Атака BlackNurse позволяет отключить серверы с помощью ноутбука

Для того чтобы отключить крупные серверы с помощью DDoS-атаки, необязательно иметь в своем распоряжении большой IoT-ботнет или мощные ресурсы. По словам исследователей датской телекоммуникационной компании TDC, вывести из строя уязвимые межсетевые экраны Cisco, SonicWall, Palo Alto и Zyxel можно, используя лишь один ноутбук.

Эксперты описали вид атаки на протокол ICMP, получивший название BlackNurse. Атака привлекла внимание исследователей, поскольку с ее помощью можно вызвать отказ в обслуживании даже при низкой скорости передачи пакетов. Некоторые корпоративные межсетевые экраны не способны защитить от BlackNurse.

В ходе атаки используются ICMP-сообщения (тип 3), а точнее, код 3 для сообщения об ошибке недостижимости узла назначения из-за отсутствия открытого порта UDP/TCP. Большой объем данных сообщений перегружает процессор межсетевого экрана и приводит к отказу в обслуживании. По словам исследователей, мощность атаки BlackNurse, осуществленной с помощью довольно хорошего ноутбука, достигает примерно 180 Мб/с.

Уязвимыми являются межсетевые экраны Cisco ASA 5506, 5515, 5525 (с заводскими настройками), Cisco ASA 5550 (устаревшие) и 5515-X (новое поколение), Cisco Router 897 (атаку можно отразить), SonicWall (атаку можно отразить, изменив настройки конфигурации), некоторые Palo Alto Zyxel NWA3560-N (беспроводная атака со стороны LAN) и Zyxel Zywall USG50. В случае с продуктами Cisco ASA 55xx, даже если заблокировать весь ICMP-трафик, злоумышленник все равно сможет вызвать отказ в обслуживании с помощью DoS-атаки мощностью всего в 4 Мб/с.