低頻寬DDoS攻擊可癱瘓防火牆

本文講的是低頻寬ddos攻擊可癱瘓防火牆，研究人員警告：特定型別的低頻寬分布式拒絕服務(ddos)攻擊，可以導致某些廣為使用的企業級防火牆陷入暫時的拒絕服務狀態。

在分析客戶遭到的ddos攻擊時，丹麥電信運營商tdc的安全運營中心發現：基於網際報文控制協議(icmp)的某些攻擊，甚至能以低頻寬造成嚴重破壞。

icmp攻擊也稱為ping洪氾攻擊，是很常見的攻擊形式，但通常依賴「回顯請求」包(type 8 code 0)。引起tcd注意的攻擊，則是基於icmp「埠不可達」包(type 3 code 3)。

該攻擊被tdc命名為「黑**(blacknurse)」，甚至能在低至15-18mbps的頻寬下依然十分有效，即便受害者擁有高達 1 gbps 的網際網路連線，其防火牆仍會遭到破壞。

在對「黑**」攻擊的描述報告中，tdc寫道：「我們在不同防火牆上觀測到的影響，通常都是高cpu占用。攻擊進行時，區域網使用者將無法從網際網路收發資料。攻擊一旦停止，我們觀測的所有防火牆即恢復正常工作。」

少量僅有大約15-18mbps上行速率的網際網路連線，就能讓大公司處於拒絕服務狀態直到攻擊得以緩解。

專家指出，此類攻擊已有20多年歷史，但公司企業仍未充分認識到這些風險。對丹麥ip段的掃瞄揭示，有超過170萬台裝置響應 icmp ping——意味著此類攻擊可能造成巨大影響。

目前，研究人員已確認，「黑**」攻擊對思科asa和sonicwall防火牆有效，但很可能也影響到 palo alto networks 和其他廠商的產品。linux下的iptables防火牆、mikrotik公司產品，以及openbsd不受影響。

雖然某些情況下攻擊是因防火牆有漏洞才能成功，但一些廠商將責任歸到了配置問題上。檢測規則和概念驗證**已放出，使用者可用之發現攻擊和測試自己的裝置。

「黑**」**將sonicwall拉進了受影響產品列表中，備註稱：當防火牆被錯誤配置時攻擊才能成功。sonicwall表示，正與tdc進行交涉。該廠商的測試顯示，正常的icmp洪氾保護開啟時，其防火牆不受此類攻擊影響。

思科在今年6月就被告知了此類攻擊，但tdc稱該公司不準備將此問題歸類為安全漏洞。

在乙份宣告中，思科稱其已經注意到了可能針對防火牆的新型dos攻擊。該問題不是廠商特定的，沒有利用安全漏洞。在一次攻擊事件中，被提到的asa裝置仍在執行既定的安全策略，並沒有被破壞。

思科的安全方法在產品構想之初就開始了，且整個部署中都會延續。該研究中提到的asa防火牆，針對dos威脅的防護是多層的，我們與客戶共同協作，確保dos安全為網路中更上層的服務負責。

思科asa防火牆案例中，tdc建議拒絕 icmp type 3 報文傳送到該產品的wan口，或者公升級到更高階的多核asa防火牆——「黑**」攻擊對此類系統沒那麼有效。專業反ddos服務也能緩解此類威脅。