Met één laptop kan je belangrijke internetservers platleggen
De term ‘DDoS-aanval’ doet je waarschijnlijk denken aan een botnet bestaande uit honderden of zelfs duizenden geïnfecteerde computers en andere toestellen die met het internet verbonden zijn. Onderzoekers van TDC Security Operations Center hebben echter een manier ontdekt om een DDoS-aanval uit te voeren met slechts één computer. Je internetverbinding hoeft bovendien niet supersnel te zijn; een bandbreedte van 15 Mbps is voldoende.
Bij een klassieke DDoS-aanval wordt er gebruik gemaakt van een groot botnet om zoveel mogelijk verkeer te sturen naar een server. Aangezien de server dit verkeer moet verwerken, zal het geen tijd hebben om legitieme aanvragen te beantwoorden. BlackNurse is een type DDoS-aanval waarvoor je slechts een paar of slechts één computer nodig hebt.
[related_article id=”187414″]ICMP
Om met beperkte middelen toch een server plat te leggen, maakt BlackNurse gebruik van zogenaamde ICMP-pakketten. ICMP staat voor Internet Control Message Protocol en gebruikt onder andere routers om foutmeldingen en andere informatie uit te sturen. Meer specifiek maakt BlackNurse gebruik van ICMP Type 3 Code 3, waarbij Type 3 voor bestemming onbereikbaar staat en Code 3 voor poort onbereikbaar.
ICMP Type 3 Code 3-pakketjes kunnen de processors van servers overbelasten. Door het juiste type ICMP-verkeer naar een server te sturen, kan je dus net als bij een klassieke DDoS-aanval een server platleggen. De impact hiervan kan erg groot zijn, indien het om een belangrijke server gaat.
Filter
Gelukkig bestaat er een eenvoudige manier om je te wapenen tegen de aanval. Door een softwarefilter in te stellen, kan je voorkomen dat je toestel de pakketten verwerkt. Networkingbedrijven zijn op de hoogte van het gevaar van ICMP-pakketten en hun firewalls blokkeren daarom vaak standaard dit type verkeer van buitenaf. Palo Alto en Cisco hebben op deze manier hun networkingtoestellen tegen BlackNurse beschermd.
