BlackNurse攻击:4Mbps搞瘫路由器和防火墙
研究人员宣称,最新的知名漏洞BlackNurse,是一种拒绝服务攻击,能够凭借仅仅15到18Mbps的恶意ICMP数据包就将防火墙和路由器干掉。
该攻击会滥用Internet控制报文协议(ICMP)第3类代码为3的“端口不可达”消息,并且已经发现数起针对思科路由器的攻击事件,以及针对包括ZyXEL、Sonicwall以及Palo Alto Networks等供应商的路由器或防火墙的攻击事件。发现这一漏洞的安全研究人员Lenny Hansson和Kenneth J rgensen宣称该攻击可以仅用4Mbps的流量即可中断Cisco ASA 55xx系列的路由器。
研究人员在BlackNurse的网站上写到:“我们发现思科ASA 55xx系列防火墙产品的问题最大,即使选择拒绝所有通向防火墙的ICMP通讯,防火墙还是会受到仅用4Mbit就可以造成的DOS(拒绝服务)攻击。”
TDC的研究人员指出,要延缓BlackNurse攻击,可通过简单地配置将可信任的源加入允许配置的白名单中即可。通过在广域网上将ICMP第3类代码为3进行无效化,能够轻易地缓解此种攻击的危害。这也是我们目前所了解的最佳的缓解办法。
尽管研究人员们相信漏洞是基于设备控制数据包的方式,问题发生的源头目前仍不清楚。“我们当前只发现基于硬件的防火墙存在问题,这些数据包会直接送到CPU”,Hansson和J rgensen两位研究人员通过邮件如是告诉本站。
然而,并非所有人都认同BlackNurse可能带来威胁这一观点。SANS技术学会的研究院院长Johannes Ullrich在一篇博客中写到:“目前尚不清楚为何这些特殊的ICMP数据包需要如此频繁地通过CPU进行处理,但在我看来,很可能是由于防火墙试图对这些数据包进行状态分析。ICMP不可达数据包中包含了有效载荷中造成错误的开头几字节的数据,防火墙能够利用这些有效载荷去判断错误是否是由过去留在网络中的合法数据包造成,这种分析过程需要消耗较多的资源”。
思科在一份给本站的声明中淡化了威胁的程度,认为:“这一问题并不针对特定供应商,并且该攻击并不导致安全漏洞,在已知的攻击事件中,提到的ASA设备能够继续执行和配置安全策略,没有出现妥协。对于研究中所提到的ASA系列防火墙,其面向DoS攻击的保护是多方面的,而且我们与消费者们密切合作,确保上游网络中的DoS安全,并将其作为最佳实践”。
Palo Alto Networks向其客户发布的一份有关BlackNurse的声明中叙述到,“我们已经针对该问题进行调查,并且向购买Palo Alto Networks下一代防火墙的客户解释,该问题仅仅会影响很特殊的,有违最佳实践的非通常情况下的应用场景”。
Palo Alto为其客户提供的免受BlackNurse的最佳办法,包括配置DoS保护文件来阻止ICMP以及ICMPv6的数据包洪泛攻击,然而该公司也警告说洪泛攻击可能采用任意协议类型。
“施展攻击并不需要大量的带宽”,Hansson和J rgensen告诉本站,他们注意到如果将BlackNurse与类似上个月摧毁Dyn DNS服务的Mirai DDoS这样的僵尸网络结合起来,将引起很大的麻烦,因为这种攻击能够通过物联网设备发起”,我们已经见识了面向思科设备的4(Mpbs)大小的拒绝服务攻击。上传速率很小的物联网设备能够从僵尸网络中袭来。这意味着像Mirai的僵尸网络能够一次性攻击更多的目标。这会比1TBps的单次单一目标攻击更具有威胁。
至于攻击的来源,研究人员说:“现在我们已经发现,相信这种攻击是利用了某种分布式拒绝服务的攻击方式。这是基于我们了解到的客户所遭遇的混合攻击类型总结所而来的。”
本文转自d1net(转载)
BlackNurse攻击:4Mbps搞瘫路由器和防火墙的更多相关文章
- 设置openwrt路由器的防火墙_允许从外网访问内网的ipv6服务
设置openwrt路由器的防火墙_允许从外网访问内网的ipv6服务 转载注明来源: 本文链接 来自osnosn的博客,写于 2019-11-02. 参考文章: IPv6"内网"设备 ...
