Selbst wenn diese Server mit bekannten Firewall-Geräten ausgestattet sind, können sie dennoch heruntergefahren werden, wenn ein Angreifer diese Technik ausnutzt.
Es mag unglaublich klingen, aber statt eines riesigen Botnetzes benötigen Sie nur einen Laptop mit Internetverbindung, um einen mächtigen DDoS- Angriff zu starten , der wichtige Internetserver und bestehende Firewalls lahmlegt. Großartig.
Forscher des TDC Security Operations Center haben eine neue Angriffstechnik entdeckt, die es einzelnen Angreifern mit begrenzten Ressourcen (in diesem Fall einem Laptop mit einem Breitbandnetzwerk mit einer Bandbreite von mindestens 15 Mbit/s) ermöglicht, große Server lahmzulegen .
Diese als BlackNurse-Angriff oder „ Ping of Death “ -Angriff mit geringer Geschwindigkeit bezeichnete Technik kann verwendet werden, um eine Reihe von DoS-Angriffen mit geringem Volumen zu starten, indem ICMP-Pakete oder „Pings“ gesendet werden, um die Prozessoren auf dem Server zu überfluten.
Auch Server, die durch Firewalls von Cisco , Palo Alto Networks oder anderen Unternehmen geschützt sind, sind von dieser Angriffstechnik betroffen.
ICMP (Internet Control Message Protocol) ist ein Protokoll, das von Routern und anderen Netzwerkgeräten zum Senden und Empfangen von Fehlermeldungen verwendet wird.
Ping of Death ist eine Angriffstechnik, die das Netzwerk überlastet, indem ICMP-Pakete mit einer Größe von mehr als 65.536 Byte an das Ziel gesendet werden. Da diese Größe größer ist als die zulässige Größe von IP-Paketen, werden sie in kleinere Teile aufgeteilt und an den Zielcomputer gesendet. Wenn es das Ziel erreicht, wird es wieder zu einem vollständigen Paket zusammengesetzt. Aufgrund seiner übermäßigen Größe kommt es zu einem Pufferüberlauf und einem Absturz.
Laut einem diese Woche veröffentlichten technischen Bericht ist der BlackNurse-Angriff auch unter einem traditionelleren Namen bekannt: „ Ping-Flood-Angriff “ und basiert auf ICMP-Typ-3-Abfragen (oder Fehlern). Ziel nicht erreichbar) Code 3 (Fehler „Port nicht erreichbar“) .
Bei diesen Abfragen handelt es sich um Antwortpakete, die typischerweise an den Quell-Ping zurücksenden, wenn der Ziel-Port des Ziels nicht erreichbar – oder Unreachable – ist .
1. So funktioniert die BlackNurse-Angriffstechnik:
Durch das Senden eines ICMP-Typ-3- Pakets mit dem Code 3 kann ein Hacker einen Denial-of-Service-Zustand (DoS) verursachen, indem er die CPUs bestimmter Arten von Server-Firewalls überlastet. , unabhängig von der Qualität der Internetverbindung.
Das Verkehrsvolumen mit der BlackNurse -Technik ist sehr gering und liegt nur zwischen 15 Mbit/s und 18 Mbit/s (oder etwa 40.000 bis 50.000 Paketen pro Sekunde), insbesondere im Vergleich zum Rekord-DDoS-Angriff mit 1 Tbit/s, der auf den französischen Internetdienstanbieter OVH im September abzielte .
In der Zwischenzeit sagte TDC auch, dass dieses riesige Volumen kein großes Problem darstellt, da allein die Aufrechterhaltung eines stetigen Stroms von ICMP-Paketen von 40.000 bis 50.000, die das Netzwerkgerät des Opfers erreichen, dieses zerstören kann.
Was sind also die guten Nachrichten hier? „ Sobald der Angriff stattfindet, können Benutzer im LAN keinen Datenverkehr mehr zum und vom Internet senden oder empfangen“, sagten die Forscher .“
Damit ist diese Low-Volume-DoS-Angriffstechnik jedoch dennoch sehr effektiv, da sie nicht nur die Firewall mit Zugriffen überschwemmt, sondern auch die CPUs zu einer hohen Auslastung zwingt, sogar Server offline schalten kann, wenn der Angriff über genügend Netzwerkkapazität verfügt.
Forscher sagen, dass BlackNurse nicht mit Ping-Flooding-Angriffen verwechselt werden sollte, die auf ICMP-Paketen vom Typ 8 Code 0 (oder regulären Ping-Paketen) basieren. Die Forscher erklären:
„ Die BlackNurse-Angriffstechnik erregte unsere Aufmerksamkeit, weil beim Testen der Anti-DDoS-Lösung selbst bei sehr niedrigen Zugriffsgeschwindigkeiten und Paketen pro Sekunde dieser Angriff möglicherweise den gesamten Betrieb unserer Kunden zum Erliegen brachte .“
„ Diese Angriffstechnik kann sogar auf Unternehmen angewendet werden, die mit Firewalls und großen Internetverbindungen ausgestattet sind. Wir hoffen, dass professionelle Firewall-Geräte diese Angriffe bewältigen können. Dieser Angriff .“
2. Betroffene Geräte
Die BlackNurse-Angriffstechnik ist bei folgenden Produkten wirksam:
3. Wie kann ein BlackNurse-Angriff abgeschwächt werden?
Dennoch gibt es eine gute Nachricht für Sie: Es gibt zahlreiche Möglichkeiten, sich gegen BlackNurse-Angriffe zu wehren.
