Tấn công DoS BlackNurse

Các nhà nghiên cứu đã tìm ra một loại tấn công mới cho phép một máy tính làm down (tắt) Server hay Firewall doanh nghiệp. Kẻ tấn công sẽ gửi rất nhiều gói ICMP TYPE 3 (Destination Unreachable) và CODE 3 (Port Unreachable) tới 1 máy chủ và làm máy chủ đó phải xử lý tiêu thụ rất nhiều tài nguyên CPU để xử lý chúng. Loại tấn công này gọi là BlackNurse.

    Các nhà nghiên cứu đã thử gửi khoảng 40.000 đến 50.000 gói ICMP TYPE 3 CODE 3 đến 1 Firewall và kết quả thật tệ, các máy trong LAN (các máy sau Firweall) không thể gửi và nhận Traffic từ Internet được nữa, chỉ khi chặn cuộc tấn công này lại thì các máy trong LAN mới kết nối được Internet bình thường.

ping_dead_1

Như ta đã biết PING là công cụ thường sử dụng rộng rãi để chuẩn đoán hệ thống có ổn định hay không. Vì thế hầu hết các máy chủ đều đang bật giao thức ICMP.

Ông Kane Ta – Trưởng phòng bảo mật hệ thống của Công ty bảo mật Website TABATECH khuyên mọi người: “nên tắt ICMP Type 3 Code 3 tại đầu vào (Input) Interface WAN trên Firewall ngay lập tức, một kẻ không thực sự chuyên nghiệp về an ninh mạng cũng có thể khiến hệ thống của bạn chập chờn!”

Cách chặn tấn công PING BlackNurse

Để chặn được loại tấn công DoS nguy hiểm này, hãy tắt chúng trên interface WAN bằng cách cấu hình Firewall, ví dụ cấu hình firewall IPtables thêm dòng rule sau:

IF_WAN=”eth0
iptables -A INPUT -i $IF_WAN -p ICMP --icmp-type 3 -j DROP

LEAVE A REPLY

Please enter your comment!
Please enter your name here