本文讲的是低带宽DDoS攻击可瘫痪防火墙,研究人员警告:特定类型的低带宽分布式拒绝服务(DDoS)攻击,可以导致某些广为使用的企业级防火墙陷入暂时的拒绝服务状态。
在分析客户遭到的DDoS攻击时,丹麦电信运营商TDC的安全运营中心发现:基于网际报文控制协议(ICMP)的某些攻击,甚至能以低带宽造成严重破坏。
ICMP攻击也称为ping洪泛攻击,是很常见的攻击形式,但通常依赖“回显请求”包(Type 8 Code 0)。引起TCD注意的攻击,则是基于ICMP“端口不可达”包(Type 3 Code 3)。
该攻击被TDC命名为“黑护士(BlackNurse)”,甚至能在低至15-18Mbps的带宽下依然十分有效,即便受害者拥有高达 1 Gbps 的互联网连接,其防火墙仍会遭到破坏。
在对“黑护士”攻击的描述报告中,TDC写道:“我们在不同防火墙上观测到的影响,通常都是高CPU占用。攻击进行时,局域网用户将无法从互联网收发数据。攻击一旦停止,我们观测的所有防火墙即恢复正常工作。”
少量仅有大约15-18Mbps上行速率的互联网连接,就能让大公司处于拒绝服务状态直到攻击得以缓解。
专家指出,此类攻击已有20多年历史,但公司企业仍未充分认识到这些风险。对丹麦IP段的扫描揭示,有超过170万台设备响应 ICMP ping——意味着此类攻击可能造成巨大影响。
目前,研究人员已确认,“黑护士”攻击对思科ASA和SonicWall防火墙有效,但很可能也影响到 Palo Alto Networks 和其他厂商的产品。Linux下的Iptables防火墙、MikroTik公司产品,以及OpenBSD不受影响。
虽然某些情况下攻击是因防火墙有漏洞才能成功,但一些厂商将责任归到了配置问题上。检测规则和概念验证代码已放出,用户可用之发现攻击和测试自己的设备。
“黑护士”网站将SonicWall拉进了受影响产品列表中,备注称:当防火墙被错误配置时攻击才能成功。SonicWall表示,正与TDC进行交涉。该厂商的测试显示,正常的ICMP洪泛保护开启时,其防火墙不受此类攻击影响。
思科在今年6月就被告知了此类攻击,但TDC称该公司不准备将此问题归类为安全漏洞。
在一份声明中,思科称其已经注意到了可能针对防火墙的新型DoS攻击。该问题不是厂商特定的,没有利用安全漏洞。在一次攻击事件中,被提到的ASA设备仍在执行既定的安全策略,并没有被破坏。
思科的安全方法在产品构想之初就开始了,且整个部署中都会延续。该研究中提到的ASA防火墙,针对DoS威胁的防护是多层的,我们与客户共同协作,确保DoS安全为网络中更上层的服务负责。
思科ASA防火墙案例中,TDC建议拒绝 ICMP Type 3 报文发送到该产品的WAN口,或者升级到更高端的多核ASA防火墙——“黑护士”攻击对此类系统没那么有效。专业反DDoS服务也能缓解此类威胁。