“黑护士”来袭! 资安业者以一台笔电瘫痪思科与合勤防火墙

丹麦的资安业者TDC Security Operations Center上周展示了名为 “黑护士” 的攻击行动，它是一个低频宽的网路控制讯息协定攻击，只要利用一台笔电就能阻断知名防火墙的服务，包含思科、合勤、SonicWall及Palo Alto Networks。

ICMP为路由器与其他网路装置用来传送及接收错误讯息的协定，传统上的攻击模式是传送大量的ICMP请求，然而黑护士却只是传递少量基于无法到达目的地之无法存取传输埠的请求至攻击目标，就能瘫痪特定的防火墙。

TDC说明，当使用者允许ICMP Type 3 Code 3至外部介面时，就算只利用少量频宽，都能发挥黑护士攻击的效益。

所谓的少量频宽为15~18Mbps，约是每秒传递4~5万个封包，当启动黑护士攻击时，目标对象的CPU即会过载，持续的攻击将造成LAN端的使用者无法再存取网路。

在测试时TDC只使用一台寻常的笔电就能制造180Mbps的阻断服务攻击流量，虽然TDC也尝试以Nexus 6智慧型手机进行攻击，但发现它只能制造9.5Mbps的攻击流量，尚不足以造成威胁。

此外，TDC发现Cisco ASA firewall 55xx系列的产品问题最大，就算封锁了所有传送至防火墙的ICMP流量，只需要4Mbps的流量就能瘫痪它们。

至于同样被点名的Palo Alto Networks则说该公司Next-Generation系列的防火墙预设值即禁止ICMP请求，因此只有在预设值被变更的少数情况下才会曝露于此一安全风险中。