Ataques DDoS "BlackNurse" de menos de 20Mbps pueden inutilizar algunos firewall
Tras el gran ataque de denegación de servicio distribuido, o DDoS, llevado a cabo contra DynDNS hace un par de semanas, muchos piratas informáticos han empezado a interesarse de nuevo por este tipo de ataques tan peligrosos como difíciles de mitigar. Muchas empresas optan por proteger sus redes con cortafuegos empresariales especializados en estos y otros ataques de red, sin embargo, es posible que muchos modelos de firewall se queden sin servicio si se enfrentan a un nuevo tipo de ataques de bajo ancho de banda denominados como “BlackNurse”.
Existen muchos tipos de ataques DDoS diferentes en función del protocolo y las técnicas utilizadas, sin embargo, varios expertos de seguridad han llevado a cabo un estudio en el que demuestran que los ataques más peligrosos son los que se llevan a cabo a través del protocolo Internet Control Message Protocol (ICMP), aunque estos tengan un ancho de banda muy bajo, inferior incluso a 20Mbps.
Los ataques DDoS a través del protocolo ICMP se conocen también como “ataques ping flood” son los más habituales, sin embargo, dentro del protocolo ICMP hay distintos tipos y códigos. Según los expertos de seguridad, los más peligrosos son los ICMP con paquetes Type 3 Code 3.
Estos expertos de seguridad aseguran que estos ataques están enfocados a dejar sin servicio un cortafuegos en vez de a saturar la línea. Por ello, estos ataques DDoS pueden ser mortíferos incluso con un ancho de banda de 15Mbps, aunque la víctima tenga una conexión de 1Gbps.
De esta manera, cuando un pirata informático lleva a cabo un ataque DDoS del tipo BlackNurse, mientras el ataque está activo, el cortafuegos puede quedar saturado por la cantidad de tráfico a procesar, aunque el ancho de banda no sea tan elevado, e impedirá que los usuarios de la LAN se conecten a la red y que desde la WAN otros usuarios puedan conectarse al servidor.
Si el firewall se bloquea durante el ataque DDoS, no se puede establecer ninguna conexión
Cuando un pirata informático comienza a realizar un ataque DDoS de este tipo, el cortafuegos de la red de la víctima queda totalmente bloqueado al no ser capaz de procesar las conexiones y, por lo tanto, impide que se establezcan otras conexiones, ni hacia dentro ni hacia fuera. El cortafuegos quedará totalmente bloqueado hasta que los técnicos consigan mitigar el ataque o hasta que los atacantes cesen el ataque DDoS, haciendo que todo vuelva a funcionar con normalidad.
Los expertos de seguridad aseguran que estos ataques están enfocados principalmente contra los cortafuegos profesionales de Cisco ASA y SonicWall, aunque es muy probable que otros modelos de otros fabricantes, como Palo Alto Network, también puedan quedar sin servicio ante un ataque BlackNurse.
Los fabricantes de dicho firewall piensan que la causa de esto puede deberse a un problema de configuración a la hora de detectar e intentar bloquear los ataques DDoS a través del protocolo ICMP ya que, por hardware, deberían ser capaces estos modelos de mitigarlos sin problemas, y mucho más con un ancho de banda tan reducido.
Los fabricantes recomiendan bloquear por completo en los modelos los paquetes ICMP del tipo 3 y, como medida adicional, contratar un servicio anti-ddos avanzado como Akamai o CloudFlare para que el firewall controle las conexiones y el anti-ddos proteja de estos ataques informáticos tan complejos.
Referencias:
https://es.wikipedia.org/wiki/Internet_Control_Message_Protocol
http://soc.tdc.dk/blacknurse/blacknurse.pdf
http://www.hackplayers.com/2016/11/blacknurse-ataque-icmp-para-un-dos.html
https://www.cloudflare.com/es/
https://es.wikipedia.org/wiki/Akamai
"""
Artículos de Fran 🐝 Brizzolis
Ver blogHola abejas, estos días me costaba bastante encontrar un tema sobre el que escribir, y que no me hic ...
Los mecanismos conocidos como "skimmers de tarjetas" han sido una amenaza importante para la segurid ...
El programa · Pegasus, fue creado por la firma NSO Group para espiar exclusivamente a bandas crimina ...
Puede que te interesen estos puestos de trabajo
-
Presupuesto revisión de fugas de un aire acondicionado conductos
Encontrado en: Cronoshare ES C2 - hace 2 días
Cronoshare La Fuente de San Esteban (Salamanca), EspañaTenemos aparatos en cuatro habitaciones con un motor, ese tiene perdidas no sabemos donde, y queríamos arreglarlo aunque tengamos que inutilizar algún aparato de una habitación.Tipo de trabajo a realizar · Revisión de fugas · Tipo de aire acondicionado · Conductos · ¿Qué tecnolog ...
-
Ingeniero De Redes Y Comunicaciones, Hibrido
Encontrado en: Buscojobs ES C2 - hace 1 semana
Inkoova Barcelona, EspañaIngeniero de redes y comunicaciones en hibrido. REQUISITOS Licenciatura en Informática o telecomunicaciones años de experiencia en implementación/despliegue de proyectos de red. Conocimiento del entorno de Identidad única (CyberArk) Conocimiento del Firewall CheckPoint WAF de F5 ...
-
Presupuesto de servicios de ciberseguridad para asociacion
Encontrado en: Cronoshare ES C2 - hace 1 semana
Cronoshare Sevilla (Sevilla), EspañaNormalmente, nuestro servidor se queda colgado y hay que reiniciarlo manualmente. A través de la webs nos hacen ataques que hacen que el servidor deje de funcionar o nos lo anulen hasta para los ataques¿Qué servicio de ciberseguridad se necesita? · Auditoría de seguridad web, pla ...
Comentarios
Fran 🐝 Brizzolis
hace 7 años #3
Asi lo haré Jorge Carballo P\u00e9rez
Fran 🐝 Brizzolis
hace 7 años #2
No es nada Fernando Santa Isabel Llanos... Es siempre un privilegio poder aportar y compartir con tod@s vosotr@s estas cosas, que yo muy humildemente considero "importantes"... La información y el conocimiento no sirven de nada si no se comparten.
Fran 🐝 Brizzolis
hace 7 años #1