防护基于ICMP协议漏洞的BlackNurse DDOS 攻击-Defensics

安全研究人员发现了“BlackNurse Attack”——这是一种新型的攻击技术，可以发起大规模DDoS攻击，允许攻击者利用有限资源使大量服务器瘫痪。
研究人员发布分析报告指出，“这种攻击不基于互联网连接的纯洪水攻击，我们将其命名为“BlackNurse”。BlackNurse与过往的ICMP洪水攻击不一样，后者是快速将ICMP请求发送至目标；而BlackNurse是基于含有Type 3 Code 3数据包的ICMP。”
丹麦TDC安全运营中心（TDC Security Operations Center，TDC SOC）的研究人员发明设计了该攻击方法，能有效攻击知名防火墙保护的服务器，这些防火墙品牌包括Cisco Systems、Palo Alto Networks、SonicWall和 Zyxel。
报告指出，“我们注意到BlackNurse攻击，是因为在反DDoS解决方案中，我们发现，即使每秒发送很低的流量速度和数据包，这种攻击仍能使我们的客户服务器操作陷入瘫痪。这种攻击甚至适用于带有大量互联网上行链路的客户，以及部署防火墙保护的大企业。我们期望专业防火墙设备能应对此类攻击”。
BlackNurse攻击利用带有Type 3 Code 3数据包ICMP（路由器和网络设备使用的）发送并接受错误信息。
通过发送这种特定类型的ICMP数据包，攻击者可以过载某些服务器防火墙的CPU。
研究人员注意到，当达到15 Mbps至18 Mbps的门槛时，这些网络设备发出太多数据包，以致服务器脱机。
TDC SOC的研究人员解释道，BlackNurse攻击允许攻击者用一台笔记本电脑发起峰值高达180 Mbps的DDoS攻击。
分析报告指出，“如果你的网络连接传输速率达1 Gbit/s，这不重要，BlackNurse都能攻击成功。我们在不同防火墙上看到的影响通常是高CPU负载。当攻击持续时，局域网用户将无法接发互联网流量。我们发现，攻击中止时，所有防火墙便恢复正常。”
专家证实，过去两年，其它95起DDoS攻击利用ICMP协议对TDC网络内的客户发动攻击，但至于BlackNurse攻击的数量不确定。
Netresec的专家证实，几个大型厂商的防火墙无法抵御此类攻击，包括Cisco Systems、Palo Alto Networks、 SonicWall和Zyxel。

这类问题的根源其实在于测试不够充分，如何在发布之前解决？

Synopsys公司的网络协议Fuzzing产品-Defensics能够协助研发团队在产品发布前找到此类质量和安全问题。DEFENSICS工具模拟引擎是业界第一款基于状态的Fuzz 测试用例生成器。它利用深度协议模型来智能的、精确的命中目标协议中易受攻击影响的部分，自动的生成具有广泛覆盖的Fuzz 测试用例。值得一提的是Defensics也是心脏出血漏洞的发现者。

如果您对Defensics感兴趣，欢迎发邮件到Bao.Han@synopsys.com申请试用。