Zelfs als die servers zijn uitgerust met bekende firewall-apparaten, kunnen ze nog steeds worden uitgeschakeld als een aanvaller deze techniek misbruikt.
Het klinkt misschien ongelooflijk, maar in plaats van een gigantisch botnet heb je alleen een laptop met een internetverbinding nodig om een krachtige DDoS- aanval uit te voeren , waarbij belangrijke internetservers en bestaande firewalls worden uitgeschakeld.
Onderzoekers van het TDC Security Operations Center hebben een nieuwe aanvalstechniek ontdekt waarmee alleenstaande aanvallers met beperkte middelen (in dit geval een laptop met een breedbandnetwerk met een bandbreedte van minimaal 15 Mbps) grote servers kunnen uitschakelen .
Deze techniek, ook wel de BlackNurse-aanval of de " Ping of Death " -aanval met lage snelheid genoemd , kan worden gebruikt om een reeks DoS-aanvallen met een laag volume uit te voeren, waarbij gebruik wordt gemaakt van het verzenden van ICMP-pakketten of "pings" om de processors op de server te overspoelen.
Zelfs servers die worden beschermd door firewalls van Cisco , Palo Alto Networks of andere bedrijven worden getroffen door deze aanvalstechniek.
ICMP (Internet Control Message Protocol) is een protocol dat door routers en andere netwerkapparaten wordt gebruikt voor het verzenden en ontvangen van foutmeldingen.
Ping of Death is een aanvalstechniek die het netwerk overbelast door ICMP-pakketten met een omvang groter dan 65.536 bytes naar het doel te sturen. Omdat deze omvang groter is dan de toegestane grootte van IP-pakketten, wordt deze in kleinere stukken verdeeld en naar de bestemmingscomputer verzonden. Wanneer het het doel bereikt, wordt het opnieuw samengevoegd tot een compleet pakket. Vanwege de buitensporige omvang zal het een bufferoverloop en een crash veroorzaken.
Volgens een technisch rapport dat deze week is gepubliceerd, staat de BlackNurse-aanval ook bekend onder een meer traditionele naam: " ping flood-aanval " en is deze gebaseerd op ICMP Type 3-query's (of bugs). Destination Unreachable) Code 3 (Port Unreachable error) .
Deze vragen zijn antwoordpakketten, die doorgaans terugkeren naar de bronping wanneer de bestemmingspoort van het doel onbereikbaar is – of Unreachable .
1. Hier is hoe de BlackNurse-aanvalstechniek werkt:
Door een ICMP Type 3- pakket met de code 3 te verzenden, kan een hacker een Denial of Service (DoS)-toestand veroorzaken door de CPU's van bepaalde typen serverfirewalls te overbelasten, ongeacht de kwaliteit van de internetverbinding.
Het verkeersvolume dat gebruik maakt van de BlackNurse -techniek is erg klein, slechts van 15 Mbps tot 18 Mbps (of ongeveer 40.000 tot 50.000 pakketten per seconde), vooral in vergelijking met de record 1 Tbps DDoS-aanval gericht op de provider. Franse internetprovider OVH in september .
Ondertussen zei TDC ook dat dit enorme volume geen belangrijk probleem is, omdat alleen het in stand houden van een gestage stroom ICMP-pakketten van 40K tot 50K die het netwerkapparaat van het slachtoffer bereiken, het doelapparaat kan vernietigen.
Dus wat is het goede nieuws hier? " Zodra de aanval plaatsvindt, zullen gebruikers op het LAN niet langer verkeer van en naar het internet kunnen verzenden of ontvangen", aldus de onderzoekers ."
Dit betekent echter dat deze DoS-aanvalstechniek met een laag volume nog steeds zeer effectief is, omdat deze niet alleen de firewall overspoelt met toegang, maar ook de CPU's tot een hoge belasting dwingt, en zelfs servers offline haalt als de aanval voldoende netwerkcapaciteit heeft.
Onderzoekers zeggen dat BlackNurse niet moet worden verward met ping flooding-aanvallen die afhankelijk zijn van ICMP Type 8 Code 0-pakketten (of gewone ping-pakketten). De onderzoekers leggen uit:
" De BlackNurse-aanvalstechniek trok onze aandacht omdat bij het testen van de anti-DDoS-oplossing, zelfs wanneer de toegangssnelheid en het aantal pakketten per seconde op een zeer laag niveau lagen, deze aanval ook alle activiteiten van onze klanten zou kunnen stopzetten ."
" Deze aanvalstechniek kan zelfs worden toegepast op bedrijven die zijn uitgerust met firewalls en grote internetverbindingen. We hopen dat professionele firewall-apparaten deze aanvallen kunnen verwerken . "
2. Betrokken apparaten
De BlackNurse aanvalstechniek is effectief bij de volgende producten:
3. Hoe kan ik de BlackNurse-aanval beperken?
Er is nog steeds goed nieuws voor u: er zijn een aantal manieren waarop u terug kunt vechten tegen BlackNurse-aanvallen.
TDC beveelt een aantal maatregelen en IDS-regels SNORT (open source inbraakdetectiesysteem SNORT) aan die kunnen worden gebruikt om BlackNurse-aanvallen te detecteren. Bovendien zijn de PoC-codes (proof-of-concept) door OVH-technici op GitHub geplaatst, die ook kunnen worden gebruikt om de apparaten van LuckyTemplates te testen tegen BlackNurse.
Om BlackNurse-aanvallen op firewalls en andere apparaten te beperken, raadt TDC gebruikers aan een lijst met vertrouwde bronnen aan te maken die ICMP-pakketten mogen verzenden en ontvangen . De beste manier om de aanval te beperken is echter eenvoudigweg het uitschakelen van ICMP Type 3 Code 3-pakketten op de WAN-interface.
Palo Alto Networks bracht ook een verklaring uit, waarin hij zei dat zijn apparaten alleen werden getroffen onder " zeer specifieke scenario's, niet in standaardinstellingen en in strijd met de gangbare praktijken ". Het bedrijf heeft ook enkele aanbevelingen voor zijn klanten op een rij gezet.
Ondertussen zei Cisco dat het het gedrag in het rapport niet als een beveiligingsprobleem beschouwt, maar waarschuwde het wel:
" We raden iedereen aan een licentie in te stellen voor onbereikbare ICMP Type 3-pakketten. Het weigeren van onbereikbare ICMP-berichten helpt het Path MTU Discovery-protocol voor ICMP-pakketten uit te schakelen. Deze kunnen IPSec (Internet Protocol Security: een reeks protocollen om het proces van informatieoverdracht te beveiligen) voorkomen ) en toegang volgens het PPTP-protocol (Point-To-Point Tunneling Protocol: een protocol dat wordt gebruikt om gegevens te verzenden tussen VPN Virtual Private Networks) ."
Bovendien publiceerde de onafhankelijke softwareleverancier NETRESEC ook een gedetailleerde analyse van BlackNurse met de titel: " Flooding-aanvalstechniek uit de jaren 90 is terug ." Naast de bovenstaande waarschuwingen heeft het SANS Institute ook een korte memo aangekondigd over de BlackNurse-aanval, waarin de aanval wordt besproken en wat gebruikers moeten doen om deze te verzachten.
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
