本文讲的是低带宽DDoS攻击可瘫痪防火墙，研究人员警告：特定类型的低带宽分布式拒绝服务(DDoS)攻击，可以导致某些广为使用的企业级防火墙陷入暂时的拒绝服务状态。

在分析客户遭到的DDoS攻击时，丹麦电信运营商TDC的安全运营中心发现：基于网际报文控制协议(ICMP)的某些攻击，甚至能以低带宽造成严重破坏。

ICMP攻击也称为ping洪泛攻击，是很常见的攻击形式，但通常依赖“回显请求”包(Type 8 Code 0)。引起TCD注意的攻击，则是基于ICMP“端口不可达”包(Type 3 Code 3)。

该攻击被TDC命名为“黑护士(BlackNurse)”，甚至能在低至15-18Mbps的带宽下依然十分有效，即便受害者拥有高达 1 Gbps 的互联网连接，其防火墙仍会遭到破坏。

在对“黑护士”攻击的描述报告中，TDC写道：“我们在不同防火墙上观测到的影响，通常都是高CPU占用。攻击进行时，局域网用户将无法从互联网收发数据。攻击一旦停止，我们观测的所有防火墙即恢复正常工作。”

少量仅有大约15-18Mbps上行速率的互联网连接，就能让大公司处于拒绝服务状态直到攻击得以缓解。

专家指出，此类攻击已有20多年历史，但公司企业仍未充分认识到这些风险。对丹麦IP段的扫描揭示，有超过170万台设备响应 ICMP ping——意味着此类攻击可能造成巨大影响。

目前，研究人员已确认，“黑护士”攻击对思科ASA和SonicWall防火墙有效，但很可能也影响到 Palo Alto Networks 和其他厂商的产品。Linux下的Iptables防火墙、MikroTik公司产品，以及OpenBSD不受影响。

虽然某些情况下攻击是因防火墙有漏洞才能成功，但一些厂商将责任归到了配置问题上。检测规则和概念验证代码已放出，用户可用之发现攻击和测试自己的设备。

“黑护士”网站将SonicWall拉进了受影响产品列表中，备注称：当防火墙被错误配置时攻击才能成功。SonicWall表示，正与TDC进行交涉。该厂商的测试显示，正常的ICMP洪泛保护开启时，其防火墙不受此类攻击影响。

思科在今年6月就被告知了此类攻击，但TDC称该公司不准备将此问题归类为安全漏洞。

在一份声明中，思科称其已经注意到了可能针对防火墙的新型DoS攻击。该问题不是厂商特定的，没有利用安全漏洞。在一次攻击事件中，被提到的ASA设备仍在执行既定的安全策略，并没有被破坏。

思科的安全方法在产品构想之初就开始了，且整个部署中都会延续。该研究中提到的ASA防火墙，针对DoS威胁的防护是多层的，我们与客户共同协作，确保DoS安全为网络中更上层的服务负责。

思科ASA防火墙案例中，TDC建议拒绝 ICMP Type 3 报文发送到该产品的WAN口，或者升级到更高端的多核ASA防火墙——“黑护士”攻击对此类系统没那么有效。专业反DDoS服务也能缓解此类威胁。

原文发布时间为：十一月 14, 2016

本文作者：nana本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛原文链接：