BlackNurse, attacco DoS con un solo notebook

Il recente attacco subito dal provider Dyn è stato effettuato mediante numerosi server che hanno generato un traffico di oltre 1 TB/s. I ricercatori danesi del TDC Security Operations Center hanno scoperto una nuova tecnica, denominata BlackNurse, che permette di mettere fuori gioco un sito con un singolo notebook e una normale connessione a banda larga.

Invece di bombardare un server con terabyte di dati, BlackNurse sfrutta l’invio di pacchetti ICMP Type 3 per bloccare il funzionamento di un sito web. ICMP (Internet Control Message Protocol) è il protocollo utilizzato dai router e altri dispositivi di rete per inviare e ricevere messaggi di errore. Se la dimensione dei pacchetti supera una soglia compresa tra 15 e 18 Mbps, i firewall di alcuni produttori vanno in tilt, a causa del sovraccarico della CPU, impedendo quindi ai server di raggiungere Internet. Per eseguire questo genere di attacco è sufficiente un notebook e una connessione a banda larga.

Secondo i ricercatori di Netresec, che hanno collaborato con TDC Security, l’attacco DoS è efficace contro i firewall di Cisco, Palo Alto Networks e Zyxel. Palo Alto Networks ha tuttavia comunicato che i suoi firewall sono configurati per scartare automaticamente le richieste ICMP, a meno che l’azienda non applichi una specifica policy sulla sicurezza. In tal caso, i tempi di risposta del firewall verranno rallentati.

Cisco ritiene invece che la scoperta non rappresenti un problema per la sicurezza. Il produttore californiano potrebbe aver implementato una soluzione, di cui TDC Security non è conoscenza, che blocca i tentativi di attacco tramite la tecnica BlackNurse. I ricercatori hanno inserito nell’elenco anche SonicWall. In realtà, i suoi firewall non sono vulnerabili all’attacco descritto, in quanto la ICMP flood protection, attivata di default, blocca i pacchetti ICMP Type 3.