丹麥的資安業者TDC Security Operations Center上周展示了名為「黑護士」(BlackNurse)的攻擊行動,它是一個低頻寬的網路控制訊息協定(Internet Control Message Protocol,ICMP)攻擊,只要利用一台筆電就能阻斷知名防火牆的服務,包含思科(Cisco)、合勤(Zyxel)、SonicWall及Palo Alto Networks。
ICMP為路由器與其他網路裝置用來傳送及接收錯誤訊息的協定,傳統上的攻擊模式是傳送大量的ICMP請求,然而黑護士卻只是傳遞少量基於無法到達目的地(ICMP Type 3)之無法存取傳輸埠(Code 3)的請求至攻擊目標,就能癱瘓特定的防火牆。
TDC說明,當使用者允許ICMP Type 3 Code 3至外部介面時,就算只利用少量頻寬,都能發揮黑護士攻擊的效益。
所謂的少量頻寬為15~18Mbps,約是每秒傳遞4~5萬個封包,當啟動黑護士攻擊時,目標對象的CPU即會過載,持續的攻擊將造成LAN端的使用者無法再存取網路。
在測試時TDC只使用一台尋常的筆電就能製造180Mbps的阻斷服務(DoS)攻擊流量,雖然TDC也嘗試以Nexus 6智慧型手機進行攻擊,但發現它只能製造9.5Mbps的攻擊流量,尚不足以造成威脅。
此外,TDC發現Cisco ASA firewall 55xx系列的產品問題最大,就算封鎖了所有傳送至防火牆的ICMP流量,只需要4Mbps的流量就能癱瘓它們。
至於同樣被點名的Palo Alto Networks則說該公司Next-Generation系列的防火牆預設值即禁止ICMP請求,因此只有在預設值被變更的少數情況下才會曝露於此一安全風險中。