UPDATED! Neue DDoS Angriffsmethode: Der „Black Nurse“ Angriff

cyber-security-kl Die neue Angriffsmethode "Black Nurse" hat eine besondere Eigenschaft, man braucht kein Botnetz um einen Server erfolgreich in die Knie zu zwingen. Ein Mittelklasse Laptop reicht vollkommen aus. Aber es gibt auch eine gute Nachricht. 

Die gute Nachricht gleich vorab: nicht jede Firewall kann auf diese Art und Weise angegriffen werden. Linux Systeme mit Iptables beispielsweise nicht. Der Angriff nutzt eine Eigenschaft in der Verarbeitung von Datenpaketen doch recht vieler Firewalls aus. Dadurch kann ein Laptop der nur 15Mbps an den Server schickt die CPU überlasten. Möglich wird das ganze durch ein präpariertes Code3 ICMP Paket. Werden solche "unreachable ICMP" Pakete an den Server geschickt bricht dieser schon bei einer Bandbreite von 15 bis 18 Mbps zusammen, sprich ist nicht mehr erreichbar. 

Mit "unreachable ICMP" sagt der Router dem Server eigentlich nur das der Destination Host und Port nicht erreichbar sind. Allerdings scheint die Verarbeitung solcher Pakete manche Firewalls doch sehr zu beanspruchen was dann schlussendlich zu der Tatsache führt das man ganz ohne Gigabitleitung und Botnetz einen Server überlasten kann. 

Betroffen von dem Problem scheinen bisher einzelne Firewalls der Hersteller Cisco, Palo Alto, SonicWall und Zyxel zu sein, wobei zumindest Cisco wohl der Meinung ist das es sich bei diesem Flaw nicht um ein Sicherheitsproblem handelt. 

UPDATE 16.11.2016 14:45: Zwischenzeitlich liegt mir ein Statement von SonicWall vor. Dort wurde der Vorfall erfreulicherweise ernst genommen und untersucht. Wenn man die ICMP Flood Protection eingeschaltet hat, dann kann diese Firewall durch einen Black Nurse Angriff nicht kompromittiert werden. Hier der O-Ton: 

“SonicWALL engineering received TDC’s report on BlackNurse in September 2016, and worked directly with Lenny 
 Hanson from TDC, one of the researchers who wrote the report. (http://soc.tdc.dk/blacknurse/blacknurse.pdf).
“SonicWALL testing showed that with normal ICMP flood protection on, the SonicWALL firewall was not vulnerable. 
“In short – information on SonicWALL’s vulnerability to Black Nurse is inaccurate. SonicWALL is not one of the firewalls 
 that TDC listed as vulnerable in the report.”

Details finden sich in dem im Zitat verlinkten PDF. Ich danke für das Feedback und die Klarstellung. 

Siehe  auch: 

ICMP Unreachable DoS Attacks (aka "Black Nurse") [isc.sans.edu]

New attack reportedly lets 1 modest laptop knock big servers offline [arstechnica.com]

ICMP Attacks [resources.infosecinstitute.com]

(Visited 119 times, 1 visits today)
Facebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden. Damit diese Seite funktioniert ist es notwendig kleine Dateien (genannt Cookies) auf deinem Computer zu speichern. Zudem erhöhen die Cookies den Bedienungskomfort für dich. Google selbst verwendet Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unserer Website zu analysieren. Außerdem gibt Google Informationen zur Nutzung unserer Website an dessen Partner für soziale Medien, Werbung und Analysen weiter. Die geschieht über die eingeblendeten Werbebanner. Wenn du diese Seite benutzt stimmst du der Nutzung von Cookies zu. Über Ihre Browsereinstellungen kannst du entscheiden ob Cookies angenommen werden oder nicht. Auch kannst du Cookies jederzeit und auch gezielt über den Browser löschen. Due kannst den Browser auch so konfigurieren das beim Schliessen alle Cookies automatisch gelöscht werden. Weit über 90% aller Webseiten setzen Cookies. Jedoch werden wir seit dem 26. Mai 2012 per EU Datenschutz Regelung dazu aufgefordert zuerst deine Zustimmung einzuholen.

Schließen