تساعد تقنية Black Nurse - تقنية DDoS الكمبيوتر المحمول العادي على تدمير نظام الخادم بالكامل

حتى لو كانت هذه الخوادم مجهزة بأجهزة جدار حماية معروفة، فلا يزال من الممكن إزالتها إذا استغل المهاجم هذه التقنية.

قد يبدو الأمر لا يصدق، ولكن بدلاً من شبكة الروبوتات العملاقة، فإنك تحتاج فقط إلى جهاز كمبيوتر محمول متصل بالإنترنت لشن هجوم DDoS قوي ، وإسقاط خوادم الإنترنت المهمة وجدران الحماية الحالية.

اكتشف الباحثون في مركز العمليات الأمنية التابع لشركة TDC تقنية هجوم جديدة تسمح للمهاجمين المنفردين ذوي الموارد المحدودة (في هذه الحالة، جهاز كمبيوتر محمول مزود بشبكة واسعة النطاق بعرض نطاق ترددي لا يقل عن 15 ميجابت في الثانية) بإسقاط خوادم كبيرة .

يُطلق على هذه التقنية اسم هجوم BlackNurse أو هجوم " Ping of Death " منخفض السرعة ، ويمكن استخدامها لإطلاق سلسلة من هجمات DoS منخفضة الحجم باستخدام إرسال حزم ICMP أو "pings" لإغراق المعالجات الموجودة على الخادم.

حتى الخوادم المحمية بجدران الحماية من Cisco أو Palo Alto Networks أو شركات أخرى تتأثر بتقنية الهجوم هذه.

ICMP (بروتوكول رسائل التحكم في الإنترنت) هو بروتوكول تستخدمه أجهزة التوجيه وأجهزة الشبكة الأخرى لإرسال واستقبال رسائل الخطأ.

Ping of Death هي تقنية هجوم تعمل على زيادة التحميل على الشبكة عن طريق إرسال حزم ICMP يتجاوز حجمها 65.536 بايت إلى الهدف. ونظرًا لأن هذا الحجم أكبر من الحجم المسموح به لحزم IP، فسيتم تقسيمه إلى أجزاء أصغر وإرساله إلى الكمبيوتر الوجهة. عندما يصل إلى الهدف، سيتم إعادة تجميعه في حزمة كاملة، نظرًا لحجمه الزائد، سيؤدي ذلك إلى تجاوز سعة المخزن المؤقت وتعطله.

وفقًا لتقرير فني تم نشره هذا الأسبوع، يُعرف هجوم BlackNurse أيضًا باسم أكثر تقليدية: " هجوم فيضان ping " وهو يعتمد على استعلامات (أو أخطاء) ICMP من النوع 3. الوجهة غير قابلة للوصول) الرمز 3 (خطأ لا يمكن الوصول إلى المنفذ) .

هذه الاستعلامات عبارة عن حزم رد، والتي تعود عادةً إلى اختبار الاتصال المصدر عندما يكون منفذ الوجهة للهدف غير قابل للوصول - أو غير قابل للوصول .

1. إليك كيفية عمل تقنية الهجوم BlackNurse:

من خلال إرسال حزمة ICMP Type 3 برمز 3، يمكن للمتسلل أن يتسبب في حالة رفض الخدمة (DoS) عن طريق التحميل الزائد على وحدات المعالجة المركزية (CPUs) على أنواع معينة من جدران الحماية للخادم، بغض النظر عن جودة الاتصال بالإنترنت.

حجم حركة المرور باستخدام تقنية BlackNurse صغير جدًا، فقط من 15 ميجابت في الثانية إلى 18 ميجابت في الثانية (أو حوالي 40.000 إلى 50.000 حزمة في الثانية)، خاصة عند مقارنتها بالرقم القياسي لهجوم DDoS الذي بلغ 1 تيرابت في الثانية والذي استهدف مزود خدمة الإنترنت الفرنسي OVH في سبتمبر .

وفي الوقت نفسه، قالت TDC أيضًا أن هذا الحجم الضخم لا يمثل مشكلة مهمة، حيث أن مجرد الحفاظ على تدفق ثابت من حزم ICMP من 40 ألفًا إلى 50 ألفًا للوصول إلى جهاز الشبكة الخاص بالضحية يمكن أن يؤدي إلى تدمير الجهاز المستهدف.

إذن ما هي الأخبار الجيدة هنا؟ وقال الباحثون : "بمجرد حدوث الهجوم، لن يتمكن المستخدمون على الشبكة المحلية (LAN) من إرسال أو استقبال حركة المرور من وإلى الإنترنت. جميع جدران الحماية التي رأيناها تم استعادتها بعد توقف الهجوم ".

