Как оказалось, атака на отказ в обслуживании времен 90-х работает и против современных межсетевых экранов. Согласно новейшему исследованию, использование протокола ICMP в совокупности с техникой, именуемой BlackNurse, способно при небольшой интенсивности трафика эффективно вывести из строя защитные решения Cisco, Palo Alto Networks, SonicWall и других вендоров.

Представляя результаты исследования, ИБ-эксперты датской телекоммуникационной компании TDC отметили, что этот тип атак более известен как ping flood; в этом случае интенсивность мусорного трафика не столь важна, как характер самих пакетов. В отчете TDC сказано, что BlackNurse полагается на эхо-запросы, возвращающие ICMP-сообщение типа 3 (Destination Unreachable, «узел назначения недостижим») с кодом 3 (Port Unreachable, «порт недоступен»).

Как следует из описания, результатом этой атаки является состояние отказа в обслуживании из-за перегрузки хост-процессора межсетевого экрана. «Когда начинается атака, пользователи на стороне LAN-сети теряют возможность направлять трафик в Интернет или получать его оттуда», — поясняют исследователи.

Почему ICMP-пакеты с Type 3 и Code 3 в заголовках вызывают перегрузку ЦП защитного устройства, непонятно. Исследователи из ISC SANS полагают, что это как-то связано с ведением журнала событий. Отчет датчан подтверждает справедливость этого предположения: «Ведение записи событий в ходе атаки может усугубить воздействие, а значит, увеличится и степень истощения ресурсов межсетевого экрана».

По свидетельству TDC, атаки BlackNurse схожи с ping flood, использующими ICMP Type 8 Code 0:

«Атаки на основе ICMP как таковые хорошо известны и иногда используются дидосерами. BlackNurse привлекла наше внимание из-за того, что наш опыт защиты от DDoS показал: хотя эта атака осуществляется с низкой скоростью трафика и малым числом пакетов в секунду, она способна нарушить деловые операции клиента. Подобные атаки в равной мере опасны для клиентов с широкими каналами связи с Интернетом и мощными корпоративными файерволами. Мы ожидали, что профессиональный сетевой экран вполне в состоянии выдержать подобную атаку».

Согласно TDC, мощность BlackNurse-атаки составляет всего лишь 15–18 Мбит/с (или 40–50 тыс. пакетов в секунду). Это мизер в сравнении с DDoS в 1 Тбит/с, на которую способен ботнет, недавно примененный против DNS-провайдера Dyn. Однако такие атаки, как BlackNurse, тоже эффективны, просто их цель иная — истощить ресурсы (а не забить каналы связи).

По этой причине многие вендоры файерволов предусматривают защиту от ICMP-атак. Блокировка всех типов ICMP-сообщений и всех кодов, по свидетельству TDC, здесь не спасет, наоборот, может навредить, нарушив нормальную работу. Так, ИБ-исследователи из NetreseC в своем отчете о BlackNurse приводят предупреждение от Cisco: «Мы рекомендуем разрешить тип ICMP-сообщений Unreachable (Type 3). Запрет ICMP-сообщений Unreachable деактивирует ICMP-механизм Path MTU Discovery, что может привести к прекращению IPSec- и PPTP-трафика».

Из уязвимых к BlackNurse сетевых экранов TDC особо выделила некоторые ASA-продукты Cisco. Автор блог-записи ISC SANS Иоганнес Улльрих (Johannes Ullrich) отметил, что более новые и мощные версии программно-аппаратных комплексов ASA, использующие многоядерные процессоры, должны успешно противостоять BlackNurse, а SonicWall и некоторые файерволы Palo Alto, по всей видимости, уязвимы. На запрос Threatpost о комментарии ни один из названных производителей не ответил.

TDC рекомендует протестировать межсетевые экраны на уязвимость, разрешив ICMP на стороне WAN и вооружившись Hping3, бесплатным анализатором пакетов TCP/IP. Для детектирования можно использовать систему обнаружения вторжений на базе Snort, исследователи даже создали примерные правила для этого случая. Поможет также составление «списка доверенных источников, для которых ICMP разрешен и может быть сконфигурирован», а также «отключение ICMP Type 3 Code 3 на интерфейсе WAN».

Категории: DoS-атаки, Аналитика, Главное