TDC empfiehlt eine Reihe von Abhilfemaßnahmen und IDS-Regeln SNORT (Open Source Intrusion Detection System SNORT), die zur Erkennung von BlackNurse-Angriffen verwendet werden können. Darüber hinaus wurden die PoC-Codes (Proof-of-Concept) von OVH-Ingenieuren auf GitHub gepostet, die auch zum Testen der LuckyTemplates-Geräte gegen BlackNurse verwendet werden können. .
Um BlackNurse-Angriffe auf Firewalls und andere Geräte einzudämmen, empfiehlt TDC, dass Benutzer eine Liste vertrauenswürdiger Quellen erstellen, denen das Senden und Empfangen von ICMP-Paketen gestattet ist . Der beste Weg, den Angriff abzuwehren, besteht jedoch einfach darin, ICMP-Typ-3-Code-3-Pakete auf der WAN-Schnittstelle zu deaktivieren.
Palo Alto Networks veröffentlichte ebenfalls eine Erklärung, in der es hieß, dass seine Geräte nur unter „ sehr spezifischen Szenarien, nicht in Standardeinstellungen und im Widerspruch zu gängigen Praktiken “ betroffen seien. Das Unternehmen hat auch einige Empfehlungen für seine Kunden aufgelistet.
Unterdessen sagte Cisco, dass es das Verhalten in dem Bericht nicht als Sicherheitsproblem betrachte, warnte jedoch:
„ Wir empfehlen jedem, eine Lizenz für nicht erreichbare ICMP-Pakete vom Typ 3 einzurichten. Durch das Ablehnen von nicht erreichbaren ICMP-Nachrichten wird das Path MTU Discovery-Protokoll für ICMP-Pakete deaktiviert. Dadurch kann IPSec (Internet Protocol Security: eine Reihe von Protokollen zur Sicherung des Informationsübertragungsprozesses) verhindert werden ) und Zugriff gemäß dem PPTP-Protokoll (Point-To-Point Tunneling Protocol: Ein Protokoll zur Datenübertragung zwischen virtuellen privaten VPN-Netzwerken) .
Darüber hinaus veröffentlichte der unabhängige Softwareanbieter NETRESEC eine detaillierte Analyse von BlackNurse mit dem Titel: „ Die Flooding-Angriffstechnik aus den 90er Jahren ist zurück .“ Zusätzlich zu den oben genannten Warnungen hat das SANS-Institut auch ein kurzes Memo zum BlackNurse-Angriff veröffentlicht, in dem der Angriff erörtert wird und was Benutzer tun sollten, um ihn einzudämmen.
Sehen Sie in der rechten Ecke des Bildschirms eine Windows 10-Aktivierungsbenachrichtigung? In diesem Artikel erfahren Sie, wie Sie den Copyright-Anfragehinweis unter Windows 10 löschen.
Kürzlich hat Microsoft das neueste kumulative Update für Windows 10-PC-Benutzer namens Build 14393.222 veröffentlicht. Dieses für Windows 10 veröffentlichte Update behebt hauptsächlich Fehler basierend auf Benutzerfeedback und verbessert die Leistung des Betriebssystems.
Gibt es Computer in Ihrem lokalen Netzwerk, die externen Zugriff benötigen? Die Verwendung eines Bastion-Hosts als Gatekeeper für Ihr Netzwerk kann eine gute Lösung sein.
Wenn Sie lieber eine alte klassische Tastatur wie das IBM Model M verwenden möchten, die keine physische Windows-Taste enthält, können Sie ganz einfach weitere hinzufügen, indem Sie sich eine Taste ausleihen, die Sie nicht oft verwenden. .
Manchmal müssen Sie möglicherweise alle alten Ereignisprotokolle auf einmal löschen. In dieser Anleitung zeigt Ihnen Quantrimang.com drei Möglichkeiten zum schnellen Löschen aller Ereignisprotokolle in der Windows 10-Ereignisanzeige.
In vielen früheren Artikeln haben wir erwähnt, dass es äußerst wichtig ist, online anonym zu bleiben. Jedes Jahr werden private Informationen preisgegeben, wodurch Online-Sicherheit immer wichtiger wird. Das ist auch der Grund, warum wir virtuelle IP-Adressen verwenden sollten. Im Folgenden erfahren Sie mehr über Methoden zur Erstellung gefälschter IPs!
WindowTop ist ein Tool, das alle Anwendungsfenster und Programme, die auf Windows 10-Computern ausgeführt werden, dimmen kann. Alternativ können Sie unter Windows eine Benutzeroberfläche mit dunklem Hintergrund verwenden.
Die Sprachleiste unter Windows 8 ist eine Miniatur-Sprachsymbolleiste, die automatisch auf dem Desktop-Bildschirm angezeigt wird. Viele Leute möchten diese Sprachleiste jedoch in der Taskleiste ausblenden.
Drahtlose Konnektivität ist heutzutage eine Notwendigkeit und daher ist drahtlose Sicherheit unerlässlich, um die Sicherheit in Ihrem internen Netzwerk zu gewährleisten.
Die Maximierung der Internetgeschwindigkeit ist für die Optimierung Ihrer Netzwerkverbindung von entscheidender Bedeutung. Mit Computern, internetfähigen Fernsehern, Spielekonsolen usw. können Sie ein optimales Unterhaltungs- und Arbeitserlebnis genießen.
