2016年11月16日14:27
たった一台のラップトップでファイアーウォールを停止させる「BlackNurse」がヤバイ
カテゴリー │IT全般
こんにちは、たかしーです。
僕が普段から購読しているGigazineさんの記事で、最近ちょっと興味深いものを発見したので、紹介しようと思います。
近年は、インターネットがもたらす技術がSFの世界から現実になっていくように、映画さながらのクラッキング技術も、どんどん現実世界で出回り、進化していっています。
最近は不特定多数の端末から同時に特定のサーバーへアクセスさせ、一定以上の負荷を負荷をかけることでサーバーを動作不能にしてしまうDDoS攻撃がよく行われていますが、この手の攻撃は通常、サーバー側のネットワークやインターフェースが処理できないほどのトラフィックを発生させることで、一般のアクセスができないようにする手口でした。
今回記事に掲載されていたBlackNurseはほんの数十Mbpsのトラフィックだけで攻撃対象のサーバーへのアクセスを遮断してしまうという新たな手口だそうで、従来のDDoSは多数のマシンが必要でしたが、こちらではたった一台の"ラップトップPC"だけでもできてしまうとのことです。
この攻撃が成功するのは、シスコ、パロアルト、SonicWallなどの一部のファイアウォール製品で、製品仕様に脆弱性があり、ICMP Type 3(Destination Unreachable)Code 3(Port Unreachable)要求を送るとFirewallのCPUリソースを使い切ってしまうとのこと。
こうなってしまうと、Firewallとの通信ができなくなるため、対象サーバーとユーザーの間で通信できなくなり、事実上、サーバーが機能停止状態になります。
BlackNurseではこれを利用して攻撃を仕掛けています。
ちなみに、なぜICMPパケットを送るとCPU負荷がかかってしてしまうのかはまだわかってないとのことですが、デュアルコア以上の、高性能CPUを積んだ最近の製品では大丈夫だとのことです。
詳しくは、参考にさせていただいた各サイトをご覧いただければと思います。
セキュリティの話を聞くたびに、「まさか!?そんなことが!?」という意表をつくような手口や方法が出てきます。
恐ろしいことではありますが、技術的な面では非常に興味深い一面もあります。
インターネット上で動く様々な仕組みは、すべて人間が作ったものですので何かしらの欠点があるのは仕方のないことです。
こういった攻撃手法があることがわかることで、それぞれの仕組みの脆弱性が初めてわかることもあります。
どんな欠点があるのかがわかれば、どんな対策を練ればいいのかを考えれますし、そういう意味では非常に勉強になるのではないかなと思います。
-------------------------------------------------------------------
参考サイト:
たった1台のノートPCでもサーバーをダウンさせられる脅威の「BlackNurse」
http://gigazine.net/news/20161115-blacknurse/gigazine.net/news/20160929-record-breaking-ddos/
BLACKNURSE LOW-VOLUME DOS ATTACK TARGETS FIREWALLS
https://threatpost.com/blacknurse-low-volume-dos-attack-targets-firewalls/121916/
blacknurse.dk
http://blacknurse.dk/
僕が普段から購読しているGigazineさんの記事で、最近ちょっと興味深いものを発見したので、紹介しようと思います。
近年は、インターネットがもたらす技術がSFの世界から現実になっていくように、映画さながらのクラッキング技術も、どんどん現実世界で出回り、進化していっています。
最近は不特定多数の端末から同時に特定のサーバーへアクセスさせ、一定以上の負荷を負荷をかけることでサーバーを動作不能にしてしまうDDoS攻撃がよく行われていますが、この手の攻撃は通常、サーバー側のネットワークやインターフェースが処理できないほどのトラフィックを発生させることで、一般のアクセスができないようにする手口でした。
今回記事に掲載されていたBlackNurseはほんの数十Mbpsのトラフィックだけで攻撃対象のサーバーへのアクセスを遮断してしまうという新たな手口だそうで、従来のDDoSは多数のマシンが必要でしたが、こちらではたった一台の"ラップトップPC"だけでもできてしまうとのことです。
この攻撃が成功するのは、シスコ、パロアルト、SonicWallなどの一部のファイアウォール製品で、製品仕様に脆弱性があり、ICMP Type 3(Destination Unreachable)Code 3(Port Unreachable)要求を送るとFirewallのCPUリソースを使い切ってしまうとのこと。
こうなってしまうと、Firewallとの通信ができなくなるため、対象サーバーとユーザーの間で通信できなくなり、事実上、サーバーが機能停止状態になります。
BlackNurseではこれを利用して攻撃を仕掛けています。
ちなみに、なぜICMPパケットを送るとCPU負荷がかかってしてしまうのかはまだわかってないとのことですが、デュアルコア以上の、高性能CPUを積んだ最近の製品では大丈夫だとのことです。
詳しくは、参考にさせていただいた各サイトをご覧いただければと思います。
セキュリティの話を聞くたびに、「まさか!?そんなことが!?」という意表をつくような手口や方法が出てきます。
恐ろしいことではありますが、技術的な面では非常に興味深い一面もあります。
インターネット上で動く様々な仕組みは、すべて人間が作ったものですので何かしらの欠点があるのは仕方のないことです。
こういった攻撃手法があることがわかることで、それぞれの仕組みの脆弱性が初めてわかることもあります。
どんな欠点があるのかがわかれば、どんな対策を練ればいいのかを考えれますし、そういう意味では非常に勉強になるのではないかなと思います。
-------------------------------------------------------------------
参考サイト:
たった1台のノートPCでもサーバーをダウンさせられる脅威の「BlackNurse」
http://gigazine.net/news/20161115-blacknurse/gigazine.net/news/20160929-record-breaking-ddos/
BLACKNURSE LOW-VOLUME DOS ATTACK TARGETS FIREWALLS
https://threatpost.com/blacknurse-low-volume-dos-attack-targets-firewalls/121916/
blacknurse.dk
http://blacknurse.dk/
