Même si ces serveurs sont équipés de pare-feu bien connus, ils peuvent toujours être supprimés si un attaquant exploite cette technique.
Cela peut paraître incroyable, mais au lieu d'un botnet géant, vous n'avez besoin que d'un ordinateur portable doté d'une connexion Internet pour lancer une puissante attaque DDoS , détruisant d'importants serveurs Internet et les pare-feu existants.
Les chercheurs du TDC Security Operations Center ont découvert une nouvelle technique d'attaque qui permet à des attaquants isolés disposant de ressources limitées (dans ce cas, un ordinateur portable doté d'un réseau haut débit avec une bande passante d'au moins 15 Mbps) de détruire de gros serveurs .
Surnommée attaque BlackNurse ou attaque à faible vitesse « Ping of Death » , cette technique peut être utilisée pour lancer une série d'attaques DoS à faible volume en utilisant l'envoi de paquets ICMP ou de « pings » pour inonder les processeurs du serveur.
Même les serveurs protégés par des pare-feu de Cisco , Palo Alto Networks ou d'autres sociétés sont concernés par cette technique d'attaque.
ICMP (Internet Control Message Protocol) est un protocole utilisé par les routeurs et autres périphériques réseau pour envoyer et recevoir des messages d'erreur.
Ping of Death est une technique d'attaque qui surcharge le réseau en envoyant à la cible des paquets ICMP d'une taille supérieure à 65 536 octets. Étant donné que cette taille est supérieure à la taille autorisée des paquets IP, ils seront divisés en morceaux plus petits et envoyés à l'ordinateur de destination. Lorsqu'il atteint la cible, il sera réassemblé en un paquet complet, en raison de sa taille excessive, cela provoquera un débordement de tampon et un crash.
Selon un rapport technique publié cette semaine, l'attaque BlackNurse est également connue sous un nom plus traditionnel : " ping Flood Attack " et elle est basée sur des requêtes (ou bugs) ICMP Type 3. Destination Unreachable) Code 3 (Port Unreachable error) .
Ces requêtes sont des paquets de réponse, qui retournent généralement au ping source lorsque le port de destination de la cible est inaccessible – ou Unreachable .
1. Voici comment fonctionne la technique d’attaque BlackNurse :
En envoyant un paquet ICMP Type 3 avec un code de 3, un pirate informatique peut provoquer une condition de déni de service (DoS) en surchargeant les processeurs de certains types de pare-feu de serveur, quelle que soit la qualité de la connexion Internet.
Le volume de trafic utilisant la technique BlackNurse est très faible, seulement de 15 Mbps à 18 Mbps (soit environ 40 000 à 50 000 paquets par seconde), surtout si on le compare à l'attaque DDoS record de 1 Tbps ciblant le fournisseur d'accès Internet français OVH en septembre. .
Pendant ce temps, TDC a également déclaré que cet énorme volume ne constitue pas un problème important lorsque le simple fait de maintenir un flux constant de paquets ICMP de 40 000 à 50 000 atteignant le périphérique réseau de la victime peut détruire le périphérique cible.
Alors, quelle est la bonne nouvelle ici ? " Une fois l'attaque survenue, les utilisateurs du réseau local ne pourront plus envoyer ou recevoir de trafic vers et depuis Internet", ont déclaré les chercheurs ."
Cependant, cela signifie que cette technique d'attaque DoS à faible volume reste très efficace car elle inonde non seulement le pare-feu d'accès, mais force également les processeurs à une charge élevée, voire à mettre les serveurs hors ligne si l'attaque a une capacité réseau suffisante.
Les chercheurs affirment que BlackNurse ne doit pas être confondu avec les attaques par inondation de ping qui reposent sur des paquets ICMP Type 8 Code 0 (ou des paquets ping réguliers). Les chercheurs expliquent :
" La technique d'attaque BlackNurse a attiré notre attention car en testant la solution anti-DDoS, même lorsque la vitesse d'accès et le volume de paquets par seconde étaient à des niveaux très faibles, cette attaque peut également arrêter toutes les opérations de nos clients . "
" Cette technique d'attaque peut même être appliquée aux entreprises équipées de pare-feu et de connexions Internet importantes. Nous espérons que les pare-feu professionnels seront capables de gérer ces attaques . "
2. Appareils concernés
La technique d'attaque BlackNurse est efficace avec les produits suivants :
3. Comment atténuer l’attaque BlackNurse ?
Il y a encore de bonnes nouvelles pour vous : il existe plusieurs façons de lutter contre les attaques de BlackNurse.
