Sabia que um laptop pode derrubar os principais servidores de Internet?

1153

blacknurse-attack-menosfios

Até tempos atrás os ataques para se derrubar servidores de Internet eram efectuados não só usando um único laptop, mas pelos vistos agora já é possível. Segundo informações reveladas pelos pesquisadores da TDC Security Operations Center, há uma nova técnica de ataque denominado BlackNurse que pode derrubar servidores grandes usando apenas um computador (neste caso, um laptop) ligada a uma conexão de pelo menos 15 Mbps de largura de banda.

Como Funciona?

Em vez do Hacker bombardear um servidor com tráfego, ele envia pacotes de protocolo de mensagem de controle de Internet sobrecarregam os processadores em firewalls de servidores da Cisco, Palo Alto Networks ou outra companhia de renome. Os firewalls acabam por deixar cair tantos dados que, no final, os servidores vão acabar por cair, mesmo que eles tenham muita de capacidade de rede.

Existe alguma maneira de combater o ataque BlackNurse?

Felizmente sim, existem maneiras de lutar contra BlackNurse. O TDC Security Operations Center recomenda a criação de filtros de software para evitar esse tipo de ataques. Além disso, isso é principalmente uma preocupação para os fabricantes de firewall que deixam pacotes de fora o Internet Control Message Protocol. Um exemplo vivo são as do Palo Alto, que seus firewalls descartam esses tipos de solicitações por padrão, a menos que sejam alteradas as configurações e não usar as configurações padrão a protecção anti-ataques, ai sim  você está seguro.

De acordo com os pesquisadores, os seguintes produtos são afectados:

  • Cisco ASA 5506, 5515, 5525 (configurações padrão)
  • Cisco ASA 5550 (legacy) e 5515-X (última geração)
  • Cisco Router 897 (pode ser atenuado)
  • SonicWall (misconfiguration pode ser mudado ou mitigado)

Alguns não verificados modelo Palo Alto:

  • Zyxel NWA3560-N (ataque sem fio do lado LAN)
  • Zyxel Zywall USG50

Nota: Pode-se notar que o modelo Cisco ASA firewall da série 55xx é um dos mais afectados, isso acontece mesmo que seja negado todo o tráfego ICMP para os firewalls, eles ainda sofrem com o ataque DOS, com tão pouco quanto 4 Mbps de tráfego.