其名为，“90年代打电话来，希望他们的ICMP洪水攻击能够恢复。”

除此之外，Sans研究所还发布了自己关于BlackNurse攻击的简要报告，讨论了该攻击以及用户应该如何减轻该攻击。