研究人員警告:特定類型的低帶寬分布式拒絕服務(DDoS)攻擊,可以導致某些廣為使用的企業級防火墻陷入暫時的拒絕服務狀態。
在分析客戶遭到的DDoS攻擊時,丹麥電信運營商TDC的安全運營中心發現:基于網際報文控制協議(ICMP)的某些攻擊,甚至能以低帶寬造成嚴重破壞。
ICMP攻擊也稱為ping洪泛攻擊,是很常見的攻擊形式,但通常依賴“回顯請求”包(Type 8 Code 0)。引起TCD注意的攻擊,則是基于ICMP“端口不可達”包(Type 3 Code 3)。
該攻擊被TDC命名為“黑護士(BlackNurse)”,甚至能在低至15-18Mbps的帶寬下依然十分有效,即便受害者擁有高達 1 Gbps 的互聯網連接,其防火墻仍會遭到破壞。
在對“黑護士”攻擊的描述報告中,TDC寫道:“我們在不同防火墻上觀測到的影響,通常都是高CPU占用。攻擊進行時,局域網用戶將無法從互聯網收發數據。攻擊一旦停止,我們觀測的所有防火墻即恢復正常工作。”
少量僅有大約15-18Mbps上行速率的互聯網連接,就能讓大公司處于拒絕服務狀態直到攻擊得以緩解。
專家指出,此類攻擊已有20多年歷史,但公司企業仍未充分認識到這些風險。對丹麥IP段的掃描揭示,有超過170萬臺設備響應 ICMP ping——意味著此類攻擊可能造成巨大影響。
目前,研究人員已確認,“黑護士”攻擊對思科ASA和SonicWall防火墻有效,但很可能也影響到 Palo Alto Networks 和其他廠商的產品。Linux下的Iptables防火墻、MikroTik公司產品,以及OpenBSD不受影響。
雖然某些情況下攻擊是因防火墻有漏洞才能成功,但一些廠商將責任歸到了配置問題上。檢測規則和概念驗證代碼已放出,用戶可用之發現攻擊和測試自己的設備。
“黑護士”網站將SonicWall拉進了受影響產品列表中,備注稱:當防火墻被錯誤配置時攻擊才能成功。SonicWall表示,正與TDC進行交涉。該廠商的測試顯示,正常的ICMP洪泛保護開啟時,其防火墻不受此類攻擊影響。
思科在今年6月就被告知了此類攻擊,但TDC稱該公司不準備將此問題歸類為安全漏洞。
在一份聲明中,思科稱其已經注意到了可能針對防火墻的新型DoS攻擊。該問題不是廠商特定的,沒有利用安全漏洞。在一次攻擊事件中,被提到的ASA設備仍在執行既定的安全策略,并沒有被破壞。
思科的安全方法在產品構想之初就開始了,且整個部署中都會延續。該研究中提到的ASA防火墻,針對DoS威脅的防護是多層的,我們與客戶共同協作,確保DoS安全為網絡中更上層的服務負責。
思科ASA防火墻案例中,TDC建議拒絕 ICMP Type 3 報文發送到該產品的WAN口,或者升級到更高端的多核ASA防火墻——“黑護士”攻擊對此類系統沒那么有效。專業反DDoS服務也能緩解此類威脅。
京公網安備 11010502049343號