Bu sunucular iyi bilinen güvenlik duvarı cihazlarıyla donatılmış olsa bile, bir saldırganın bu tekniği kötüye kullanması durumunda yine de kapatılabilirler.
Kulağa inanılmaz gelebilir ama güçlü bir DDoS saldırısı başlatmak , önemli İnternet sunucularını ve mevcut güvenlik duvarlarını devre dışı bırakmak için dev bir botnet yerine yalnızca İnternet bağlantısı olan bir dizüstü bilgisayara ihtiyacınız var.
TDC Güvenlik Operasyon Merkezi'ndeki araştırmacılar, sınırlı kaynaklara sahip yalnız saldırganların (bu durumda, en az 15 Mbps bant genişliğine sahip geniş bant ağına sahip bir dizüstü bilgisayar) büyük sunucuları devirmesine olanak tanıyan yeni bir saldırı tekniği keşfetti .
BlackNurse saldırısı veya " Ping of Death " düşük hızlı saldırısı olarak adlandırılan bu teknik, sunucudaki işlemcileri doldurmak için ICMP paketleri veya "pingler" göndererek bir dizi düşük hacimli DoS saldırısı başlatmak için kullanılabilir.
Cisco , Palo Alto Networks veya diğer şirketlerin güvenlik duvarlarıyla korunan sunucular bile bu saldırı tekniğinden etkileniyor.
ICMP (İnternet Kontrol Mesajı Protokolü), yönlendiriciler ve diğer ağ cihazları tarafından hata mesajları göndermek ve almak için kullanılan bir protokoldür.
Ping of Death, hedefe 65.536 byte'ı aşan ICMP paketleri göndererek ağa aşırı yük getiren bir saldırı tekniğidir. Bu boyut, IP paketlerinin izin verilen boyutundan daha büyük olduğundan daha küçük parçalara bölünerek hedef bilgisayara gönderilecektir. Hedefe ulaştığında tam bir paket halinde yeniden birleştirilecektir, aşırı boyutundan dolayı arabellek taşmasına ve çökmeye neden olacaktır.
Bu hafta yayınlanan teknik bir rapora göre, BlackNurse saldırısı daha geleneksel bir isimle de biliniyor: " ping seli saldırısı " ve ICMP Tip 3 sorgularına (veya hatalarına) dayanıyor. Hedefe Ulaşılamıyor) Kod 3 (Bağlantı Noktasına Ulaşılamıyor hatası) .
Bu sorgular, genellikle hedefin hedef bağlantı noktası ulaşılamadığında veya Ulaşılamadığında kaynak pingine dönen yanıt paketleridir .
1. BlackNurse saldırı tekniği şu şekilde çalışır:
Bir bilgisayar korsanı, kodu 3 olan bir ICMP Tip 3 paketi göndererek , İnternet bağlantısının kalitesinden bağımsız olarak belirli türdeki sunucu güvenlik duvarlarındaki CPU'ları aşırı yükleyerek hizmet reddi (DoS) durumuna neden olabilir.
BlackNurse tekniğini kullanan trafik hacmi , özellikle sağlayıcıyı hedef alan rekor 1 Tbps DDoS saldırısıyla karşılaştırıldığında, yalnızca 15 Mbps ila 18 Mbps (veya saniyede yaklaşık 40.000 ila 50.000 paket) arasında çok küçüktür.Fransız İnternet servis sağlayıcısı OVH, Eylül ayında .
Bu arada TDC, kurbanın ağ cihazına ulaşan 40K'dan 50K'ya kadar sabit bir ICMP paketi akışının onu hedef cihaza zarar verebileceği göz önüne alındığında, bu büyük hacmin önemli bir sorun olmadığını da söyledi.
Peki buradaki iyi haber nedir? Araştırmacılar, "Saldırı meydana geldiğinde, LAN'daki kullanıcılar artık İnternet'e trafik gönderip alamayacak" dedi . "Gördüğümüz tüm güvenlik duvarları, saldırı durduktan sonra düzeldi ."
Ancak bu, bu düşük hacimli DoS saldırı tekniğinin hala çok etkili olduğu anlamına gelir çünkü yalnızca güvenlik duvarını erişimle doldurmakla kalmaz, aynı zamanda CPU'ları yüksek yüke zorlar, hatta saldırı yeterli ağ kapasitesine sahipse sunucuları çevrimdışına alır.
Araştırmacılar , BlackNurse'un ICMP Tip 8 Kod 0 paketlerine (veya normal ping paketlerine) dayanan ping baskın saldırılarıyla karıştırılmaması gerektiğini söylüyor. Araştırmacılar şöyle açıklıyor:
" BlackNurse saldırı tekniği dikkatimizi çekti çünkü anti-DDoS çözümünü test ederken erişim hızı ve saniye başına paket sayısı çok düşük seviyelerde olsa bile bu saldırı müşterilerimizin tüm operasyonlarını da durdurabilir ."
" Bu saldırı tekniği, güvenlik duvarları ve geniş internet bağlantıları bulunan işletmelere bile uygulanabilir. Profesyonel güvenlik duvarı cihazlarının bu saldırılarla başa çıkabileceğini umuyoruz. Bu saldırı ."
2. Etkilenen cihazlar
BlackNurse saldırı tekniği aşağıdaki ürünlerde etkilidir:
3. BlackNurse saldırısı nasıl azaltılır?
Sizin için hâlâ iyi haberler var; BlackNurse saldırılarına karşı savaşmanın çeşitli yolları var.
