Via het ICMP verstuurt een router een foutstatus, bijvoorbeeld als een aangesproken service onbereikbaar blijkt. Met de pingaanval wordt een status dat een poort onbereikbaar is opgeroepen zonder dat het apparaat daarom vraagt. Een aanvaller kan een vloedgolf aan ICMP-3-pakketjes versturen, waardoor de CPU overbelast wordt.

Daar is slechts 15 Mbps voor nodig, weet Ars Technica. De aanval, die vanaf een enkele laptop kan worden uitgevoerd, knikkert firewalls van Cisco, SonicWall, Palo Alto en Zyxel om, specifiek de volgende modellen:

  • Cisco ASA 5506, 5515, 5525 (default settings)
  • Cisco ASA 5550 (Legacy) and 5515-X (latest generation)
  • Cisco Router 897 (unless rate-limited)
  • Palo Alto (unless ICMP Flood DoS protection is activated) - See advisory from Palo Alto.
  • SonicWall (if misconfigured)
  • Zyxel NWA3560-N (wireless attack from LAN Side)
  • Zyxel Zywall USG50

Deense telco TDC ontdekte de aanval toen het onderzoek deed naar de types DDoS-aanvallen die klanten voor de kiezen kregen (PDF). Het probleem is snel verholpen door ICMP-3 uit te schakelen op het netwerk. Op GitHub staat de code van een Proof of Concept voor de aanval en de volgende SNORT IDS-rule moet het probleem voorkomen:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC - Possible BlackNurse attack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC - Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)