BlackNurse攻击:4Mbps搞瘫路由器和防火墙
研究人员宣称,最新的知名漏洞BlackNurse,是一种拒绝服务攻击,能够凭借仅仅15到18Mbps的恶意ICMP数据包就将防火墙和路由器干掉。
该攻击会滥用Internet控制报文协议(ICMP)第3类代码为3的“端口不可达”消息,并且已经发现数起针对思科路由器的攻击事件,以及针对包括ZyXEL、Sonicwall以及Palo Alto Networks等供应商的路由器或防火墙的攻击事件。发现这一漏洞的安全研究人员Lenny Hansson和Kenneth J rgensen宣称该攻击可以仅用4Mbps的流量即可中断Cisco ASA 55xx系列的路由器。
研究人员在BlackNurse的网站上写到:“我们发现思科ASA 55xx系列防火墙产品的问题最大,即使选择拒绝所有通向防火墙的ICMP通讯,防火墙还是会受到仅用4Mbit就可以造成的DOS(拒绝服务)攻击。”
TDC的研究人员指出,要延缓BlackNurse攻击,可通过简单地配置将可信任的源加入允许配置的白名单中即可。通过在广域网上将ICMP第3类代码为3进行无效化,能够轻易地缓解此种攻击的危害。这也是我们目前所了解的最佳的缓解办法。
尽管研究人员们相信漏洞是基于设备控制数据包的方式,问题发生的源头目前仍不清楚。“我们当前只发现基于硬件的防火墙存在问题,这些数据包会直接送到CPU”,Hansson和J rgensen两位研究人员通过邮件如是告诉本站。
然而,并非所有人都认同BlackNurse可能带来威胁这一观点。SANS技术学会的研究院院长Johannes Ullrich在一篇博客中写到:“目前尚不清楚为何这些特殊的ICMP数据包需要如此频繁地通过CPU进行处理,但在我看来,很可能是由于防火墙试图对这些数据包进行状态分析。ICMP不可达数据包中包含了有效载荷中造成错误的开头几字节的数据,防火墙能够利用这些有效载荷去判断错误是否是由过去留在网络中的合法数据包造成,这种分析过程需要消耗较多的资源”。
思科在一份给本站的声明中淡化了威胁的程度,认为:“这一问题并不针对特定供应商,并且该攻击并不导致安全漏洞,在已知的攻击事件中,提到的ASA设备能够继续执行和配置安全策略,没有出现妥协。对于研究中所提到的ASA系列防火墙,其面向DoS攻击的保护是多方面的,而且我们与消费者们密切合作,确保上游网络中的DoS安全,并将其作为最佳实践”。
Palo Alto Networks向其客户发布的一份有关BlackNurse的声明中叙述到,“我们已经针对该问题进行调查,并且向购买Palo Alto Networks下一代防火墙的客户解释,该问题仅仅会影响很特殊的,有违最佳实践的非通常情况下的应用场景”。
Palo Alto为其客户提供的免受BlackNurse的最佳办法,包括配置DoS保护文件来阻止ICMP以及ICMPv6的数据包洪泛攻击,然而该公司也警告说洪泛攻击可能采用任意协议类型。
“施展攻击并不需要大量的带宽”,Hansson和J rgensen告诉本站,他们注意到如果将BlackNurse与类似上个月摧毁Dyn DNS服务的Mirai DDoS这样的僵尸网络结合起来,将引起很大的麻烦,因为这种攻击能够通过物联网设备发起”,我们已经见识了面向思科设备的4(Mpbs)大小的拒绝服务攻击。上传速率很小的物联网设备能够从僵尸网络中袭来。这意味着像Mirai的僵尸网络能够一次性攻击更多的目标。这会比1TBps的单次单一目标攻击更具有威胁。
至于攻击的来源,研究人员说:“现在我们已经发现,相信这种攻击是利用了某种分布式拒绝服务的攻击方式。这是基于我们了解到的客户所遭遇的混合攻击类型总结所而来的。”
本文转自d1net(转载)
BlackNurse攻击:4Mbps搞瘫路由器和防火墙的更多相关文章
- 设置openwrt路由器的防火墙_允许从外网访问内网的ipv6服务
设置openwrt路由器的防火墙_允许从外网访问内网的ipv6服务 转载注明来源: 本文链接 来自osnosn的博客,写于 2019-11-02. 参考文章: IPv6"内网"设备 ...
