Blacknurse Attack

Loeri · 16 nov 2016, 16:37

Aangezien er hier heel wat Mikrotik users zitten, zijn er nog mensen die deze aanval al een hebben getest op een Mikrotik Router(Evt ook andere routers)?

Ik heb net deze uitegetest op een 2011UAiS firmware 3.24 & RouterOs 6.37.1 en deze kan de aanval niet overleven.
~300kpps / ~150Mbps en de cpu zit op 100%

Resultaat: geen internet meer aan de LAN kant van de Mikrotik.

Dus elke Mikrotik router(momenteel de 2011UAiS) die aan het internet hangt, is kwetsbaar voor deze aanval!

Op de volgende site kan je zien welke routers tegen deze aanval kunnen en welke niet: http://blacknurse.dk/
De Mikrotik CCR1036-12G-4S kan er precies wel tegen, is natuurlijk een verschil met de 2011UAiS

ubremoved_539 · 16 nov 2016, 19:30

Ik was even op zoek naar een Windows versie van hping maar kan het niet meteen vinden.

yaris · 16 nov 2016, 20:25

Hmm ik heb net dezelfde router in gebruik. Nu soit zo'n ramp is het niet. Ddos is niet blijvend.
Icmp staat uit bij mij langs WAN dus is er normaal gezien geen probleem.

Loeri · 16 nov 2016, 20:43

yaris schreef:Hmm ik heb net dezelfde router in gebruik. Nu soit zo'n ramp is het niet. Ddos is niet blijvend.
Icmp staat uit bij mij langs WAN dus is er normaal gezien geen probleem.

Deze?

Code: Selecteer alles

chain=input protocol=icmp action=drop

Werkt nog steeds..

yaris · 16 nov 2016, 21:44

Loeri schreef:
yaris schreef:Hmm ik heb net dezelfde router in gebruik. Nu soit zo'n ramp is het niet. Ddos is niet blijvend.
Icmp staat uit bij mij langs WAN dus is er normaal gezien geen probleem.
Deze?
Code: Selecteer alles
chain=input protocol=icmp action=drop
Werkt nog steeds..

Bij een standaard config heb je een rule waar "icmp accept" staat. Deze heb ik disabled. Als ping nog steeds bij jou werkt dan zit je met een rule die dit toelaat hoger in de rij dan je drop rule.

Loeri · 16 nov 2016, 21:50

yaris schreef: Bij een standaard config heb je een rule waar "icmp accept" staat. Deze heb ik disabled. Als ping nog steeds bij jou werkt dan zit je met een rule die dit toelaat hoger in de rij dan je drop rule.

Awel, ik heb die standaard icmp accept rule op drop gezet en pings gaan niet meer maar die van hping3 wel..
Toen ik dat heb gedaan kreeg ik van uptimerobot al een mail dat "home" down is dus wordt wel degelijk gedropped.

Even uit nieuwschierigheid op de Telenet router aan de LAN kant eens getest en deze kan het ook niet aan...

yaris · 16 nov 2016, 22:18

Loeri schreef:
yaris schreef: Bij een standaard config heb je een rule waar "icmp accept" staat. Deze heb ik disabled. Als ping nog steeds bij jou werkt dan zit je met een rule die dit toelaat hoger in de rij dan je drop rule.
Awel, ik heb die standaard icmp accept rule op drop gezet en pings gaan niet meer maar die van hping3 wel..
Toen ik dat heb gedaan kreeg ik van uptimerobot al een mail dat "home" down is dus wordt wel degelijk gedropped.

Even uit nieuwschierigheid op de Telenet router aan de LAN kant eens getest en deze kan het ook niet aan...

Check is via deze site je poorten, op het einde checkt hij ook of je ip te bereiken is via ping icmp.
https://www.google.be/search?q=shields+ ... 8Afo_ZjgDA
Hping3 doet ook tcp pings. Misschien krijg je hier een reply op.
Geen idee of je op de telenet modem/router icmp kan afzetten, ik heb een modem only

.

Loeri · 16 nov 2016, 23:08

Bij hping3 kies ik wel degelijk voor icmp (tenzij het echt tcp gebruikt):

Code: Selecteer alles

hping3 --icmp -C 3 -K 3 --flood 192.1168.1.5

Volgens de site die je gaf: Ping Echo: PASSED — Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests) from our server.

Sinds de filter rule op dropped staat en ik hping3 uitvoer komt de cpu op 100% en krijg je natuurlijk trager data binnen via winbox maar zie ik wel degelijk miljoenen packets optellen bij de drop rule.

yaris · 16 nov 2016, 23:46

Loeri schreef:Bij hping3 kies ik wel degelijk voor icmp (tenzij het echt tcp gebruikt):
Code: Selecteer alles
hping3 --icmp -C 3 -K 3 --flood 192.1168.1.5
Volgens de site die je gaf: Ping Echo: PASSED — Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests) from our server.

Sinds de filter rule op dropped staat en ik hping3 uitvoer komt de cpu op 100% en krijg je natuurlijk trager data binnen via winbox maar zie ik wel degelijk miljoenen packets optellen bij de drop rule.

Lol dan is het echt wel bizar. Normaal wordt er niks van processing gedaan op een pakket dat gedropped wordt.
Ik zal morgen ook eens testen. Lijkt me wel een heel interessante case

.

Loeri · 17 nov 2016, 13:13

yaris schreef: Lol dan is het echt wel bizar. Normaal wordt er niks van processing gedaan op een pakket dat gedropped wordt.
Ik zal morgen ook eens testen. Lijkt me wel een heel interessante case .

Ben benieuwd, wie weet doe ik toch iets verkeerd.

r2504 schreef:Ik was even op zoek naar een Windows versie van hping maar kan het niet meteen vinden.

Linux VM opzetten? Of op een Rpi eens proberen maar deze zijn niet krachtig genoeg.
Ale het is te zeggen, net eens getest de Pi kan 27kpps/15Mbps doorvoeren waardoor de CPU toch op 100% zal komen.
Toch kan de router nog het netwerkverkeer behandelen.

silencer · 17 nov 2016, 13:44

Pfsense is safe, oef!

tb0ne · 17 nov 2016, 15:44

Volgens de site is een RB750 niet geïmpacteerd? Straks eens testen...

ubremoved_539 · 18 nov 2016, 18:17

tb0ne schreef:Volgens de site is een RB750 niet geïmpacteerd? Straks eens testen...

Ik draai hier op een RB450G... als ik tijd en goesting heb zal ik eens een VM opzetten met Linux.

Loeri · 18 nov 2016, 20:18

r2504 schreef:Ik draai hier op een RB450G... als ik tijd en goesting heb zal ik eens een VM opzetten met Linux.

Tegenwoordig heb je ook al kant en klare images die je niet meer hoeft te installeren he

Bvb:
Kali
Debian