حملات DDoS با نام BlackNurse می‌تواند در عملکرد دیواره‌های آتش اختلال ایجاد کند

نگاه دیگران
دوشنبه, 24 آبان 1395

محققان امنیتی می‌گویند نوعی از حملات منع سرویس توزیع‌شده را کشف کرده‌اند که با پهنای‌باند کم می‌تواند بر بخش عظیمی از دیواره‌های آتشی که در سازمان استفاده می‌شود اثر گذاشته و آن‌ها را وارد شرایط منع سرویس موقتی کند.

در حالی‌که تحلیل حملات منع سرویس توزیع‌شده معمولاً کاربران تحت تأثیر را بررسی می‌کند، متخصصان امنیتی شرکت دانمارکی TDC متوجه شده‌اند برخی حملات مبتنی بر پروتکل ICMP می‌توانند موجب اختلالات جدی حتی در پهنای‌باند کم شوند. حملات ICMP که با نام حملات سیل‌آسای پینگ نیز شناخته می‌شوند، بسیار رایج بوده اما معمولاً بر پایه بسته‌های Type ۸ Code ۰(Echo) استوارند. حملاتی که توجه کارشناسان امنیتی را در TDC جلب کرد بر مبنای بسته‌های پروتکل ICMP ولی Type ۳ Code ۳(عدم دسترسی به مقصد- عدم دسترسی به درگاه) بوده‌اند.

این حملات که توسط TDC، BlackNurse‌ نامیده‌ شده‌اند، می‌توانند حتی در پهنای‌باند ۱۵ تا ۱۸ مگابیت بر ثانیه بسیار کارآمد باشند. این حملات می‌توانند حتی در شرایطی که کاربر اتصال اینترنت ۱ گیگابیت بر ثانیه دارد در عملکرد دیواره‌آتش اختلال ایجاد کنند.

«تأثیر مشاهده شده بر روی دیواره‌های آتش مختلف بار پردازشی زیاد بر روی CPU است. زمانی که یک حمله در حال انجام است، کاربران نمی‌توانند ترافیکی را به /از اینترنت ارسال و یا دریافت کنند. در تمامی موارد بررسی شده پس از توقف حمله دیواره‌های آتش به حالت عادی بازمی‌گردند. بدین‌ترتیب یک اتصال اینترنت با سرعت ۱۵-۱۸ مگابیت در ثانیه می‌تواند شرکت‌ها و سازمان‌های بزرگی را تحت تأثیر حملات منع سرویس قرار دهد.»

متخصصان امنیتی می‌گویند این نوع حمله قدمتی ۲۰ ساله دارد، اما سازمان‌ها آگاهی کافی درباره خطرات آن نداشته‌اند. یک پویش آدرس‌های IP دانمارکی نشان داده است بیش از ۱.۷ میلیون دستگاه به پینگ‌های ICMP پاسخ داده‌اند، بنابراین این نوع حملات در دانمارک می‌توانند تأثیر مخرب زیادی داشته باشند.

محققان می‌گویند حملات BlackNurse علیه دیواره‌های آتش Cisco ASA و SonicWall کار می‌کنند، اما به احتمال قوی بر روی محصولات Palo Alto و سایر شرکت‌ها نیز تأثیر خواهند داشت. دیواره‌آتش Iptable در سامانه‌عامل لینوکس، محصولات MikroTik و OpenBSD تحت تأثیر این حملات نیستند.

در حالی‌که در برخی موارد حملات به دلیل وجود آسیب‌پذیری در دیواره‌آتش ممکن شده‌اند، برخی شرکت‌ها یک مشکل تنظیماتی را مقصر می‌دانند. قوانین شناسایی و کد اثبات مفهومی به‌صورت عمومی در دسترسی کاربران قرار گرفته است تا حملات را شناسایی کرده و دستگاه‌های خود را بیازمایند.

در وبگاه BlackNurse درباره محصولات SonicWall آمده است: «در این محصولات، حملات زمانی مؤثر هستند که دیواره‌آتش به‌خوبی تنظیم نشده باشد. آزمایش‌های SonicWall‌ نشان می‌دهند دیواره‌های آتش این شرکت زمانی که محافظت ICMP Flood فعال باشند در برابر حملات مذکور آسیب‌پذیر نیستند.»

در ماه ژوئن شرکت سیسکو در جریان این حملات قرار گرفته است، اما TDC‌می‌گوید این شرکت اشکال مذکور را در دسته آسیب‌پذیری‌های امنیتی قرار نداده بلکه آن را به‌عنوان یک مشکل تنظیمات تلقی می‌کند. TDC می‌گوید می‌توان از طریق خدمات ضد DDoS حرفه‌ای با این حملات مقابله کرد.

برچسب‌ها امنیت ,