Black Nurse - 일반 노트북이 전체 서버 시스템을 다운시키는 DDoS 기술

해당 서버에 잘 알려진 방화벽 장치가 장착되어 있더라도 공격자가 이 기술을 악용하면 서버가 다운될 수 있습니다.

믿기지 않을 수도 있지만 거대한 봇넷 대신 인터넷에 연결된 노트북만 있으면 강력한 DDoS 공격을 개시 하여 중요한 인터넷 서버와 기존 방화벽을 무너뜨릴 수 있습니다.

TDC 보안 운영 센터의 연구원들은 제한된 리소스를 가진 단독 공격자(이 경우 최소 15Mbps의 대역폭을 갖춘 광대역 네트워크를 갖춘 노트북)가 대규모 서버를 무너뜨릴 수 있는 새로운 공격 기술을 발견했습니다 .

BlackNurse 공격 또는 " Ping of Death " 저속 공격이라고 불리는 이 기술은 ICMP 패킷 또는 "핑"을 전송하여 서버의 프로세서를 플러딩하는 일련의 소량 DoS 공격을 시작하는 데 사용할 수 있습니다.

Cisco , Palo Alto Networks 또는 기타 회사의 방화벽 으로 보호되는 서버도 이 공격 기술의 영향을 받습니다.

ICMP(인터넷 제어 메시지 프로토콜)는 라우터 및 기타 네트워크 장치에서 오류 메시지를 보내고 받는 데 사용되는 프로토콜입니다.

핑 오브 데스(Ping of Death) 는 65,536바이트가 넘는 ICMP 패킷을 타깃에게 보내 네트워크에 과부하를 주는 공격 기법이다. 이 크기는 허용되는 IP 패킷 크기보다 크기 때문에 더 작은 조각으로 나누어 대상 컴퓨터로 전송됩니다. 대상에 도달하면 크기가 너무 커서 완전한 패킷으로 재조립되어 버퍼 오버플로 및 충돌이 발생합니다.

이번 주에 발표된 기술 보고서에 따르면 BlackNurse 공격은 보다 전통적인 이름인 " ping 플러드 공격 "으로도 알려져 있으며 ICMP Type 3 쿼리(또는 버그)를 기반으로 합니다. 대상 연결 불가(Destination Unreachable) 코드 3(포트 연결 불가 오류) .

이러한 쿼리는 일반적으로 대상의 대상 포트에 연결할 수 없거나 연결할 수 없는 경우 소스 핑으로 반환되는 응답 패킷입니다 .

1. BlackNurse 공격 기술의 작동 방식은 다음과 같습니다.

해커는 코드 3이 포함된 ICMP Type 3 패킷을 전송함으로써 인터넷 연결 품질에 관계없이 특정 유형의 서버 방화벽에서 CPU에 과부하를 주어 서비스 거부(DoS) 조건을 유발할 수 있습니다.

BlackNurse 기법을 사용한 트래픽 볼륨은 15Mbps~18Mbps(또는 초당 약 40,000~50,000패킷)에 불과할 정도로 매우 적으며, 특히 지난 9월 프랑스 인터넷 서비스 제공업체 OVH를 대상으로 한 역대 최고 수준의 1Tbps DDoS 공격과 비교하면 더욱 그렇습니다. .

한편, TDC는 또한 피해자의 네트워크 장치에 도달하는 40K에서 50K까지 ICMP 패킷의 꾸준한 스트림을 유지하는 것만으로도 이를 파괴할 수 있으므로 이 엄청난 양은 중요한 문제가 아니라고 말했습니다.

그렇다면 여기서 좋은 소식은 무엇입니까? 연구진은 "공격이 발생하면 LAN 사용자는 더 이상 인터넷과 트래픽을 주고받을 수 없게 된다"며 "공격이 중단된 이후 우리가 본 모든 방화벽은 복구됐다 "고 말했다.

그러나 이는 이 소규모 DoS 공격 기술이 방화벽에 액세스를 넘치게 할 뿐만 아니라 CPU에 높은 부하를 가하기 때문에 여전히 매우 효과적이라는 것을 의미합니다. 공격에 충분한 네트워크 용량이 있는 경우 서버를 오프라인으로 전환할 수도 있습니다.