- 分布式拒绝服务攻击 DDoS
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒 ...
- DDOS的攻击原理和防护指南(转)
DDOS的攻击原理和防护指南 作者:冰盾防火墙 网站:www.bingdun.com 日期:2008-01-07 我们现在来分析DDOS的攻击原理. 首先,DDOS是英文Distribut ...
- Linux防火墙
9.1 认识防火墙 只要能够分析与过滤进出我们管理之网域的封包数据, 就可以称为防火墙. 硬件防火墙 由厂商设计好的主机硬件, 这部硬件防火墙内的操作系统主要以提供封包数据的过滤机制为主,并将其他 ...
- 怎样预防Ddos攻击
一.为何要DDOS? 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势.出于商业竞争.打击报复和网络敲诈等多 ...
- DDOS的攻击原理和防护指南
我们现在来分析DDOS的攻击原理. 首先,DDOS是英文Distributed Denial of Service的缩写,意思是分布式拒绝服务.拒绝服务又是什么意思呢?就是采取一些垃圾数据包来阻塞网站 ...
- DDOS攻击(流量攻击)防御步骤
DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2 ...
- DDOS攻击攻击种类和原理
DoS攻击.DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写,就是拒绝服务,而DDoS就是Distributed Denial of Servic ...
- Linux下的DOS攻击
Linux下的DOS攻击 DOS是Denial of service的简称,即拒绝服务,造成Dos攻击行为被称为Dos攻击,其目的是使计算机或网络无法提供正常的服务.最常见的Dos攻击有计算机带宽攻击 ...
随机推荐
- Nginx 是如何处理 HTTP 头部的?
Nginx 处理 HTTP 头部的过程 Nginx 在处理 HTTP 请求之前,首先需要 Nginx 的框架先和客户端建立好连接,然后接收用户发来的 HTTP 的请求行,比如方法.URL 等,然后接收 ...
- BadMethodCallException : Call to undefined method App\Models\Article::setContainer()
如果你执行 php artisan db:seed 发生如下错误 说是模型中不存在 静态方法 setContainer()方法,那么你应该检查下你的DatabaseSeeder.php 文件 中的 r ...
- Linux系统安装Dos系统(虚拟机里装)
结合以下两篇优秀的文章就能完成任务. 1.https://www.jb51.net/os/609411.html 2.http://blog.51cto.com/6241809/1687361 所需要 ...
- pgsql中的事务隔离
pgsql中的事务隔离级别 前言 事物隔离级别 在各个级别上被禁止出现的现象是 脏读 不可重复读 幻读 序列化异常 读已提交隔离级别 可重复读隔离级别 可序列化隔离级别 摘录 pgsql中的事务隔离级 ...
- http的长连接和websocket的区别
一.什么是http协议 HTTP是一个应用层协议,无状态的,端口号为80.主要的版本有1.0/1.1/2.0. HTTP/1.* 一次请求-响应,建立一个连接,用完关闭: HTTP/1.1 串行化 ...
- 自己实现一个 DFA 串模式识别器
自己实现一个 DFA 串模式识别器 前言 这是我编译原理课程的实验.希望读完这篇文章的人即便不知道 NFA,DFA 和正规表达式是什么,也能够对它们有一个简单的理解,并能自己去实现一个能够识别特定模式 ...
- Android 程序代码进行代码混淆
1.在Eclipse项目包下的project.properties文件中加入proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt ...
- 实例讲解Springboot整合MongoDB进行CRUD操作的两种方式
1 简介 Springboot是最简单的使用Spring的方式,而MongoDB是最流行的NoSQL数据库.两者在分布式.微服务架构中使用率极高,本文将用实例介绍如何在Springboot中整合Mon ...
- 你知道python入门,是学到什么程度才算是吗?
1.入门的标准是什么? 这是很多初学者都关注的问题,但又是一个很难回答的问题,问题的核心是采取什么标准来衡量一个人是否已经入门. 以知识量的多少来衡量是不是可行呢?有些人走马观花一般学了很多pytho ...
- ST表(求解静态RMQ问题)
例题:https://www.acwing.com/problem/content/1272/ ST表类似于dp. 定义st[i][j]表示以i为起点,长度位2^j的一段区间,即[ i , i + 2 ...