可以通过攻击服务器,比如BlackNurse,攻击服务器不仅仅是基于创建大量的网络连接,它与老式ICMP洪水攻击(快速发送大量的ICMP请求)不同,BlackNurse攻击是基于ICMPType3code3数据包形成的DOS攻击。
引起互联数据安全团队关注的是,虽然BlackNurse攻击的数据流量及数据包发送频率都很低,但以往的抗DDoS解决方案都对其束手无策。BlackNurse攻击利用ICMPType3Code3数据包——通过路由器及网络设备发送与接收错误信息。通过发送特定类型的ICMP数据包,攻击者可以令使用特定防火墙的服务器CPU超载。
Type3是ICMP的异常报文,一般由原始报文触发,这种报文的internetHeader部分需要带有原始报文的首部部分字节,Code3的意思是端口不可达异常,路由器和网络设备收到这类错误之后,需要从ICMP报文中附带的原始报文首部信息中查询是否为自己发送的报文引起,这一动作会消耗很多计算资源。因此这个机制可以被利用来进行DoS,即攻击者伪造大量type3异常报文,导致防火墙设备花费大量的CPU资源来处理这种错误请求,从而消耗掉防火墙CPU的所有资源。
互联数据注意到,当阈值达到15Mbps至18Mbps时,网络设备会因此丢弃众多数据包,服务器也将离线。安全团队人员解释说,“BlackNurse”攻击可允许攻击者使用一台笔记本电脑发动流量峰值达到180Mbps的DDoS攻击。另外专家们证实在过去的两年间有95起以TDC网络为目标的DDoS攻击事件,但没有提及具体有多少起使用了“BlackNurse”攻击。
