Publié par UnderNews Actu - Télécharger l'application Android

Le 10 novembre, des chercheurs Danois du SOC TDC ont souhaité mettre en lumière une veille recette d’attaque DDoS fondée sur le protocole ICMP et baptisée BlackNurse.

PIA VPN

Avis d’expert 6Cure – Historiquement, les attaques ICMP les plus populaires utilisent des paquets ICMP de type “Ping” (ICMP Type 8 Code 0). L’attaque BlackNurse utilise des paquets ICMP de type “Port unreachable” (ICMP Type 3 Code 3). En temps normal, ce type de paquets ICMP est généré par une destination qui reçoit un paquet sur un port fermé.  Cette destination peut être un serveur, un routeur, ou encore un pare-feu. Ces messages sont nécessaires au fonctionnement des méthodes “ICMP Path MTU Discovery”, notamment utilisées par certains flux IPsec et PPTP. Il n’est donc pas recommandé de les interdire totalement.

Le SOC TDC a montré qu’avec 40 à 50000 paquets par seconde de ce type (représentant moins de 20Mbps de trafic ICMP), un attaquant pouvait causer une défaillance majeure sur certains équipements, en particulier en faisant grimper la charge CPU de pare-feux, créant alors un déni de service pour les infrastructures “protégées” par ces derniers. Les équipements vulnérables comprennent notamment des produits fournis par Cisco (ASA 55xx), SonicWall, Palo Alto ou encore Zyxel.

L’attaque est très facile à mener, et les outils de tests traditionnels tels que hping3 peuvent très bien la reproduire.

Des parades existent

Des solutions anti-DDoS spécialisées, qui  éliminent nativement tous types de floods ICMP, quels que soient les types et codes utilisés, doivent permettre de répondre à cette problématique.

L’activation d’une fonctionnalité éliminant les requêtes redondantes permet de contraindre et nettoyer les flux malveillants. L’utilisation d’une option de type “Blacklist” peut renforcer cette protection en identifiant et en mettant en quarantaine les sources de l’attaque.

Au-delà du concept présenté par le SOC TDC, une industrialisation de la menace BlackNurse est à prévoir, avec des variantes plus nocives qui pourraient déclencher l’attaque depuis un botnet hyper-distribué en employant des messages ICMP “Port Unreachable” de grande taille.

En ce sens, la protection apportée par l’activation combinée de différents mécanismes de mitigation peut garantir la totale disponibilité de la bande passante ainsi ciblée.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , , ,


Vos réactions

Ils parlent du sujet :

  1. Sécurité Informatique | Pearltrees

    […] de données pour les entreprises. ADATA dévoile le SD700 un SDD externe NAND 3D ultra-résistant. Blacknurse : Une attaque DDoS déjà connue et neutralisable. Firefox 50 – Plus rapide et plus sécurisé. Au 1er janvier 2017, l'Etat accélère la […]

  2. Blacknurse : Une attaque DDoS déj&agrave...

    […] Le 10 novembre, des chercheurs Danois du SOC TDC ont souhaité mettre en lumière une veille recette d'attaque DDoS fondée sur le protocole ICMP et baptisée BlackNurse.  […]





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.