新型DDoS攻击：只需一台笔记本就能轻松击垮大型服务器

近日，丹麦电信运营商 TDC 安全中心的研究人员发现了一种称为“ BlackNurse ”的简单攻击方法，此类攻击可通过有限资源发动大规模DDoS攻击并使大型服务器网络传输中断。

BlackNurse不仅仅是基于创建大量的网络连接，它与老式ICMP洪水攻击（快速发送大量的ICMP请求）不同，BlackNurse攻击是基于ICMP Type 3 code 3数据包形成的DOS攻击。

引起墨者安全团队关注的是，虽然BlackNurse攻击的数据流量及数据包发送频率都很低，但以往的抗DDoS解决方案都对其束手无策。BlackNurse攻击利用ICMP Type 3 Code 3数据包——通过路由器及网络设备发送与接收错误信息。通过发送特定类型的ICMP数据包，攻击者可以令使用特定防火墙的服务器CPU超载。

Type3是ICMP的异常报文，一般由原始报文触发，这种报文的 internet Header 部分需要带有原始报文的首部部分字节，Code3 的意思是端口不可达异常，路由器和网络设备收到这类错误之后，需要从 ICMP 报文中附带的原始报文首部信息中查询是否为自己发送的报文引起，这一动作会消耗很多计算资源。因此，这个机制可以被利用来进行 DoS，即攻击者伪造大量type3异常报文，导致防火墙设备花费大量的 CPU 资源来处理这种错误请求，从而消耗掉防火墙 CPU 的所有资源。

墨者安全团队注意到，当阈值达到 15 Mbps 至 18 Mbps 时，网络设备会因此丢弃众多数据包，服务器也将离线。安全团队人员解释说，“ BlackNurse ”攻击可允许攻击者使用一台笔记本电脑发动流量峰值达到 180 Mbps 的 DDoS 攻击。此外，专家们证实在过去的两年间有 95 起以 TDC 网络为目标的 DDoS 攻击事件，但没有提及具体有多少起使用了“ BlackNurse ”攻击。

主要受影响的防火墙厂商包括思科系统、帕洛阿尔托网络、合勤科技（ Zyxel ）。

TDC验证的易受到BlackNurse攻击设备：

Cisco ASA 5506,5515,5525（默认设置）

Cisco ASA 5550（ Legacy ）和5515-X（最新一代）

Cisco 路由器 897（除非限制速率）

Palo Alto（未经验证）

SonicWall（如果配置不正确）

Zyxel NWA3560-N（来自 LAN Side 的无线攻击）

Zyxel Zywall USG50

关于墨者安全

墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。