|
前些天,出现了一种新型拒绝服务攻击。问题是,据说再牛的防火墙也拦不住。这么傲娇的原因在于,受影响的防火墙品牌包括 Cisco Systems、Palo Alto Networks、SonicWall和 Zyxel众多知名厂商。
事件回顾 名为BlackNurse的新拒绝服务攻击可以让资源有限的攻击者利用普通笔记本电脑瘫痪大型服务器。丹麦TDC安全运营中心(TDC Security Operations Center,TDC SOC)的研究人员发明设计了该攻击方法。其研究人员发布分析报告指出,“我们将这种攻击方式命名为BlackNurse, 它不是仅仅建立在网络连接上的单纯ICMP泛洪攻击 。要知道传统的ICMP泛洪攻击是通过高频向目标发送ICMP请求来实现的,而BlackNurse攻击则是基于ICMP Type3 Code3的包,而这种包通常被路由器和网络设备用来发送和接受错误信息。”
“我们注意到BlackNurse攻击,是因为在反DDoS解决方案中,我们发现,即使每秒发送很低的流量速度和数据包,这种攻击仍能使我们的客户服务器操作陷入瘫痪。这种攻击甚至适用于带有大量互联网上行链路的客户,以及部署防火墙保护的大企业。我们期望专业防火墙设备能应对此类攻击”。
但事与愿违,TDC证实容易被BlackNurse攻击的防火墙主要有以下几种型号:
Cisco ASA 5506, 5515, 5525 (defaultsettings) Cisco ASA 5550 (Legacy) and 5515-X(latest generation) Cisco Router 897 (unlessrate-limited) Palo Alto (unverified) SonicWall (if misconfigured) Zyxel NWA3560-N (wireless attackfrom LAN Side) Zyxel Zywall USG50
攻击原理
BlackNurse攻击利用带有Type 3Code 3数据包ICMP(路由器和网络设备使用的)发送并接受错误信息。通过发送这种特定类型的ICMP数据包,攻击者可以过载某些服务器防火墙的CPU。当达到15 Mbps至18 Mbps的门槛时,这些网络设备发出太多数据包,以致服务器脱机。换句话说,这样低容量的DDoS攻击能够起效的主要原因是它不像泛洪攻击那样以流量取胜,而是增加CPU的负荷,这样即使网站还有很大的流量依然会被踢下线。
就像有三个人,分别是小黑、小墙和小正(代表黑客、防火墙和正常用户)。原本小墙正在有条不紊的工作,但是小黑利用协议上的漏洞模拟相应的信息不可达。为了保险起见,小墙就会反复的发送确认信息。本来是一点小事,但是在反复确认的过程中量变引起了质变,小墙已经无暇去处理小正的访问请求,也无法提供原有的服务了。
某公司下一代防火墙测试 作为国内知名网络安全产商,某公司下一代防火墙是否会受到此类DDos攻击影响呢?下面我们将通过0day工具和自行构造报文两种方式予以求证。
通过0day工具验证
2、抓包看攻击内容, 看到发的包确实是icmptype 为3, icmpport为3的icmp报文, 符合漏洞攻击原理。
3、测试时间30分钟,发包超过1G。
自行构造报文攻击 1、根据漏洞描述,自己利用hping3工具,构造icmptype为3和 icmpport为3的漏洞攻击报文, 使用两台机器同时攻击。 2、攻击语句如下:hping3--flood --icmp --icmptype 3 --icmpcode 3 10.24.10.101 3、攻击截图如下:
AF测试结果 1、测试过程中,不停的访问AF控制台,可以访问。 2、测试过程中,不停的访问AF后端的业务系统,可以访问。 3、测试过程中,观察AF正常的icmp响应, 发现正常数据不会丢包。
综上,可以看到某公司下一代防火墙并不受该漏洞影响。
某公司下一代防火墙NGAF提供L2-L7层安全可视的全面防护,通过双向检测网络流量,有效识别来自网络层和应用层的内容风险 ,提供比同时部署传统防火墙、IPS和WAF等多种安全设备更强的安全防护能力,可以抵御来源更广泛、操作更简便、危害更明显的应用层攻击。 | 
发表于 2016-11-21 17:08
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
楼主
发表于 2016-11-21 17:18
技术研究员2级