Même si ces serveurs sont équipés de pare-feu bien connus, ils peuvent toujours être supprimés si un attaquant exploite cette technique.
Cela peut paraître incroyable, mais au lieu d'un botnet géant, vous n'avez besoin que d'un ordinateur portable doté d'une connexion Internet pour lancer une puissante attaque DDoS , détruisant d'importants serveurs Internet et les pare-feu existants.
Les chercheurs du TDC Security Operations Center ont découvert une nouvelle technique d'attaque qui permet à des attaquants isolés disposant de ressources limitées (dans ce cas, un ordinateur portable doté d'un réseau haut débit avec une bande passante d'au moins 15 Mbps) de détruire de gros serveurs .
Surnommée attaque BlackNurse ou attaque à faible vitesse « Ping of Death » , cette technique peut être utilisée pour lancer une série d'attaques DoS à faible volume en utilisant l'envoi de paquets ICMP ou de « pings » pour inonder les processeurs du serveur.
Même les serveurs protégés par des pare-feu de Cisco , Palo Alto Networks ou d'autres sociétés sont concernés par cette technique d'attaque.
ICMP (Internet Control Message Protocol) est un protocole utilisé par les routeurs et autres périphériques réseau pour envoyer et recevoir des messages d'erreur.
Ping of Death est une technique d'attaque qui surcharge le réseau en envoyant à la cible des paquets ICMP d'une taille supérieure à 65 536 octets. Étant donné que cette taille est supérieure à la taille autorisée des paquets IP, ils seront divisés en morceaux plus petits et envoyés à l'ordinateur de destination. Lorsqu'il atteint la cible, il sera réassemblé en un paquet complet, en raison de sa taille excessive, cela provoquera un débordement de tampon et un crash.
Selon un rapport technique publié cette semaine, l'attaque BlackNurse est également connue sous un nom plus traditionnel : " ping Flood Attack " et elle est basée sur des requêtes (ou bugs) ICMP Type 3. Destination Unreachable) Code 3 (Port Unreachable error) .
Ces requêtes sont des paquets de réponse, qui retournent généralement au ping source lorsque le port de destination de la cible est inaccessible – ou Unreachable .
1. Voici comment fonctionne la technique d’attaque BlackNurse :
En envoyant un paquet ICMP Type 3 avec un code de 3, un pirate informatique peut provoquer une condition de déni de service (DoS) en surchargeant les processeurs de certains types de pare-feu de serveur, quelle que soit la qualité de la connexion Internet.
Le volume de trafic utilisant la technique BlackNurse est très faible, seulement de 15 Mbps à 18 Mbps (soit environ 40 000 à 50 000 paquets par seconde), surtout si on le compare à l'attaque DDoS record de 1 Tbps ciblant le fournisseur d'accès Internet français OVH en septembre. .
Pendant ce temps, TDC a également déclaré que cet énorme volume ne constitue pas un problème important lorsque le simple fait de maintenir un flux constant de paquets ICMP de 40 000 à 50 000 atteignant le périphérique réseau de la victime peut détruire le périphérique cible.
Alors, quelle est la bonne nouvelle ici ? " Une fois l'attaque survenue, les utilisateurs du réseau local ne pourront plus envoyer ou recevoir de trafic vers et depuis Internet", ont déclaré les chercheurs ."
Cependant, cela signifie que cette technique d'attaque DoS à faible volume reste très efficace car elle inonde non seulement le pare-feu d'accès, mais force également les processeurs à une charge élevée, voire à mettre les serveurs hors ligne si l'attaque a une capacité réseau suffisante.
Les chercheurs affirment que BlackNurse ne doit pas être confondu avec les attaques par inondation de ping qui reposent sur des paquets ICMP Type 8 Code 0 (ou des paquets ping réguliers). Les chercheurs expliquent :
" La technique d'attaque BlackNurse a attiré notre attention car en testant la solution anti-DDoS, même lorsque la vitesse d'accès et le volume de paquets par seconde étaient à des niveaux très faibles, cette attaque peut également arrêter toutes les opérations de nos clients . "
" Cette technique d'attaque peut même être appliquée aux entreprises équipées de pare-feu et de connexions Internet importantes. Nous espérons que les pare-feu professionnels seront capables de gérer ces attaques . "
2. Appareils concernés
La technique d'attaque BlackNurse est efficace avec les produits suivants :
3. Comment atténuer l’attaque BlackNurse ?
Il y a encore de bonnes nouvelles pour vous : il existe plusieurs façons de lutter contre les attaques de BlackNurse.
