BlackNurse攻击

最近，丹麦电信运营商TDC安全运营中心的研究人员发现了一个与许多知名防火墙相关的安全漏洞。只需一台电脑就可以让易受攻击的思科、SonicWall、Palo Alto和Zyxel防火墙屈服。更多信息可以在他们发布的关于BlackNurse攻击的文档中找到。

此攻击使用ICMP类型3"不可访问"消息，特别是ICMP类型3代码3"端口不可访问"消息。这些ICMP消息会使防火墙CPU过载并导致DoS状态。

使用Snort IDS检测BlackNurse攻击

Snort是一个开源网络入侵检测系统（NIDS），通常用于检测新的和遗留的威胁。它能够在互联网协议（IP）网络上执行实时流量分析和数据包记录。在入侵检测模式下，Snort可以监控网络流量并根据规则集进行分析。以下规则可用于检测来自内部和外部来源的黑护士攻击。

Snort IDS规则用于检测黑护士攻击的迹象。

alert icmp$external\u NET any->$HOME\u NET any（msg:"TDC-SOC–可能来自外部来源的黑护士攻击"；类型：3；图标代码：3；检测滤波器：按dst跟踪，计数250，秒1；参考：网址：soc.tdc.dk/blacknurse/blacknurse.pdf；元数据：TDC-SOC-CERT，防御cc最有效的防火墙，18032016；优先级：3；sid:8800012；版次：1；）

警报icmp$HOME\u NET any->$EXTERNAL\u NET any（消息："TDC-SOC–可能来自内部源的黑护士攻击"；类型：3；图标代码：3；检测滤波器：按dst跟踪，计数250，防御ntpddos攻击，秒1；参考：网址：soc.tdc.dk/blacknurse/blacknurse.pdf；元数据：TDC-SOC-CERT，18032016；优先级：3；sid:8800013；版次：1；）

检测网络上的BlackNurse攻击

使用LANGuardian的IDS和深度数据包检查引擎检测网络上是否存在BlackNurse攻击。实时和历史报告可用。

手动向LANGuardian添加Snort规则

LANGuardian安全模块包括Snort IDS引擎，cc攻击防御工具，可实时检测和警告网络上发生的恶意事件。LANGuardian将IDS的数据与流量分析数据无缝集成，ddos防御器，以提供前所未有的网络活动可见性。当LANGuardian IDS规则集自动更新时，您仍然可以手动添加BlackNurse签名。

3.单击"添加新签名"并粘贴到本文上面显示的一个Snort规则中。

4.对第二个Snort规则重复"添加新签名"步骤。

添加到LANGuardian后，您可以通过Top Network Events报告检测BlackNurse攻击的存在。内部规则触发的事件报告您网络上的一个或多个客户端正在生成ICMP类型3代码3"端口不可访问"消息，该消息可用于关闭防火墙。您可以单击"总数"列中的值以获取有问题客户端的IP地址和相关用户名。

由外部规则触发的事件报告您网络之外的一个或多个客户端正在生成ICMP类型3代码3"端口不可访问"消息，可用于关闭防火墙。您可以单击"总计"列中的值来获取有问题的客户端的IP地址，并在必要时阻止它们。

关于NetFort

NetFort为虚拟和物理网络提供网络流量和安全监控软件。NetFort的旗舰产品LANGuardian凭借其强大的深度数据包检查技术在市场上独树一帜，该技术可以下载并部署在标准物理或虚拟硬件上，在几分钟内提供全面的可视性。全世界的组织都依赖于LANGuardian解决方案，从监视用户活动到文件活动监视、web活动监视、网络安全监视、带宽监视、有线数据分析、网络取证到数据包捕获。