'Blacknurse'-angreb sender med forbavsende lidt trafik firewalls til tælling

Skulle en stateful inspection firewall (hvilket er den alle vel.) ikke automatisk droppe disse pakker, da der ikke er en tilsvarende udgående pakke, der besvares?

Det er næsten oplagt at det netop er den kontrolfunktion som forårsager den høje CPU belastning og deraf følgende DOS.

... er vi tilbage hvor vi begyndte. Dette er ingen nyhed. Det er velkendt at dette er muligt og i øvrigt veldokumenteret mange steder.

/Peter

Det er nok det flaget i min gamle routere, under firewall/DOS med titlen "block ping of dead" betyder. Er det ikke over samme hammel.

Nu sætter jeg mig ikke meget ind i dybden i firewall. har andet at bruge min "legetid" til. Så håber det er noget at producenten har styr på, sikkert også derfor eller af nogen andre, at jeg fik en mail om at der skal være styr på opdateringer i firewall, at der er kommet en ny version, og at der sker automatisk, hvis man har licens. Ellers skal man lige ind og gøre det selv.

Den gode nyhed, bemærker The Register, er, at angrebet er trivielt at blokere ved simpelthen at droppe ICMP-trafik.

Hvis man bevidstløst blokerer al ICMP-trafik holder Path MTU Discovery op med at virke, så det er næppe nogen god løsning. Det vil give problemer i alle cases hvor MTU skal være mindre end de normale 1500 bytes (tænk tunnel-løsninger o.l.).

Det ligner mest af alt et sørgeligt reklamefremstød for TDC Security, hvori man ridder med på bølgen med navngivning af "opdagelserne"..

Det er interessant at læse kommentarer her da der må være nogen der har misforstået udfordringen.

Som der også er beskrevet på siden http://blacknurse.dk ICMP ATTACK HISTORY

Jan 1997 - Ping of death Type 8 Code 3. Malformed ping packets Larger then 1500 Bytes - Normal was 65.536 bytes Result: Crash, Reboot, Hangs and mixed results

April 1997 - Ping flodding Type 8 Code 0 Normal ping packets sent very fast to systems. You need more bandwidth than the victim. Result: Consume enough of its CPU cycles for a user to notice a significant slowdown.

We invented firewalls to prevent stuff like this !

November 2016 – The Blacknurse Attack Type 3 Code 3 Send NORMAL Destination Unreachable, Port Unreachable packets fast. You do NOT need more bandwidth than the victim. Result: High CPU. Users from LAN-side can’t surf the Internet.

Jeg mener ikke det er reklamefremstød eller gamle nyheder når nye dyre firewall i 2016 kan lægges ned af så simpelt og trivielt angreb. Jeg mener heller ikke det er reklamefremstød når denne type angreb er set flere gange med stor success inden for de seneste år.

Jeg undre mig mere over at et så "gammelt" angreb som der er nogle der stater kan resultere i så højt CPU load at der ikke kommer trafik igennem, og leverandørene siger det ikke er noget problem.

Og sidst men ikke mindst husk det ikke er ALT ICMP trafik man bør blokere men primært code 3 type 3 (Det er et retur svar på en pakke der aldrig er sendt)

blot mine tanker :)