TDC recommande un certain nombre d'atténuations et de règles IDS SNORT (système de détection d'intrusion open source SNORT) qui peuvent être utilisées pour détecter les attaques BlackNurse. De plus, les codes PoC (proof-of-concept) ont été postés sur GitHub par les ingénieurs d'OVH, qui peuvent également être utilisés pour tester les appareils de LuckyTemplates face à BlackNurse.
Pour atténuer les attaques BlackNurse sur les pare-feu et autres appareils, TDC recommande aux utilisateurs de créer une liste de sources fiables, autorisées à envoyer et à recevoir des paquets ICMP . Cependant, le meilleur moyen d’atténuer l’attaque consiste simplement à désactiver les paquets ICMP Type 3 Code 3 sur l’interface WAN.
Palo Alto Networks a également publié une déclaration, affirmant que ses appareils n'étaient concernés que dans « des scénarios très spécifiques, pas dans les paramètres par défaut et contre les pratiques courantes ». L'entreprise a également répertorié quelques recommandations à l'intention de ses clients.
Pendant ce temps, Cisco a déclaré qu'il ne considérait pas le comportement décrit dans le rapport comme un problème de sécurité, mais a averti que :
" Nous recommandons à chacun de configurer une licence pour les paquets ICMP de type 3 inaccessibles. Le refus des messages ICMP inaccessibles permet de désactiver le protocole Path MTU Discovery pour les paquets ICMP. Ceux-ci peuvent empêcher IPSec (Internet Protocol Security : un ensemble de protocoles pour sécuriser le processus de transmission des informations ) et accès selon le protocole PPTP (Point-To-Point Tunneling Protocol : protocole utilisé pour transmettre des données entre des réseaux privés virtuels VPN) .
En outre, l'éditeur de logiciels indépendant NETRESEC a également publié une analyse détaillée de BlackNurse intitulée : « La technique d'attaque par inondation des années 90 est de retour ». En plus des avertissements ci-dessus, le SANS Institute a également annoncé un court mémo sur l'attaque BlackNurse, discutant de l'attaque et de ce que les utilisateurs devraient faire pour l'atténuer.
Voyez-vous une notification d’activation de Windows 10 dans le coin droit de l’écran ? Cet article vous expliquera comment supprimer l'avis de demande de droit d'auteur sous Windows 10.
Récemment, Microsoft a publié la dernière mise à jour cumulative pour les utilisateurs de PC Windows 10, appelée Build 14393.222. Cette mise à jour publiée pour Windows 10 corrige principalement des bugs basés sur les commentaires des utilisateurs et améliore l'expérience de performances du système d'exploitation.
Avez-vous des ordinateurs sur votre réseau local qui nécessitent un accès externe ? Utiliser un hôte bastion comme gardien de votre réseau peut être une bonne solution.
Si vous préférez utiliser un vieux clavier classique, comme l'IBM Model M, qui n'inclut pas de touche Windows physique, il existe une méthode simple pour en ajouter davantage, en empruntant une touche que vous n'utilisez pas souvent.
Parfois, vous devrez peut-être supprimer d’un seul coup les anciens journaux d’événements. Dans ce guide, Quantrimang.com vous montrera 3 façons de supprimer rapidement tous les journaux d'événements dans l'Observateur d'événements Windows 10.
Dans de nombreux articles précédents, nous avons mentionné qu’il est extrêmement important de rester anonyme en ligne. Des informations privées sont divulguées chaque année, ce qui rend la sécurité en ligne de plus en plus nécessaire. C'est aussi la raison pour laquelle nous devrions utiliser des adresses IP virtuelles. Ci-dessous, nous découvrirons les méthodes pour créer de fausses IP !
WindowTop est un outil qui a la capacité d'atténuer toutes les fenêtres d'application et tous les programmes exécutés sur les ordinateurs Windows 10. Vous pouvez également utiliser une interface à fond sombre sur Windows.
La barre de langue sous Windows 8 est une barre d'outils de langue miniature conçue pour s'afficher automatiquement sur l'écran du bureau. Cependant, de nombreuses personnes souhaitent masquer cette barre de langue dans la barre des tâches.
La connectivité sans fil est aujourd’hui une nécessité et pour cette raison, la sécurité sans fil est essentielle pour garantir la sécurité de votre réseau interne.
Maximiser la vitesse d’Internet est essentiel pour optimiser votre connexion réseau. Vous pouvez vivre une expérience de divertissement et de travail optimale en utilisant des ordinateurs, des téléviseurs connectés à Internet, des consoles de jeux, etc.
