Mit präparierten Type3 Code3 ICMP-Paketen nutzen DDoS-Angreifer Sicherheitslücken in Firewall-Systemen aus. ICMP-Pakete vom Typ 3 spezifizieren in der Kommunikation zwischen Router und Server, dass das Ziel nicht erreicht ist. Das Codefeld (1-15) benennt die Fehlerquelle noch genauer.
Einige typische ICMP-Type 3- Protokoll-Variationen lauten:
ICMP-Traffic wird von den meisten Firewalls geblockt, weil theoretisch jede ICMP-Nachricht für DDoS-Attacken (ICMP-Floods) missbraucht werden kann. „Destination/Port Unreachable“-Pakete sind jedoch häufig erlaubt, weil sie eine Antwort auf vorangehende Aktivitäten des Client-Computers darstellen.
Die Abarbeitung der Code3 ICMP-Pakete beansprucht allerdings signifikant mehr CPU als bei vergleichbaren ICMP-Echo-Paketen mit dem Ping-Kommando üblich. Schickt ein einzelner Laptop solche ICMP-Pakete mit einem relativ geringen Gesamtvolumen von 15 bis 18 Mbps an den Server – das entspricht ca. 40.000 bis 50.000 Pakten pro Sekunde – ist dieser schon überlastet.Das hat zur Folge, dass die Firewall keine neuen Pakete mehr annehmen oder weiterleiten kann. Die Infrastrukturen hinter der Firewall sind somit offline. Stoppt die Attacke, reguliert sich die CPU der Firewall wieder und der Server kann normal arbeiten.
Wer überprüfen will, ob das eigene Netzwerk durch BlackNurse-Attacken verwundbar ist, kann selber ICMP-Type3-Code3 Pakete erzeugen und an das Zielsystem senden. Dabei hilft das Security-Tool hping3. An der CPU-Auslastung lässt sich leicht ablesen, wie verwundbar das zu testende System ist.
Die benötigten Befehle lauten:
Anfällig für BlackNurse-Attacken sind laut Tests Firewalls von Cisco Systems, Palo Alto Networks, SonicWall und Zyxel. Linux-Systeme mit IptTables sowie OpenBSD 6.0, Windows Firewalls und pfSense sind hingegen nicht betroffen.
Ein DDoS-Schutz, der ausschließlich volumetrische Attacken blockt, versagt bei BlackNurse-Attacken. Noch bevor der Netzwerk-Traffic mit den ICMP-Paketen die Firewall erreicht, muss er inhalts- und verhaltensbasiert analysiert sowie gefiltert werden. Eine granulare Paketinspektion ist dabei unerlässlich. Das LSOC empfiehlt außerdem, die Firewalls so zu konfigurieren, dass sie keine ICMP-Pakete mehr von außerhalb des Netzwerks akzeptieren.
Damit werden gleichzeitig auch die klassischen ICMP-Attacken verhindert, die auf ICMP-Type9-Code0-Paketen (Type9 = Router Advertisement) basieren. Diese sogenannten Ping-Floods überlasten den Server durch eine Vielzahl von ICMP-Echo-Paketen, die dieser mit identischen Datenpaketen zu beantworten versucht (Pong). Im Unterschied zu den BlackNurse-Attacken sind Ping-Floods aber den volumetrischen DDoS-Angriffen zuzuordnen. Sie machen nach Analysen des LSOC immer noch 5-6% aller abgewehrten DDoS-Attacken aus.