Mesmo que esses servidores estejam equipados com dispositivos de firewall bem conhecidos, eles ainda poderão ser desativados se um invasor explorar essa técnica.
Pode parecer inacreditável, mas em vez de um botnet gigante, você só precisa de um laptop com conexão à Internet para lançar um poderoso ataque DDoS , derrubando servidores importantes da Internet e firewalls existentes.
Pesquisadores do TDC Security Operations Center descobriram uma nova técnica de ataque que permite que invasores solitários com recursos limitados (neste caso, um laptop com rede de banda larga com largura de banda de pelo menos 15 Mbps) possam derrubar grandes servidores .
Chamada de ataque BlackNurse ou ataque de baixa velocidade " Ping of Death " , essa técnica pode ser usada para lançar uma série de ataques DoS de baixo volume usando o envio de pacotes ICMP ou "pings" para inundar os processadores no servidor.
Mesmo servidores protegidos por firewalls da Cisco , Palo Alto Networks , ou outras empresas são afetados por esta técnica de ataque.
ICMP (Internet Control Message Protocol) é um protocolo usado por roteadores e outros dispositivos de rede para enviar e receber mensagens de erro.
Ping of Death é uma técnica de ataque que sobrecarrega a rede enviando pacotes ICMP com tamanho superior a 65.536 bytes para o alvo. Como esse tamanho é maior que o tamanho permitido dos pacotes IP, ele será dividido em pedaços menores e enviado ao computador de destino. Ao atingir o alvo, será remontado em um pacote completo, devido ao seu tamanho excessivo, causará estouro de buffer e travamento.
De acordo com um relatório técnico publicado esta semana, o ataque BlackNurse também é conhecido por um nome mais tradicional: “ ataque de inundação de ping ” e é baseado em consultas (ou bugs) ICMP Tipo 3. Destino inacessível) Código 3 (erro de porta inacessível) .
Essas consultas são pacotes de resposta, que normalmente retornam ao ping de origem quando a porta de destino do destino está inacessível – ou Inacessível .
1. Veja como funciona a técnica de ataque BlackNurse:
Ao enviar um pacote ICMP Tipo 3 com código 3, um hacker pode causar uma condição de negação de serviço (DoS), sobrecarregando as CPUs em certos tipos de firewalls de servidor, independentemente da qualidade da conexão com a Internet.
O volume de tráfego usando a técnica BlackNurse é muito pequeno, apenas de 15 Mbps a 18 Mbps (ou cerca de 40.000 a 50.000 pacotes por segundo), especialmente quando comparado ao ataque DDoS recorde de 1 Tbps direcionado ao provedor francês de serviços de Internet OVH em setembro. .
Enquanto isso, o TDC também disse que esse enorme volume não é um problema importante, pois apenas manter um fluxo constante de pacotes ICMP de 40K a 50K atingindo o dispositivo de rede da vítima pode destruí-lo.
Então, quais são as boas notícias aqui? " Assim que o ataque ocorrer, os usuários da LAN não poderão mais enviar ou receber tráfego de e para a Internet, " disseram os pesquisadores ."
No entanto, isso significa que esta técnica de ataque DoS de baixo volume ainda é muito eficaz porque não apenas inunda o firewall com acessos, mas também força as CPUs a uma carga elevada, até mesmo colocar os servidores offline se o ataque tiver capacidade de rede suficiente.
Os pesquisadores dizem que o BlackNurse não deve ser confundido com ataques de inundação de ping que dependem de pacotes ICMP Tipo 8 Código 0 (ou pacotes de ping regulares). Os pesquisadores explicam:
" A técnica de ataque BlackNurse atraiu nossa atenção porque ao testar a solução anti-DDoS, mesmo quando a velocidade de acesso e o volume de pacotes por segundo estavam em níveis muito baixos, esse ataque também pode interromper todas as operações de nossos clientes ."
" Essa técnica de ataque pode até ser aplicada a empresas equipadas com firewalls e grandes conexões de Internet. Esperamos que dispositivos de firewall profissionais sejam capazes de lidar com esses ataques ."
2. Dispositivos afetados
A técnica de ataque BlackNurse é eficaz com os seguintes produtos:
3. Como mitigar o ataque BlackNurse?
Ainda há boas notícias para você – há várias maneiras de lutar contra os ataques do BlackNurse.
A TDC recomenda uma série de mitigações e regras de IDS SNORT (sistema de detecção de intrusões de código aberto SNORT) que podem ser usadas para detectar ataques BlackNurse. Além disso, os códigos PoC (prova de conceito) foram publicados no GitHub pelos engenheiros da OVH, que também podem ser usados para testar os dispositivos LuckyTemplates contra o BlackNurse.
Para mitigar os ataques do BlackNurse em firewalls e outros dispositivos, o TDC recomenda que os usuários criem uma lista de fontes confiáveis, com permissão para enviar e receber pacotes ICMP . No entanto, a melhor maneira de mitigar o ataque é simplesmente desabilitar os pacotes ICMP Tipo 3 Código 3 na interface WAN.
A Palo Alto Networks também divulgou um comunicado, dizendo que seus dispositivos só foram afetados em “ cenários muito específicos, não nas configurações padrão e contra práticas comuns ”. A empresa também listou algumas recomendações para seus clientes.
Enquanto isso, a Cisco disse que não considera o comportamento do relatório um problema de segurança, mas alertou que:
" Recomendamos que todos configurem uma licença para pacotes inacessíveis ICMP Tipo 3. Negar mensagens inacessíveis ICMP ajuda a desabilitar o protocolo Path MTU Discovery para pacotes ICMP. Isso pode impedir IPSec (Internet Protocol Security: um conjunto de protocolos para proteger o processo de transmissão de informações ) e acesso de acordo com o protocolo PPTP (Point-To-Point Tunneling Protocol: Protocolo utilizado para transmitir dados entre redes privadas virtuais VPN) ."
Além disso, o fornecedor independente de software NETRESEC também publicou uma análise detalhada do BlackNurse intitulada: “ A técnica de ataque de inundação dos anos 90 está de volta ”. Além dos avisos acima, o SANS Institute também anunciou um breve memorando sobre o ataque BlackNurse, discutindo o ataque e o que os usuários deveriam fazer para mitigá-lo.
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