- 分布式拒绝服务攻击 DDoS
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒 ...
- DDOS的攻击原理和防护指南(转)
DDOS的攻击原理和防护指南 作者:冰盾防火墙 网站:www.bingdun.com 日期:2008-01-07 我们现在来分析DDOS的攻击原理. 首先,DDOS是英文Distribut ...
- Linux防火墙
9.1 认识防火墙 只要能够分析与过滤进出我们管理之网域的封包数据, 就可以称为防火墙. 硬件防火墙 由厂商设计好的主机硬件, 这部硬件防火墙内的操作系统主要以提供封包数据的过滤机制为主,并将其他 ...
- 怎样预防Ddos攻击
一.为何要DDOS? 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势.出于商业竞争.打击报复和网络敲诈等多 ...
- DDOS的攻击原理和防护指南
我们现在来分析DDOS的攻击原理. 首先,DDOS是英文Distributed Denial of Service的缩写,意思是分布式拒绝服务.拒绝服务又是什么意思呢?就是采取一些垃圾数据包来阻塞网站 ...
- DDOS攻击(流量攻击)防御步骤
DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2 ...
- DDOS攻击攻击种类和原理
DoS攻击.DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写,就是拒绝服务,而DDoS就是Distributed Denial of Servic ...
- Linux下的DOS攻击
Linux下的DOS攻击 DOS是Denial of service的简称,即拒绝服务,造成Dos攻击行为被称为Dos攻击,其目的是使计算机或网络无法提供正常的服务.最常见的Dos攻击有计算机带宽攻击 ...
随机推荐
- Java反射中getDeclaredField和getField的区别
getDeclaredField是可以获取一个类的所有字段. getField只能获取类的public 字段. public Field getDeclaredField(String name) t ...
- ln 软连接与硬连接
...
- Java时间戳获取
Java时间戳获取方式: 1:New Date().getTime(); 2: System.currentTimeMillis();区别: New Date().getTime()的底层其实是Sys ...
- 【memcache】Memcached
一.Memcached 简介 1. 官网:http://www.memcached.org 2. Memcached是一个自由开源的,高性能,分布式内存对象缓存系统. 二.作用: 1. 将数据存入内存 ...
- flask-文件上传的使用
flask-文件上传 在flask中使用request.files.get来获取文件对象 对获取到的文件对象可以使用save(filepath)方法来保存文件 上传的文件在保存前需要对文件名做一个过滤 ...
- 模板继承和UImodul 和 UImethods
模板继承和UImodul 和 UImethods 模板的继承 {% extends path %} path为templates下的相对路径 {% block block_name %}conten ...
- Java第十三天,内部类
内部类 一.①成员内部类.②局部内部类(包含③匿名内部类) 1.内部类用外部类属性和方法的时候,可以随意进行访问. 2.外部类用内部类属性和方法的时候,需要通过内部类对象访问. 3.在编译成class ...
- 7.1 java 类、(成员)变量、(成员)方法
/* * 面向对象思想: * 面向对象是基于面向过程的编程思想. * * 面向过程:强调的是每一个功能的步骤 * 面向对象:强调的是对象,然后由对象去调用功能 * * 面向对象的思想特点: * A:是 ...
- String 对象-->indexOf() 方法
1.定义和用法 indexOf() 方法可返回某个指定的字符串值在字符串中首次出现的位置,即下标. 如果没有找到匹配的字符串则返回 -1. 语法: string.indexOf(searchvalue ...
- Kitty-Cloud服务搭建过程剖析
项目地址 https://github.com/yinjihuan/kitty-cloud 服务搭建 大家目前看到的都是我已经搭建好了的服务,如果让你从零开始自己搭建一个微服务的项目,要怎么做? 我们 ...