ومع ذلك، هذا يعني أن تقنية هجوم DoS ذات الحجم المنخفض لا تزال فعالة للغاية لأنها لا تغمر جدار الحماية بإمكانيات الوصول فحسب، بل تجبر أيضًا وحدات المعالجة المركزية على تحميل مرتفع، حتى أنها تجعل الخوادم غير متصلة بالإنترنت إذا كان الهجوم يحتوي على سعة شبكة كافية.

يقول الباحثون إنه لا ينبغي الخلط بين BlackNurse وهجمات فيضان ping التي تعتمد على حزم ICMP Type 8 Code 0 (أو حزم ping العادية). يوضح الباحثون:

" جذبت تقنية هجوم BlackNurse انتباهنا لأنه أثناء اختبار حل مكافحة DDoS، حتى عندما كانت سرعة الوصول والحزم في الثانية عند مستويات منخفضة جدًا، قد يؤدي هذا الهجوم أيضًا إلى إيقاف جميع عمليات عملائنا ".

" يمكن أيضًا تطبيق تقنية الهجوم هذه على الشركات المجهزة بجدران الحماية واتصالات الإنترنت الكبيرة. ونأمل أن تتمكن أجهزة جدار الحماية الاحترافية من التعامل مع هذه الهجمات. هذا الهجوم ".

2. الأجهزة المتضررة

تعتبر تقنية الهجوم BlackNurse فعالة مع المنتجات التالية:

• أجهزة جدار الحماية Cisco ASA 5506، 5515، 5525 (في الإعدادات الافتراضية).
• أجهزة جدار الحماية Cisco ASA 5550 (الجيل الأقدم) و5515-X (الجيل الأحدث).
• Cisco Router 897 (قد يتم تخفيض رتبته).
• SonicWall (يمكن تغيير التكوين الخاطئ والتخفيف منه).
• بعض الأجهزة غير المعروفة من بالو ألتو.
• جهاز التوجيه Zyxel NWA3560-N (هجوم لاسلكي من الشبكة المحلية الداخلية).
• Zyxel Zywall USG50 جهاز جدار الحماية.

3. كيفية التخفيف من هجوم BlackNurse؟

لا تزال هناك أخبار جيدة لك - هناك عدد من الطرق التي يمكنك من خلالها التصدي لهجمات BlackNurse.

توصي TDC بعدد من عمليات التخفيف وقواعد IDS SNORT (نظام كشف التسلل مفتوح المصدر SNORT) التي يمكن استخدامها للكشف عن هجمات BlackNurse. علاوة على ذلك، تم نشر رموز PoC (إثبات المفهوم) على GitHub بواسطة مهندسي OVH، والتي يمكن استخدامها أيضًا لاختبار أجهزة LuckyTemplates ضد BlackNurse.

للتخفيف من هجمات BlackNurse على جدران الحماية والأجهزة الأخرى، توصي TDC المستخدمين بإنشاء قائمة بالمصادر الموثوقة، المسموح لهم بإرسال واستقبال حزم ICMP . ومع ذلك، فإن أفضل طريقة للتخفيف من حدة الهجوم هي ببساطة تعطيل حزم ICMP Type 3 Code 3 على واجهة WAN.

وأصدرت Palo Alto Networks أيضًا بيانًا قالت فيه إن أجهزتها تأثرت فقط في ظل " سيناريوهات محددة للغاية، وليس في الإعدادات الافتراضية وضد الممارسات الشائعة ". كما أدرجت الشركة بعض التوصيات لعملائها.

وفي الوقت نفسه، قالت شركة Cisco إنها لا تعتبر السلوك الوارد في التقرير مشكلة أمنية، لكنها حذرت من ما يلي:

" نوصي الجميع بإعداد ترخيص لحزم ICMP Type 3 التي لا يمكن الوصول إليها. يساعد رفض رسائل ICMP التي لا يمكن الوصول إليها على تعطيل بروتوكول Path MTU Discovery لحزم ICMP. ويمكن أن يمنع ذلك IPSec (أمان بروتوكول الإنترنت: مجموعة من البروتوكولات لتأمين عملية نقل المعلومات) ) والوصول وفقًا لبروتوكول PPTP (بروتوكول الاتصال النفقي من نقطة إلى نقطة: بروتوكول يستخدم لنقل البيانات بين شبكات VPN الخاصة الافتراضية) ."

علاوة على ذلك، نشر بائع البرمجيات المستقل NETRESEC أيضًا تحليلاً مفصلاً لـ BlackNurse بعنوان: " لقد عادت تقنية هجوم الفيضانات من التسعينيات ." بالإضافة إلى التحذيرات المذكورة أعلاه، أعلن معهد SANS أيضًا عن مذكرة قصيرة حول هجوم BlackNurse، يناقش فيها الهجوم وما يجب على المستخدمين فعله للتخفيف منه.