E安全11月14日讯 安全研究人员发现了“BlackNurse Attack”——这是一种新型的攻击技术，可以发起大规模DDoS攻击，可以让资源有限的攻击者利用普通笔记本电脑瘫痪大型服务器。。

研究人员发布指出，“这种攻击不基于互联网连接的纯洪水攻击，我们将其命名为“BlackNurse”。BlackNurse与过往的ICMP洪水攻击不一样，后者是快速将ICMP请求发送至目标；而BlackNurse是基于含有Type 3 Code 3数据包的ICMP。”

丹麦TDC安全运营中心（TDC Security Operations Center，TDC SOC）的研究人员发明设计了该攻击方法，能有效攻击知名防火墙保护的服务器，这些防火墙品牌包括Cisco Systems、Palo Alto Networks、SonicWall和 Zyxel。

报告指出，“我们注意到BlackNurse攻击，是因为在反DDoS解决方案中，我们发现，即使每秒发送很低的流量速度和数据包，这种攻击仍能使我们的客户服务器操作陷入瘫痪。这种攻击甚至适用于带有大量互联网上行链路的客户，以及部署防火墙保护的大企业。我们期望专业防火墙设备能应对此类攻击”。

BlackNurse攻击利用带有Type 3 Code 3数据包ICMP（路由器和网络设备使用的）发送并接受错误信息。

通过发送这种特定类型的ICMP数据包，攻击者可以过载某些服务器防火墙的CPU。

研究人员注意到，当达到15 Mbps至18 Mbps的门槛时，这些网络设备发出太多数据包，以致服务器脱机。

TDC SOC的研究人员解释道，BlackNurse攻击允许攻击者用一台笔记本电脑发起峰值高达180 Mbps的DDoS攻击。

分析报告指出，“如果你的网络连接传输速率达1 Gbit/s，这不重要，BlackNurse都能攻击成功。我们在不同防火墙上看到的影响通常是高CPU负载。当攻击持续时，局域网用户将无法接发互联网流量。我们发现，攻击中止时，所有防火墙便恢复正常。”

专家证实，过去两年，其它95起DDoS攻击利用ICMP协议对TDC网络内的客户发动攻击，但至于BlackNurse攻击的数量不确定。

Netresec的专家证实，几个大型厂商的防火墙无法抵御此类攻击，包括Cisco Systems、Palo Alto Networks、 SonicWall和Zyxel。

经TDC证实，易受BlackNurese攻击的设备为：

• Cisco ASA 5506, 5515, 5525 （默认设置）

• Cisco ASA 5550 (Legacy) and 5515-X （最新一代）

• Cisco Router 897 （除非限速）

• Palo Alto（未经证实）

• SonicWall（若配置不当）

• Zyxel NWA3560-N（来自LAN的无线攻击）

• Zyxel Zywall USG50

Netresec研究人员发布了有关BlackNurse攻击的详细分析，点查看（微信无法访问第三方链接，请前往E安全门户网站进行查看）。

Palo Alto Networks发布公告，提出应对此类DDoS攻击的建议：

我们推荐客户实施以下最佳实践。具体而言，请按照以下步骤执行：

1、配置DoS保护文件。因为洪水攻击能针对多种协议实施攻击，建议在DoS保护文件中激活所有洪水类型保护，防范BlackNurse，以下类型的洪水保护为必选项：

• ICMP洪水

• ICMPv6 洪水

2、配置DoS保护策略规则（对匹配进入流量的标准做了规定）。

3、提交配置。

E安全门户网站11月14日更多网络安全资讯（easyaq.com）：

• 德国设立网络和信息空间参谋部 附完整细节

• 外媒：FBI能解锁大多数智能设备

• GeoIP——自己动手搭建一个实时网络攻击地图

• BlackNurse DDoS攻击来袭，再牛逼的防火墙也防不住？

• 成人约会公司有4.12亿用户帐号信息被窃

• 《网络安全法》告诉了我们什么

• 我国网络空间防御技术取得重大突破

• .............

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。