Ataques DDoS "BlackNurse" de menos de 20Mbps pueden inutilizar algunos firewall

Tras el gran ataque de denegación de servicio distribuido, o DDoS, llevado a cabo contra DynDNS hace un par de semanas, muchos piratas informáticos han empezado a interesarse de nuevo por este tipo de ataques tan peligrosos como difíciles de mitigar. Muchas empresas optan por proteger sus redes con cortafuegos empresariales especializados en estos y otros ataques de red, sin embargo, es posible que muchos modelos de firewall se queden sin servicio si se enfrentan a un nuevo tipo de ataques de bajo ancho de banda denominados como “BlackNurse”.

Existen muchos tipos de ataques DDoS diferentes en función del protocolo y las técnicas utilizadas, sin embargo, varios expertos de seguridad han llevado a cabo un estudio en el que demuestran que los ataques más peligrosos son los que se llevan a cabo a través del protocolo Internet Control Message Protocol (ICMP), aunque estos tengan un ancho de banda muy bajo, inferior incluso a 20Mbps.

Los ataques DDoS a través del protocolo ICMP se conocen también como “ataques ping flood” son los más habituales, sin embargo, dentro del protocolo ICMP hay distintos tipos y códigos. Según los expertos de seguridad, los más peligrosos son los ICMP con paquetes Type 3 Code 3.

Estos expertos de seguridad aseguran que estos ataques están enfocados a dejar sin servicio un cortafuegos en vez de a saturar la línea. Por ello, estos ataques DDoS pueden ser mortíferos incluso con un ancho de banda de 15Mbps, aunque la víctima tenga una conexión de 1Gbps.

De esta manera, cuando un pirata informático lleva a cabo un ataque DDoS del tipo BlackNurse, mientras el ataque está activo, el cortafuegos puede quedar saturado por la cantidad de tráfico a procesar, aunque el ancho de banda no sea tan elevado, e impedirá que los usuarios de la LAN se conecten a la red y que desde la WAN otros usuarios puedan conectarse al servidor.

Si el firewall se bloquea durante el ataque DDoS, no se puede establecer ninguna conexión

Cuando un pirata informático comienza a realizar un ataque DDoS de este tipo, el cortafuegos de la red de la víctima queda totalmente bloqueado al no ser capaz de procesar las conexiones y, por lo tanto, impide que se establezcan otras conexiones, ni hacia dentro ni hacia fuera. El cortafuegos quedará totalmente bloqueado hasta que los técnicos consigan mitigar el ataque o hasta que los atacantes cesen el ataque DDoS, haciendo que todo vuelva a funcionar con normalidad.

Los expertos de seguridad aseguran que estos ataques están enfocados principalmente contra los cortafuegos profesionales de Cisco ASA y SonicWall, aunque es muy probable que otros modelos de otros fabricantes, como Palo Alto Network, también puedan quedar sin servicio ante un ataque BlackNurse.

Los fabricantes de dicho firewall piensan que la causa de esto puede deberse a un problema de configuración a la hora de detectar e intentar bloquear los ataques DDoS a través del protocolo ICMP ya que, por hardware, deberían ser capaces estos modelos de mitigarlos sin problemas, y mucho más con un ancho de banda tan reducido.

Los fabricantes recomiendan bloquear por completo en los modelos los paquetes ICMP del tipo 3 y, como medida adicional, contratar un servicio anti-ddos avanzado como Akamai o CloudFlare para que el firewall controle las conexiones y el anti-ddos proteja de estos ataques informáticos tan complejos.

Referencias:

https://es.wikipedia.org/wiki/Internet_Control_Message_Protocol

http://soc.tdc.dk/blacknurse/blacknurse.pdf

http://www.hackplayers.com/2016/11/blacknurse-ataque-icmp-para-un-dos.html

https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf

https://www.cloudflare.com/es/

https://es.wikipedia.org/wiki/Akamai