TDC , BlackNurse saldırılarını tespit etmek için kullanılabilecek bir dizi hafifletme önlemi ve IDS kuralı SNORT (açık kaynaklı izinsiz giriş tespit sistemi SNORT) önermektedir. Ayrıca, PoC (kavram kanıtı) kodları OVH mühendisleri tarafından GitHub'a gönderildi ve bu kodlar LuckyTemplates cihazlarını BlackNurse'a karşı test etmek için de kullanılabilir.
Güvenlik duvarlarına ve diğer cihazlara yönelik BlackNurse saldırılarını azaltmak için TDC, kullanıcıların ICMP paketleri göndermesine ve almasına izin verilen güvenilir kaynakların bir listesini oluşturmasını önerir . Ancak saldırıyı azaltmanın en iyi yolu, WAN arayüzündeki ICMP Tip 3 Kod 3 paketlerini devre dışı bırakmaktır.
Palo Alto Networks ayrıca, cihazlarının yalnızca " çok özel senaryolardan etkilendiğini, varsayılan ayarlarda ve yaygın uygulamalara aykırı olarak etkilenmediğini " belirten bir bildiri yayınladı. Şirket ayrıca müşterileri için bazı öneriler de sıraladı.
Bu arada Cisco, rapordaki davranışı bir güvenlik sorunu olarak değerlendirmediğini söyledi ancak şu uyarıda bulundu:
" Herkesin ICMP Tip 3 erişilemeyen paketler için bir lisans ayarlamasını öneririz. ICMP'ye erişilemeyen mesajların reddedilmesi, ICMP paketleri için Yol MTU Keşif protokolünün devre dışı bırakılmasına yardımcı olur. Bunlar, IPSec'i (İnternet Protokolü Güvenliği: bilgi aktarım sürecini güvence altına almak için bir dizi protokol) engelleyebilir ) ve PPTP protokolüne göre erişim (Noktadan Noktaya Tünel Protokolü: VPN sanal özel ağları arasında veri aktarımı için kullanılan bir protokol) ."
Ayrıca bağımsız yazılım satıcısı NETRESEC, BlackNurse'un şu başlıklı ayrıntılı bir analizini de yayınladı: " 90'ların Flooding saldırı tekniği geri döndü ." Yukarıdaki uyarılara ek olarak SANS Enstitüsü, BlackNurse saldırısı hakkında, saldırıyı ve kullanıcıların bunu hafifletmek için ne yapması gerektiğini tartışan kısa bir not da duyurdu.
Ekranın sağ köşesinde bir Windows 10 etkinleştirme bildirimi görüyor musunuz? Bu makale, Windows 10'da telif hakkı isteği bildirimini nasıl sileceğiniz konusunda size rehberlik edecektir.
Microsoft yakın zamanda Windows 10 PC kullanıcıları için Derleme 14393.222 adlı en son toplu güncelleştirmeyi yayımladı. Windows 10 için yayımlanan bu güncelleme, esas olarak kullanıcı geri bildirimlerine dayalı olarak hataları düzeltiyor ve işletim sisteminin performans deneyimini geliştiriyor.
Yerel ağınızda harici erişime ihtiyaç duyan bilgisayarlarınız var mı? Ağınız için bir kale ana bilgisayarını ağ geçidi denetleyicisi olarak kullanmak iyi bir çözüm olabilir.
Bazen eski olay günlüklerinin tamamını bir kerede silmeniz gerekebilir. Bu kılavuzda Quantrimang.com, Windows 10 Olay Görüntüleyicisi'ndeki tüm olay günlüklerini hızlı bir şekilde silmenin 3 yolunu gösterecektir.
IBM Model M gibi fiziksel bir Windows tuşu içermeyen eski bir klasik klavye kullanmayı tercih ederseniz, sık kullanmadığınız bir anahtarı ödünç alarak daha fazlasını eklemenin kolay bir yöntemi vardır.
WindowTop, Windows 10 bilgisayarlarda çalışan tüm uygulama pencerelerini ve programlarını karartma özelliğine sahip bir araçtır.Ya da pencerelerde koyu arka planlı bir arayüz kullanabilirsiniz.
Daha önceki birçok makalemizde çevrimiçi ortamda anonim kalmanın son derece önemli olduğundan bahsetmiştik. Özel bilgilerin her yıl sızdırılması, çevrimiçi güvenliği giderek daha gerekli hale getiriyor. Sanal IP adreslerini kullanmamızın nedeni de budur. Aşağıda sahte IP'ler oluşturma yöntemlerini öğreneceğiz!
Windows 8'deki dil çubuğu, masaüstü ekranında otomatik olarak görüntülemek için tasarlanmış minyatür bir dil araç çubuğudur. Ancak, birçok kişi bu dil çubuğunu görev çubuğuna gizlemek istiyor.
İnternet hızını en üst düzeye çıkarmak, ağ bağlantınızı optimize etmek için çok önemlidir. Bilgisayarları, internete hazır TV'leri, oyun konsollarını vb. kullanarak en iyi eğlence ve iş deneyimini yaşayabilirsiniz.
Kablosuz bağlantı günümüzde bir zorunluluktur ve bu nedenle dahili ağınızın güvenliğini sağlamak için kablosuz güvenlik şarttır.