TDC recommande un certain nombre d'atténuations et de règles IDS SNORT (système de détection d'intrusion open source SNORT) qui peuvent être utilisées pour détecter les attaques BlackNurse. De plus, les codes PoC (proof-of-concept) ont été postés sur GitHub par les ingénieurs d'OVH, qui peuvent également être utilisés pour tester les appareils de LuckyTemplates face à BlackNurse.
Pour atténuer les attaques BlackNurse sur les pare-feu et autres appareils, TDC recommande aux utilisateurs de créer une liste de sources fiables, autorisées à envoyer et à recevoir des paquets ICMP . Cependant, le meilleur moyen d’atténuer l’attaque consiste simplement à désactiver les paquets ICMP Type 3 Code 3 sur l’interface WAN.
Palo Alto Networks a également publié une déclaration, affirmant que ses appareils n'étaient concernés que dans « des scénarios très spécifiques, pas dans les paramètres par défaut et contre les pratiques courantes ». L'entreprise a également répertorié quelques recommandations à l'intention de ses clients.
Pendant ce temps, Cisco a déclaré qu'il ne considérait pas le comportement décrit dans le rapport comme un problème de sécurité, mais a averti que :
" Nous recommandons à chacun de configurer une licence pour les paquets ICMP de type 3 inaccessibles. Le refus des messages ICMP inaccessibles permet de désactiver le protocole Path MTU Discovery pour les paquets ICMP. Ceux-ci peuvent empêcher IPSec (Internet Protocol Security : un ensemble de protocoles pour sécuriser le processus de transmission des informations ) et accès selon le protocole PPTP (Point-To-Point Tunneling Protocol : protocole utilisé pour transmettre des données entre des réseaux privés virtuels VPN) .
En outre, l'éditeur de logiciels indépendant NETRESEC a également publié une analyse détaillée de BlackNurse intitulée : « La technique d'attaque par inondation des années 90 est de retour ». En plus des avertissements ci-dessus, le SANS Institute a également annoncé un court mémo sur l'attaque BlackNurse, discutant de l'attaque et de ce que les utilisateurs devraient faire pour l'atténuer.
Avez-vous déjà été dans une situation où vous avez essayé d'accéder à un site Web et celui-ci n'a pas réussi à se charger, alors que tout le monde pouvait toujours y accéder ? Cela peut avoir de nombreuses causes différentes.
Le logo du démarrage semble collé sur un écran noir avec un petit cercle tournant. Il s'agit d'un problème assez courant sous Windows, quelle que soit l'ancienne ou la nouvelle version.
Le paramètre Autoriser les minuteries de réveil dans Options d'alimentation permet à Windows de sortir automatiquement l'ordinateur du mode veille pour effectuer des tâches planifiées et d'autres programmes.
La barre d'état en bas de l'Explorateur de fichiers vous indique le nombre d'éléments contenus et sélectionnés pour le dossier actuellement ouvert. Les deux boutons ci-dessous sont également disponibles sur le côté droit de la barre d'état.
Trop d'activités simultanées sur le disque dur peuvent ralentir le système et vider la batterie de l'ordinateur portable. Vous devez donc surveiller occasionnellement l'activité du disque dur.
Les cartes graphiques NVIDIA sont aujourd’hui l’un des appareils qui prennent le mieux en charge les travaux liés à la conception graphique. Cependant, tout le monde ne sait pas qu'il s'agit également d'un facteur qui ralentit l'ordinateur en installant de nombreux composants supplémentaires ainsi que les packages d'installation des pilotes.
Les déchets cachés ou cache sont des données des sessions précédentes d'applications et de programmes que le système d'exploitation enregistre pour permettre de télécharger plus rapidement les données des sessions ultérieures. Il gonflera avec le temps si vous le laissez seul, consommant de l'espace mémoire et ralentissant le traitement. Par conséquent, pour récupérer de l'espace sur votre disque dur et accélérer votre ordinateur, vous pouvez vous référer aux étapes de nettoyage de LuckyTemplates ci-dessous.
Le réseau privé virtuel, ou VPN en abrégé, permet aux utilisateurs de se connecter en toute sécurité à un serveur via Internet et offre un anonymat complet pour surfer sur le Web. L'article d'aujourd'hui abordera les différences entre les VPN gratuits et les VPN payants afin que vous puissiez prendre la bonne décision.
Saviez-vous que les emojis fonctionnent presque partout de nos jours ? Vous pouvez les utiliser dans presque toutes les applications de votre ordinateur, même en les insérant dans les noms de fichiers et de dossiers sous Windows 10.
La mise à niveau du micrologiciel du routeur est toujours une bonne idée. Alors, comment mettre à niveau le micrologiciel du routeur sans fil ? Nous vous invitons à vous référer à cet article !
