Breaking News

นักวิจัยพบการแนวทางใหม่ในการใช้ ICMP ทำ DoS ใส่ Firewall หลายค่ายให้ CPU ขึ้นสูงได้

การทำ DoS ด้วย ICMP นั้นไม่ใช่เรื่องใหม่และผู้ผลิต Firewall หลายค่ายก็ป้องกันได้แล้ว แต่นักวิจัยกลับพบแนวทางใหม่ในการใช้ ICMP โจมตี DoS Firewall ได้ถึงแม้จะไม่ได้ใช้ Bandwidth สูงนักก็ตาม

Credit: ShutterStock.com
Credit: ShutterStock.com

TDC Security Operations Center บริษัทผู้ให้บริการด้านการรักษาความปลอดภัยได้ออกมาเผยแพร่ข้อมูลเกี่ยวกับการโจมตีด้วย ICMP รูปแบบใหม่ที่ทำให้ Firewall จากหลายผู้ผลิตนั้นมี CPU ขึ้นสูงได้โดยไม่ต้องใช้ Bandwidth จำนวนมากนักในการโจมตี

ICMP นั้นมีหลายรูปแบบ การทำ Ping Flood ที่เรามักจะรู้จักกันนั้นมักจะใช้ ICMP Type 8 Code 0 แต่การโจมตีรูปแบบใหม่ที่ค้นพบนี้ใช้ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) ในการโจมตี ซึ่งระบบ Firewall ที่อนุญาตให้มีการเชื่อมต่อเข้ามาด้วย ICMP Type 3 Code 3 ที่ Interface ภายนอกได้นี้ก็จะสามารถตกเป็นเหยื่อของการโจมตีนี้ได้ และการโจมตีด้วย ICMP Type 3 Code 3 นี้ก็มีชื่อเรียกว่า BlackNurse

ในรายงานระบุว่า การโจมตีที่ระดับ 15-18 Mbps หรือ 40,000 – 50,000 Packets/s นั้นก็สสามารถทำให้ CPU ของ Firewall หลายค่ายขึ้นสูงได้แล้ว อีกทั้งปัญหานี้ยังจะเกิดได้ง่ายขึ้นหากเปิด Firewall Log เอาไว้ และทำให้เกิด DoS ใส่ Firewall จนทำให้ผู้ใช้งานภายในองค์กรไม่สามารถทำการเชื่อมต่อกับ Internet หรือระบบเครือข่ายภายในองค์กรที่ต้องทำ Routing ผ่าน Firewall ตัวนั้นๆ ได้

ที่มาของปัญหานี้ยังไม่แน่ชัดนักเพราะผู้ผลิต Firewall แต่ละค่ายต่างก็มีวิธีการรับมือกับ ICMP ที่แตกต่างกันไป แต่ทีมวิจัยก็พบว่าผู้ผลิตหลายรายที่ระบุว่า ICMP นั้นเป็น Protocol ที่ควรเปิดให้เชื่อมต่อเข้ามาจากภายนอกได้ ต่างก็ตกเป็นเหยื่อของกรณีนี้ แต่การปิด ICMP เองนั้นก็อาจส่งผลกระทบกับหลายๆ ระบบได้จริงๆ

องค์กรที่ต้องการทดสอบว่าอุปกรณ์ของตนเองมีช่องโหว่เหล่านี้หรือไม่นั้น สามารถติดตั้ง Ubuntu และลง Hping3 พร้อมทดสอบด้วยคำสั่ง hping3 -1 -C 3 -K 3 -i u20 หรือ hping3 -1 -C 3 -K 3 –flood ก็ได้ และทำการตรวจสอบ CPU Load บน Firewall ได้ทันที

ทีมวิจัยได้แนะนำว่าการบรรเทาปัญหานี้ชั่วคราวที่ได้ผผลเร็วที่สุดก็คือการปิด ICMP Type 3 Code 3 ไปก่อน แต่การทำแบบนี้ก็อาจส่งผลกับการเชื่อมต่อบางประเภท ไม่ว่าจะเป็น ICMP Path MTU Discovery, IPsec หรือ PPTP ก็ตาม

อีกทางหนึ่งที่สามารถแก้ปัญหานี้ได้ก็คือการใช้ระบบป้องกัน DDoS จากทาง ISP โดยตรงนั่นเอง

ผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มได้ที่ http://soc.tdc.dk/blacknurse/blacknurse.pdf เลยนะครับ ในนี้มีเขียนวิธีตรวจจับการโจมตี BlackNurse นี้ด้วย Snort เอาไว้ด้วยครับ

ที่มา: https://threatpost.com/blacknurse-low-volume-dos-attack-targets-firewalls/121916/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ARUBA แจกฟรี คู่มือการออกแบบ LAN/WLAN สำหรับผู้ใช้งาน 500 คน ฉบับปี 2019

Aruba Networks ผู้พัฒนาเทคโนโลยีระบบเครือข่ายและความมั่นคงปลอดภัยสำหรับองค์กร ได้ออกเอกสาร ARUBA CAMPUS FOR MIDSIZE NETWORKS: Design & Deployment Guide เพื่อเป็นแนวทางให้แก่เหล่า IT Manager, Network Engineer และผู้ดูแลระบบ IT ในการออกแบบระบบเครือข่ายที่มีผู้ใช้งานจำนวนไม่เกิน 500 คน โดยมีรายละเอียดและวิธีการโหลดเอกสารฟรีๆ ดังนี้

Microsoft เตรียมเพิ่ม DNS over HTTPS (DOH) บน Windows 10

Microsoft ประกาศแผนการพัฒนาระบบปฏิบัติการ Windows 10 ให้รองรับการใช้โปรโตคอล DNS over HTTPS (DoH) ในอนาคต เพื่อเพิ่มความมั่นคงปลอดภัยและความเป็นส่วนบุคคลให้แก่ผู้ใช้งาน ในขณะที่ยังคงเตรียมเพิ่มการรองรับ DNS over TLS …