专注网络安全·数据安全·系统安全!

4000-800-751    15919919476

资讯中心

低带宽DDoS攻击打死大型服务器

发布时间:2018-01-29 | 责任编辑:

  最近有研究人员发现了一种被称为BlackNurse的简单攻击方式,能够让独立入侵者能用有限的资源(一个有15Mbps带宽的笔记本)驱动大规模DDoS攻击,直接将大型服务器踢下线。

  

  发现BlackNurse攻击的是一个家叫做TDC的丹麦安全运营中心,据说BlackNurse能够攻击大型防火墙保护下的服务器,包括Cisco Systems, Palo Alto Networks, SonicWall和Zyxel的防火墙。

  

  在研究人员发布分析报告中还提到:“我们将这种攻击方式命名为BlackNurse, 它不是仅仅建立在网络连接上的单纯ICMP(控制报文协议Internet Control Message Protocol)泛洪攻击 ,要知道传统的ICMP泛洪攻击是通过高频向目标发送ICMP请求来实现的,而BlackNurse攻击则是基于ICMP Type3 Code3的包,而这种包通常被路由器和网络设备用来发送和接受错误信息。”

  

  ICMP是TCP/IP的一个子协议,大部分常见的ICMP攻击都是基于Type8 Code0的,即泛洪攻击。Type8 Code0是Echo request——回显请求(Ping请求),Ping的原理是向网络上的另一个主机系统发送ICMP报文请求,如果指定系统获得报文,它会回送应答报文,这类似潜水艇声纳系统中使用的发声装置。

  

  而BlackNurse攻击基于Type3(Destination Unreachable) Code3(Port Unreachable)——端口不可达,当目标端口不可达,所发出的ICMP包都会返回源。攻击者可以通过发这种特定的ICMP包令大多数服务器防火墙的CPU过载。 一旦设备抛弃的包到了临界值15Mbps至18Mbps(每秒4万到5万个包),服务器就会直接下线。

  

  来自TDC安全管理平台(SOC)的研究人员解释道,只要攻击者拥有一台笔记本,就可以利用BlackNurse发起峰值达180Mbps的DDoS攻击。

  

  “这种攻击方式跟你有没有1Gbit/s的网络连接没关系,它最大的影响在于令各类防火墙的CPU过载。在遭受攻击时,本地局域网的用户将不能通过网络发送和接受数据。一旦停止攻击就能看到防火墙恢复功能。”

  

  换句话说,这样低容量的DDoS攻击能够起效的主要原因是它不像泛洪攻击那样以流量取胜,而是增加CPU的负荷,这样即使网站还有很大的流量依然会被踢下线。

  

  专家指出,此类攻击已有20多年历史,但公司企业仍未充分认识到这些风险。对丹麦IP段的扫描揭示,有超过170万台设备响应 ICMP ping——意味着此类攻击可能造成巨大影响。

  

  虽然某些情况下攻击是因防火墙有漏洞才能成功,但一些厂商将责任归到了配置问题上。检测规则和概念验证代码已放出,用户可用之发现攻击和测试自己的设备,正常的ICMP洪泛保护开启时,其防火墙是不受此类攻击影响的,所以弥补技术漏洞及升级高端防火墙才是缓解此问题的重中之重。


在线客服
Online service

售前 售前 售后 售后