BlackNurse: DoS-Angriff auf die Firewall

Um Infrastruktursysteme zu überlasten, setzen DDoS-Angreifer in der Regel auf Botnetze mit zehntausenden oder hunderttausenden von infizierten Rechnern. Im November 2016 veröffentlichte das TDC SOC CERT (Security Operations Center of the Danish Telecom Operator TDC) eine neue Angriffsmethode.4 Sie kommt ohne ein Netz von Fremdrechnern und große Angriffsvolumen aus. Für die sogenannten „BlackNurse“-Attacken ist nur ein einzelner Mittelklasse-Laptop sowie eine Internetanbindung von 15 bis 18 Mbps erforderlich. Die Angriffe basieren auf dem Internet Control Message Protocol (ICMP). Das dient in Netzwerken zum Austausch von Informations- und Fehlermeldungen.

Mit präparierten Type3 Code3 ICMP-Paketen nutzen DDoS-Angreifer Sicherheitslücken in Firewall-Systemen aus. ICMP-Pakete vom Typ 3 spezifizieren in der Kommunikation zwischen Router und Server, dass das Ziel nicht erreicht ist. Das Codefeld (1-15) benennt die Fehlerquelle noch genauer.

Einige typische ICMP-Type 3- Protokoll-Variationen lauten:

• Type 3, Code 0 (Echo reply): Network unreachable error
• Type 3, Code 1: Host unreachable error.
• Type 3, Code 2: Protocol unreachable error
• Type 3, Code 3: Port unreachable error (the designated protocol is unable to inform the host of the incoming message).
• Type 3, Code 4: Packet fragmentation is required.
• Type 3, Code 5: Source route failed error.
• Type 3, Code 13: Communication administratively prohibited

ICMP-Traffic wird von den meisten Firewalls geblockt, weil theoretisch jede ICMP-Nachricht für DDoS-Attacken (ICMP-Floods) missbraucht werden kann. „Destination/Port Unreachable“-Pakete sind jedoch häufig erlaubt, weil sie eine Antwort auf vorangehende Aktivitäten des Client-Computers darstellen.

Die Abarbeitung der Code3 ICMP-Pakete beansprucht allerdings signifikant mehr CPU als bei vergleichbaren ICMP-Echo-Paketen mit dem Ping-Kommando üblich. Schickt ein einzelner Laptop solche ICMP-Pakete mit einem relativ geringen Gesamtvolumen von 15 bis 18 Mbps an den Server – das entspricht ca. 40.000 bis 50.000 Pakten pro Sekunde – ist dieser schon überlastet.Das hat zur Folge, dass die Firewall keine neuen Pakete mehr annehmen oder weiterleiten kann. Die Infrastrukturen hinter der Firewall sind somit offline. Stoppt die Attacke, reguliert sich die CPU der Firewall wieder und der Server kann normal arbeiten.

Wer überprüfen will, ob das eigene Netzwerk durch BlackNurse-Attacken verwundbar ist, kann selber ICMP-Type3-Code3 Pakete erzeugen und an das Zielsystem senden. Dabei hilft das Security-Tool hping3. An der CPU-Auslastung lässt sich leicht ablesen, wie verwundbar das zu testende System ist.

Die benötigten Befehle lauten:

• hping3 -1 -C 3 -K 3 -i u20 <target ip>
• hping3 -1 -C 3 -K 3 –flood <target ip>

Anfällig für BlackNurse-Attacken sind laut Tests Firewalls von Cisco Systems, Palo Alto Networks, SonicWall und Zyxel. Linux-Systeme mit IptTables sowie OpenBSD 6.0, Windows Firewalls und pfSense sind hingegen nicht betroffen.

Ein DDoS-Schutz, der ausschließlich volumetrische Attacken blockt, versagt bei BlackNurse-Attacken. Noch bevor der Netzwerk-Traffic mit den ICMP-Paketen die Firewall erreicht, muss er inhalts- und verhaltensbasiert analysiert sowie gefiltert werden. Eine granulare Paketinspektion ist dabei unerlässlich. Das LSOC empfiehlt außerdem, die Firewalls so zu konfigurieren, dass sie keine ICMP-Pakete mehr von außerhalb des Netzwerks akzeptieren.

Damit werden gleichzeitig auch die klassischen ICMP-Attacken verhindert, die auf ICMP-Type9-Code0-Paketen (Type9 = Router Advertisement) basieren. Diese sogenannten Ping-Floods überlasten den Server durch eine Vielzahl von ICMP-Echo-Paketen, die dieser mit identischen Datenpaketen zu beantworten versucht (Pong). Im Unterschied zu den BlackNurse-Attacken sind Ping-Floods aber den volumetrischen DDoS-Angriffen zuzuordnen. Sie machen nach Analysen des LSOC immer noch 5-6% aller abgewehrten DDoS-Attacken aus.

Share this post