[You must be registered and logged in to see this image.]Проблемът бе разкрит от специалистите на датската компания TDC, която предлага на своите клиенти разнообразни телекомуникационни услуги. По време на анализ на маломощна DDoS атака (15-18 Mb/s), осъществена от неизвестни извършители, експертите обърнаха внимание на странен ICMP трафик.Атаката не е нещо особено, но специалистите били обезпокоени от ICMP пакетите със скорост 40-50 хиляди в секунда, предизвикващи падането на мрежовото оборудване.
TDC нарекоха тази атака
BlackNurse, въпреки че още от 80-те години тези атаки бе прието да се наричат ping флуд. Атаката се базира на ICMP Type 3 заявките (дестинацията е недостъпна Code 3 (портът е недостъпен). Тези пакети се изпращат в отговор на изпратени ping-ове и съобщават, че конкретния порт е недостъпен.
Оказа се, че тези атаки много зле се отразяват на работата на съвременните защитни стени. С помощта на BlackNurse атакуващите претоварват централния процесор на хоста и потребителите, обслужвани от него, остават без интернет. Уязвими срещу BlackNurse са защитните стени Cisco ASA 5515 и 5525 с настройки по подразбиране, както и някои модели SonicWall.
TDC съветва да се изключи ICMP Type 3 Code 3 за WAN и да се създаде списък с доверени източници, за които ICMP е разрешен и добре настроен.
/kaldata.com
__________________________________________________________________________
[You must be registered and logged in to see this image.]