การทำ DoS ด้วย ICMP นั้นไม่ใช่เรื่องใหม่และผู้ผลิต Firewall หลายค่ายก็ป้องกันได้แล้ว แต่นักวิจัยกลับพบแนวทางใหม่ในการใช้ ICMP โจมตี DoS Firewall ได้ถึงแม้จะไม่ได้ใช้ Bandwidth สูงนักก็ตาม
TDC Security Operations Center บริษัทผู้ให้บริการด้านการรักษาความปลอดภัยได้ออกมาเผยแพร่ข้อมูลเกี่ยวกับการโจมตีด้วย ICMP รูปแบบใหม่ที่ทำให้ Firewall จากหลายผู้ผลิตนั้นมี CPU ขึ้นสูงได้โดยไม่ต้องใช้ Bandwidth จำนวนมากนักในการโจมตี
ICMP นั้นมีหลายรูปแบบ การทำ Ping Flood ที่เรามักจะรู้จักกันนั้นมักจะใช้ ICMP Type 8 Code 0 แต่การโจมตีรูปแบบใหม่ที่ค้นพบนี้ใช้ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) ในการโจมตี ซึ่งระบบ Firewall ที่อนุญาตให้มีการเชื่อมต่อเข้ามาด้วย ICMP Type 3 Code 3 ที่ Interface ภายนอกได้นี้ก็จะสามารถตกเป็นเหยื่อของการโจมตีนี้ได้ และการโจมตีด้วย ICMP Type 3 Code 3 นี้ก็มีชื่อเรียกว่า BlackNurse
ในรายงานระบุว่า การโจมตีที่ระดับ 15-18 Mbps หรือ 40,000 – 50,000 Packets/s นั้นก็สสามารถทำให้ CPU ของ Firewall หลายค่ายขึ้นสูงได้แล้ว อีกทั้งปัญหานี้ยังจะเกิดได้ง่ายขึ้นหากเปิด Firewall Log เอาไว้ และทำให้เกิด DoS ใส่ Firewall จนทำให้ผู้ใช้งานภายในองค์กรไม่สามารถทำการเชื่อมต่อกับ Internet หรือระบบเครือข่ายภายในองค์กรที่ต้องทำ Routing ผ่าน Firewall ตัวนั้นๆ ได้
ที่มาของปัญหานี้ยังไม่แน่ชัดนักเพราะผู้ผลิต Firewall แต่ละค่ายต่างก็มีวิธีการรับมือกับ ICMP ที่แตกต่างกันไป แต่ทีมวิจัยก็พบว่าผู้ผลิตหลายรายที่ระบุว่า ICMP นั้นเป็น Protocol ที่ควรเปิดให้เชื่อมต่อเข้ามาจากภายนอกได้ ต่างก็ตกเป็นเหยื่อของกรณีนี้ แต่การปิด ICMP เองนั้นก็อาจส่งผลกระทบกับหลายๆ ระบบได้จริงๆ
องค์กรที่ต้องการทดสอบว่าอุปกรณ์ของตนเองมีช่องโหว่เหล่านี้หรือไม่นั้น สามารถติดตั้ง Ubuntu และลง Hping3 พร้อมทดสอบด้วยคำสั่ง hping3 -1 -C 3 -K 3 -i u20 หรือ hping3 -1 -C 3 -K 3 –flood ก็ได้ และทำการตรวจสอบ CPU Load บน Firewall ได้ทันที
ทีมวิจัยได้แนะนำว่าการบรรเทาปัญหานี้ชั่วคราวที่ได้ผผลเร็วที่สุดก็คือการปิด ICMP Type 3 Code 3 ไปก่อน แต่การทำแบบนี้ก็อาจส่งผลกับการเชื่อมต่อบางประเภท ไม่ว่าจะเป็น ICMP Path MTU Discovery, IPsec หรือ PPTP ก็ตาม
อีกทางหนึ่งที่สามารถแก้ปัญหานี้ได้ก็คือการใช้ระบบป้องกัน DDoS จากทาง ISP โดยตรงนั่นเอง
ผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มได้ที่ http://soc.tdc.dk/blacknurse/blacknurse.pdf เลยนะครับ ในนี้มีเขียนวิธีตรวจจับการโจมตี BlackNurse นี้ด้วย Snort เอาไว้ด้วยครับ
ที่มา: https://threatpost.com/blacknurse-low-volume-dos-attack-targets-firewalls/121916/