BlackNurse – nowy typ ataku DoS

bezpieczeństwo
cyberataki
Krzysztof Surgut
21.11.2016 Krzysztof Surgut

Ostatnio pojawił się nowy typ ataku DoS. Nie jest to atak wolumetryczny, nie angażuje zbyt wiele pasma, a jednak potrafi przeciążać firewalla.

O istnieniu nowego sposobu ataku DoS poinformowali pracownicy działu cyberbezpieczeństwa (SOC) duńskiego operatora telekomunikacyjnego TDC – nazwali go BlackNurse.


Jak działa BlackNurse?


Atak z wykorzystaniem Internet Control Message Protocol (ICMP) jest znany od dawana. Polega na przeciążaniu łącza internetowego pakietami ICMP, np. popularnym pingiem. Atakowany system otrzymuje bardzo dużą ilość zapytań ping ICMP Echo Request (które posiadają sfałszowany adres IP źródła) odpowiadając na każde za pomocą ICMP Echo Replyodpowiedź na takie żądanie trafia na adres IP atakowanego serwisu.

Jeżeli taki klasyczny atak wolumetryczny, z wykorzystaniem pinga, jeżeli wykonywany jest z bardzo wielu komputerów (np. z użyciem botnetu), to jest szansa zablokować atakowane łącze całą masą pakietów – napływających z całego świata i doprowadzić do wysycenia dostępnego pasma. Ten typ ataku raczej kierowany jest na mniej wydajne łącza, np. 100-200Mbps.


Inaczej jest z BlackNurse


BlackNurse nie jest atakiem wolumetrycznym – wykorzystuje podatność urządzeń sieciowych oraz firewalli. Do wykonania tego ataku wystarczy pojedynczy komputer i łącze o przepływności 15-18Mbps. Nawet liczba pakietów na sekundę nie jest specjalnie podejrzana, bo wystarczy 40k – 50k PPS.

Efektem ataku BlackNurse jest wysokie wykorzystanie mocy obliczeniowej (CPU) urządzenia sieciowego, które doprowadza do gubienia pakietów np. przez firewall, a nawet do zaprzestania przesyłania ich dalej – w niektórych przypadkach efektem może być otwieranie nowych sesji, a w konsekwencji do wyczerpania zasobów. Obecnie problem dotyczy urządzeń Cisco czy też firewalli Palo Alto.

Co ciekawe, pracownicy TDC sprawdzili, że wykorzystując metodę BlackNurse z pojedynczego laptopa można wygenerować atak DoS na poziomie 180Mbps.

Wydawać się może, że najlepszą metodą byłoby ignorowanie zapytań typu ping. Duńczycy sprawdzili swoją przestrzeń adresacji IP i okazało się, że ponad 1.7 miliona urządzeń odpowiada na pingi. To potwierdza, że atak DoS BlackNurse ma całkiem spory potencjał.


Skąd nazwa BlackNurse?


Nazwa ataku pochodzi od dwóch pracowników SOC operatora TDC, którzy zaobserwowali nową formę ataku DoS. Jeden z nich jest byłym kowalem (ang. blacksmith) , a drugi jest pielęgniarzem (ang. nurse). Inny kolega powiązał cechy obu pracowników SOC i w ten sposób powstał skrót BlackNurse.

Firma Neresec, mająca swój udział w analizie ataku BlackNurse przestrzega przed googlowaniem samej nazwy BlackNurse, ponieważ można się natknąć na filmy wideo, które nie mają nic wspólnego z tym typem ataku DoS :).


Jak się bronić?


W zakresie szczegółów samego ataku DoS – nazwanego BlackNurse – jak i metod jego mitigacji, polecam dokument pracowników TDC, który można znaleźć tutaj.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Bezpieczeństwo IT
Ataki DDoS na DNS nie są przypadkowe
Bezpieczeństwo IT
Botnet Komputerowa Armia Zombi
   /   Bezpieczeństwo IT   /   BlackNurse – nowy typ ataku DoS