연구원들은 BlackNurse를 ICMP Type 8 Code 0 패킷(또는 일반 핑 패킷)에 의존하는 핑 플러딩 공격과 혼동해서는 안 된다고 말합니다 . 연구자들은 다음과 같이 설명합니다.

" BlackNurse 공격 기법은 DDoS 방지 솔루션을 테스트하는 과정에서 접속 속도와 초당 패킷량이 매우 낮은 수준에서도 이 공격이 고객의 모든 운영을 중단시킬 수 있다는 점에서 주목을 받았습니다 ."

" 이 공격 기법은 방화벽을 갖추고 대규모 인터넷 연결이 가능한 기업에도 적용될 수 있습니다. 전문적인 방화벽 장치가 이러한 공격을 처리할 수 있기를 바랍니다. 이번 공격 ."

2. 영향을 받는 장치

BlackNurse 공격 기술은 다음 제품에 효과적입니다.

• Cisco ASA 방화벽 어플라이언스 5506, 5515, 5525(기본 설정)
• Cisco ASA 5550(이전 세대) 및 5515-X(최신 세대) 방화벽 장치.
• Cisco Router 897(다운그레이드 가능)
• SonicWall(잘못된 구성을 변경하고 완화할 수 있음)
• Palo Alto의 일부 알려지지 않은 장치.
• 라우터 Zyxel NWA3560-N(내부 LAN에서 무선 공격).
• Zyxel Zywall USG50 방화벽 장치.

3. BlackNurse 공격을 완화하는 방법은 무엇입니까?

여전히 좋은 소식이 있습니다. BlackNurse 공격에 맞서 싸울 수 있는 방법은 여러 가지가 있습니다.

TDC는 BlackNurse 공격을 탐지하는 데 사용할 수 있는 다양한 완화 및 IDS 규칙 SNORT (오픈 소스 침입 탐지 시스템 SNORT)를 권장합니다. 또한 OVH 엔지니어가 PoC(개념 증명) 코드를 GitHub에 게시했으며, 이는 BlackNurse에 대해 LuckyTemplates의 장치를 테스트하는 데에도 사용할 수 있습니다.

방화벽 및 기타 장치에 대한 BlackNurse 공격을 완화하기 위해 TDC는 사용자가 ICMP 패킷을 보내고 받을 수 있는 신뢰할 수 있는 소스 목록을 만들 것을 권장합니다 . 그러나 공격을 완화하는 가장 좋은 방법은 WAN 인터페이스에서 ICMP 유형 3 코드 3 패킷을 비활성화하는 것입니다.

팔로알토 네트웍스(Palo Alto Networks)도 성명을 발표해 자사 장치가 " 기본 설정이 아닌 일반적인 관행에 반하는 매우 구체적인 시나리오 "에서만 영향을 받았다고 밝혔습니다. 회사는 또한 고객을 위한 몇 가지 권장 사항을 나열했습니다.

한편 시스코는 보고서의 행위를 보안 문제로 간주하지 않는다고 밝혔지만 다음과 같이 경고했다.

" 모든 사람이 ICMP 유형 3 도달 불가능 패킷에 대한 라이센스를 설정하는 것이 좋습니다. ICMP 도달 불가능 메시지를 거부하면 ICMP 패킷에 대한 경로 MTU 검색 프로토콜이 비활성화됩니다. 이는 IPSec(인터넷 프로토콜 보안: 정보 전송 프로세스를 보호하기 위한 프로토콜 집합)를 방지할 수 있습니다. ) 및 PPTP 프로토콜(Point-To-Point Tunneling Protocol: VPN 가상 사설망 간에 데이터를 전송하는 데 사용되는 프로토콜)에 따라 액세스합니다 .

더욱이 독립 소프트웨어 업체인 NETRESEC도 " 90년대의 플러딩 공격 기법이 돌아왔다 "라는 제목으로 BlackNurse에 대한 상세한 분석을 발표했습니다. 위의 경고 외에도 SANS Institute는 BlackNurse 공격에 대한 짧은 메모를 발표하여 공격과 이를 완화하기 위해 사용자가 수행해야 할 작업에 대해 논의했습니다.