Accueil Blacknurse : une attaque DDoS « nouvelle » … déjà connue et...

Blacknurse : une attaque DDoS « nouvelle » … déjà connue et neutralisable

6cure Security Expert Team

Description du problème

Le 10 novembre, des chercheurs Danois du SOC TDC (http://blacknurse.dk/) ont souhaité mettre en lumière une veille recette d’attaque DDoS fondée sur le protocole ICMP et baptisée BlackNurse. Historiquement, les attaques ICMP les plus populaires utilisent des paquets ICMP de type « Ping » (ICMP Type 8 Code 0). L’attaque BlackNurse utilise des paquets ICMP de type « Port unreachable » (ICMP Type 3 Code 3). En temps normal, ce type de paquets ICMP est généré par une destination qui reçoit un paquet sur un port fermé. Cette destination peut être un serveur, un routeur, ou encore un pare-feu. Ces messages sont nécessaires au fonctionnement des méthodes « ICMP Path MTU Discovery », notamment utilisées par certains flux IPsec et PPTP. Il n’est donc pas recommandé de les interdire totalement.

Le SOC TDC a montré qu’avec 40 à 50000 paquets par seconde de ce type (représentant moins de 20Mbps de trafic ICMP), un attaquant pouvait causer une défaillance majeure sur certains équipements, en particulier en faisant grimper la charge CPU de pare-feux, créant alors un déni de service pour les infrastructures « protégées » par ces derniers. Les équipements vulnérables comprennent notamment des produits fournis par Cisco (ASA 55xx), SonicWall, Palo Alto ou encore Zyxel.

L’attaque est très facile à mener, et les outils de tests traditionnels tels que hping3 peuvent très bien la reproduire.

Des parades existent

Des solutions anti-DDoS spécialisées (telles que par exemple 6cure Threat Protection(R)), qui éliminent nativement tous types de floods ICMP, quels que soient les types et codes utilisés, doivent permettre de répondre à cette problématique.

L’activation d’une fonctionnalité éliminant les requêtes redondantes permet de contraindre et nettoyer les flux malveillants. L’utilisation d’une option de type « Blacklist » peut renforcer cette protection en identifiant et en mettant en quarantaine les sources de l’attaque.

Au-delà du concept présenté par le SOC TDC, une industrialisation de la menace BlackNurse est à prévoir, avec des variantes plus nocives qui pourraient déclencher l’attaque depuis un botnet hyper-distribué en employant des messages ICMP « Port Unreachable » de grande taille.

En ce sens, la protection apportée par l’activation combinée de différents mécanismes de mitigation peut garantir la totale disponibilité de la bande passante ainsi ciblée.