BlackNurse 攻撃により、1 台のラップトップが大規模サーバーをオフラインにします
分散型攻撃 (DDoS) について聞くたびに、私たちは、数百万ではないにせよ、数千のゾンビ コンピューターやモノのインターネットがデバイスに接続されていたと考えます (最新のDynの事例が示すように)は、事実上、特定の Web サイトまたはサービスをクラッシュさせるために巨大なデータ パケットを送信していました。一般に、DDoS ツールまたはストレッサーとして知られる大規模な攻撃を実行するには、DDoS で保護された Web サイトをダウンさせる可能性のある数千のゾンビが必要であると考えられています。しかし、新しい調査では、新たな攻撃が 1 台のラップトップを使用して大規模な DDoS 攻撃を実行し、高度に保護されたサーバーをオフラインにする可能性があることが証明されています。
デンマークに本拠を置く TDC セキュリティ オペレーション センターのセキュリティ研究者は、この新しい攻撃手法を「新しい攻撃手法」と名付けました。黒人看護師。 BlackNurse 攻撃は、Cisco Systems やその他のメーカーが製造した特定のファイアウォールで保護されている大規模サーバーをオフラインにするために、非常に限られたリソースを使用します。
BlackNurse 攻撃により、サイバー犯罪者は、脆弱なサーバーのインターネット接続を切断するために、わずか 15 メガビット、つまり 1 秒あたり約 40,000 パケットを使用して、Web サイトに対して単純なサービス拒否攻撃を仕掛けることが容易になります。 BlackNurse 攻撃が最近の Dyn 攻撃で使用されたらどうなるかを想像してみてください。物事を大局的に見ると、10 月 21 日に米国中西部と東部のインターネット全体をダウンさせた未知のハッカーは、明らかに IoT ボットネットを使用し、役に立たないデータ パケットを送信しました。1秒あたり1テラバイト大混乱を引き起こし、Reddit、Twitter、Spotify などのサービスをオフラインにします。
で水曜日に公開されたブログ投稿、研究者たちは次のように書いています。
BlackNurse 攻撃が私たちの注目を集めたのは、当社の DDoS 対策ソリューションで、トラフィック速度と 1 秒あたりのパケット数が非常に低いにもかかわらず、この攻撃によりお客様の業務が停止する可能性があることを経験したからです。これは、大規模なインターネット アップリンクと大規模な企業ファイアウォールを導入している顧客にも当てはまります。私たちは、専門的なファイアウォール機器が攻撃に対処できるだろうと期待していました。
BlackNurse はどのようにして 1 台のラップトップを使用して大規模な DDoS 攻撃を仕掛けるのか
研究者らは、BlackNurse 攻撃がメッセージの抜け穴を利用していることを発見しました。インターネット制御メッセージプロトコル、ルーターやその他のネットワーク デバイスがエラー メッセージを送受信するために使用します。このようなメッセージの送受信には保護や制限がないため、BlackNurse 攻撃は特別なタイプの ICMP パケット、具体的にはコード 3 を持つタイプ 3 ICMP パケットを送信することでこれを悪用し、ハッカーはこれを使用して CPU に不要な負荷をもたらすことができます。サーバーは Cisco および他社製のファイアウォールで保護されています。
研究の過程で、15 Mbps から 18 Mbps のしきい値に達すると、ターゲットのファイアウォールが大量のパケットをドロップし、サーバーがオフラインになることが判明しました。
研究者らは、同じ不完全な ICMP パケットを使用して、単一のラップトップを使用して、わずか 180 Mbps で送信することで BlackNurse 攻撃を実行し、サーバーをダウンさせました。
1 Gbit/秒のインターネット接続があるかどうかは関係ありません。さまざまなファイアウォールで見られる影響は、通常、高い CPU 負荷です。攻撃が進行中である場合、[ローカル エリア ネットワーク] サイトのユーザーはインターネットとの間でトラフィックを送受信できなくなります。私たちが確認したすべてのファイアウォールは、攻撃が停止すると回復します。
ブラックナースの襲撃の恐怖
懸念されるのは、BlackNurse 攻撃が実際に使用されていることが研究者らによって発見されたことです。彼らは過去 2 年間ですでにこのような DDoS 攻撃を約 95 件発見しています。報告書では、ICMP攻撃が新たに発見されたBlackNurse攻撃に基づくものなのか、それともコード0のタイプ8パケットを配信する既知のICMP攻撃に基づくものなのかについては言及されていない。
BlackNurse 攻撃に対する緩和策
TDC Security と協力して調査を行ったセキュリティ企業 Netresec の研究者によると、この攻撃は Cisco Systems、Palo Alto Networks、SonicWall、Zyxel のファイアウォールを使用しているサーバーに対してのみ機能します。研究者らは、BlackNurse 攻撃に対して脆弱な特定のモデルをあげています。このブログ投稿。パロアルトネットワークスは、
影響を受けたファイアウォール メーカーの 1 つである Palo Alto Networks は、自分自身のアドバイスこの報告書は、企業のデバイスが「ベスト プラクティスに反する非常に特殊な、デフォルトではないシナリオ」でのみ脆弱であると報告しています。
シスコは驚くべきことに、その理由を正当化していないにもかかわらず、BlackNurse 攻撃をセキュリティ問題とは考えていません。 Sans Institute には、この攻撃に関する独自の簡潔な記事があります。ここ。
![2024 年 Windows 7 PC 向けのベスト無料メディア プレーヤー 10 選 [32 & 64 ビット]](https://soud.one/tech/hiroyuki/wp-content/uploads/2018/10/Best-Media-Player-For-Windows.jpg)
