たった1台のノートPCでもサーバーをダウンさせられる脅威の「BlackNurse」

DoS攻撃でサーバーをダウンさせようとする場合、脆弱なサーバーでも毎秒4万パケットほどのボリュームを送信する必要があります。2016年に起きたDoS攻撃では、ドメインネームサービスプロバイダーの「Dyn 」やセキュリティサイトの「KrebsOnSecurity」、フランスのウェブホストである「OVH」などをターゲットにしたものが特に印象的で、従来のDoS攻撃よりも大規模な毎秒1テラビットを超える攻撃が行われ話題となりました。そんな中、制限のあるリソースしか持たないたったひとりのアタッカーが、シスコシステムズやその他メーカー製のファイアウォールで保護されている大規模サーバーをオフラインになるまで攻撃する、という驚くべき事案が発生しています。

BLACKNURSE it CAN bring you down
http://blacknurse.dk/

New attack reportedly lets 1 modest laptop knock big servers offline | Ars Technica
http://arstechnica.com/security/2016/11/new-attack-reportedly-lets-1-modest-laptop-knock-big-servers-offline/

デンマークを拠点とするセキュリティオペレーションセンターのTDCは、新しく「リソースがなくてもサーバーをダウンさせられる脅威の攻撃方法」を発見し、これを「BlackNurse」と名付けました。このBlackNurseを発見したTDCの研究者は、「我々のアンチDDoSソリューションが検知した攻撃(BlackNurse)は、トラフィック速度は遅く、毎秒のパケット量はとても軽かったのに、我々の顧客のオペレーションをダウンさせてしまいました。このことから、私たちはこの攻撃方法に興味を抱きました」と語っています。

BlackNurseは、ルーターや他のネットワークデバイスが使用するインターネット制御通知プロトコル(ICMP)ベースのデータを利用しています。その仕組みは、特別なICMPパケットを送信して特定タイプのファイアウォールが設置されたサーバーのCPUに素早く負担をかける、というもの。15Mbpsから18Mbpsの限界を超えたパケットを送信することで、ターゲットのファイアウォールを落とし、サーバーをインターネットから切断してしまうことができるとのことです。

By Torkild Retvedt

また、TDCの研究者は単体のノートPCで180mbpsのパケットを送信するBlackNurseの新しい手法も発見しています。TDCは「BlackNurseではインターネット接続が1Gbit/sである必要はありません。この攻撃による影響は、異なるファイアウォールで見られる『CPUへの高負荷』です。攻撃が実行されている最中は、サイトはインターネットに接続できなくなり、もはやトラフィックを送受信することはできなくなります。そして、全ての攻撃が終わったのち、ファイアウォールは回復します」と、BlackNurseの特徴を説明しています。

TDCによると、TDCの顧客をターゲットとしたICMPを活用した攻撃は、過去2年間で95件も報告されているそうです。なお、これらの攻撃が全てBlackNurseベースのものであるとは記載されていません。

なお、セキュリティ企業のNetresecの研究者によると、BlackNurseはシスコシステムズ、パロアルトネットワークス、SonicWall、Zyxel製のファイアウォールをターゲットとしているそうです。