นักวิจัยพบการแนวทางใหม่ในการใช้ ICMP ทำ DoS ใส่ Firewall หลายค่ายให้ CPU ขึ้นสูงได้

November 14, 2016 Cybersecurity, IT Knowledge, IT Researches, Network Security, Threats Update

การทำ DoS ด้วย ICMP นั้นไม่ใช่เรื่องใหม่และผู้ผลิต Firewall หลายค่ายก็ป้องกันได้แล้ว แต่นักวิจัยกลับพบแนวทางใหม่ในการใช้ ICMP โจมตี DoS Firewall ได้ถึงแม้จะไม่ได้ใช้ Bandwidth สูงนักก็ตาม

Credit: ShutterStock.com
Credit: ShutterStock.com

TDC Security Operations Center บริษัทผู้ให้บริการด้านการรักษาความปลอดภัยได้ออกมาเผยแพร่ข้อมูลเกี่ยวกับการโจมตีด้วย ICMP รูปแบบใหม่ที่ทำให้ Firewall จากหลายผู้ผลิตนั้นมี CPU ขึ้นสูงได้โดยไม่ต้องใช้ Bandwidth จำนวนมากนักในการโจมตี

ICMP นั้นมีหลายรูปแบบ การทำ Ping Flood ที่เรามักจะรู้จักกันนั้นมักจะใช้ ICMP Type 8 Code 0 แต่การโจมตีรูปแบบใหม่ที่ค้นพบนี้ใช้ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) ในการโจมตี ซึ่งระบบ Firewall ที่อนุญาตให้มีการเชื่อมต่อเข้ามาด้วย ICMP Type 3 Code 3 ที่ Interface ภายนอกได้นี้ก็จะสามารถตกเป็นเหยื่อของการโจมตีนี้ได้ และการโจมตีด้วย ICMP Type 3 Code 3 นี้ก็มีชื่อเรียกว่า BlackNurse

ในรายงานระบุว่า การโจมตีที่ระดับ 15-18 Mbps หรือ 40,000 – 50,000 Packets/s นั้นก็สสามารถทำให้ CPU ของ Firewall หลายค่ายขึ้นสูงได้แล้ว อีกทั้งปัญหานี้ยังจะเกิดได้ง่ายขึ้นหากเปิด Firewall Log เอาไว้ และทำให้เกิด DoS ใส่ Firewall จนทำให้ผู้ใช้งานภายในองค์กรไม่สามารถทำการเชื่อมต่อกับ Internet หรือระบบเครือข่ายภายในองค์กรที่ต้องทำ Routing ผ่าน Firewall ตัวนั้นๆ ได้

ที่มาของปัญหานี้ยังไม่แน่ชัดนักเพราะผู้ผลิต Firewall แต่ละค่ายต่างก็มีวิธีการรับมือกับ ICMP ที่แตกต่างกันไป แต่ทีมวิจัยก็พบว่าผู้ผลิตหลายรายที่ระบุว่า ICMP นั้นเป็น Protocol ที่ควรเปิดให้เชื่อมต่อเข้ามาจากภายนอกได้ ต่างก็ตกเป็นเหยื่อของกรณีนี้ แต่การปิด ICMP เองนั้นก็อาจส่งผลกระทบกับหลายๆ ระบบได้จริงๆ

องค์กรที่ต้องการทดสอบว่าอุปกรณ์ของตนเองมีช่องโหว่เหล่านี้หรือไม่นั้น สามารถติดตั้ง Ubuntu และลง Hping3 พร้อมทดสอบด้วยคำสั่ง hping3 -1 -C 3 -K 3 -i u20 หรือ hping3 -1 -C 3 -K 3 –flood ก็ได้ และทำการตรวจสอบ CPU Load บน Firewall ได้ทันที

ทีมวิจัยได้แนะนำว่าการบรรเทาปัญหานี้ชั่วคราวที่ได้ผผลเร็วที่สุดก็คือการปิด ICMP Type 3 Code 3 ไปก่อน แต่การทำแบบนี้ก็อาจส่งผลกับการเชื่อมต่อบางประเภท ไม่ว่าจะเป็น ICMP Path MTU Discovery, IPsec หรือ PPTP ก็ตาม

อีกทางหนึ่งที่สามารถแก้ปัญหานี้ได้ก็คือการใช้ระบบป้องกัน DDoS จากทาง ISP โดยตรงนั่นเอง

ผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มได้ที่ http://soc.tdc.dk/blacknurse/blacknurse.pdf เลยนะครับ ในนี้มีเขียนวิธีตรวจจับการโจมตี BlackNurse นี้ด้วย Snort เอาไว้ด้วยครับ

ที่มา: https://threatpost.com/blacknurse-low-volume-dos-attack-targets-firewalls/121916/

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CyberGenics ผนึก Ensign InfoSecurity ยกระดับ Cybersecurity ไทย รับมือภัยยุค AI และความเสี่ยง Quantum Safe [PR]

บริษัท ไซเบอร์จีนิคส์ จำกัด (CyberGenics) ผู้นำด้านความมั่นคงปลอดภัยไซเบอร์แบบครบวงจรในเครือบริษัท จีเอเบิล จำกัด (มหาชน) (G-ABLE) ประกาศลงนามบันทึกความเข้าใจ (MOU) กับ Ensign InfoSecurity ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ชั้นนำจากสิงคโปร์ …

Trend Micro เตือนช่องโหว่ Zero-day บน Apex One ถูกใช้โจมตีจริงแล้ว

Trend Micro ออกแพตช์แก้ช่องโหว่ Zero-day CVE-2026-34926 บน Apex One เวอร์ชัน On-premises หลังพบว่าถูกใช้โจมตีจริงแล้ว ขณะที่ CISA สั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์ภายในวันที่ …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand