Tento útok, zvaný BlackNurse, spočívá v zasílání balíčků ICMP (Internet Control Message Protocol) konkrétního typu a kódu. ICMP se běžně používá pro síťovou diagnostickou utilitu „ping.“ Útoky, které se snaží přetížit systém ping zprávami – znamé jako ping floods – využívají balíčky ICMP typu 8 kód 0.
BlackNurse namísto toho využívá ICMP balíčky typu 3 (cíl nedosažitelný) kód 3 (port nedosažitelný), při jejichž zpracování spotřebovávají některé firewally velké množství procesorových zdrojů.
Podle expertů z centra bezpečnostních operací dánského telekomunikačního operátora TDC je k přetížení firewallu třeba zhruba 40 až 50 tisíc balíčků ICMP typu 3 kód 3 za sekundu. To není mnoho. Navíc datový tok nutný k jejich generování je od 15 do 18 Mbit/s, což znamená, že BlackNurse můžete spustit z jediného notebooku.
Experti útok úspěšně otestovali na firewallech Cisco ASA (Adaptive Security Appliance) ve výchozí konfiguraci. Dokumentace Ciska doporučuje, aby uživatelé povolili zprávy ICMP typu 3.
Ovlivněny jsou taktéž některé firewally od Palo Alto Networks, SonicWall a Zyxel Communications, ale jen tehdy, pokud jsou špatně nakonfigurovány nebo v případě, že nejsou zapnuty některé ochranné mechanismy.
Next-Generation Firewalls od Palo Alto Networks standardně nezpracovávají ICMP požadavky, takže pokud jste explicitně nepovolili ICMP v podnikových bezpečnostních pravidlech, není vaše organizace problémem zasažena a není nutné provádět žádnou akci. Napsala to společnost Palo Alto v blogovém příspěvku v reakci na zprávu TDC. Firma zároveň uvedla, že zákazníci, kteří z nějakého důvodu potřebují ICMP požadavky povolit, mohou například aktivovat ICMP Flood a ICMPv6Flood v profilu ochrany proti DoS ve svém firewallu.
Zdroj: CIO.com