来自丹麦TDC安全运营中心的安全研究员发现了一种攻击方法，并将其命名为BlackNurse，可发动大规模的DDoS攻击。攻击者可利用这种方法以有限的资源迫使服务器下线。即便是这些服务器被Cisco Systems、Palo Alto Networks、SonicWall、Zyxe防火墙保护着，也一样能攻击成功。

这种攻击方式并不是单纯的依赖于网络，我们将其称之为BlackNurse。BlackNurse和老的ICMP洪攻击不同，ICMP洪攻击会快速的向目标发送ICMP请求，而BlackNurse是会发送一种特殊类型的ICMP数据包，尤其是含有code3 的Type 3 ICMP数据包。

“BlackNurse公司之所以会吸引我们的注意，是因为我们的反DDoS解决方案总出现了一种很奇怪的现象，即使通信速度和每秒传输数据的量很低，这种攻击还是会阻碍客户的操作。这种攻击甚至还适用于拥有大型上行链路和拥有大企业防火墙的用户。”

BlackNurse攻击利用的是Type3 Code 3 ICMP数据包，它通常被路由器和网络设备用于接受和发送错误的信息。通过发送特定类型的ICMP数据包，攻击者可以以此使CPU超载。

安全研究员发现，当通信速度达到极限值——150 Mbps到180 Mbps时，网络设备就会释放大量的数据包，从而致使服务器脱机。TDC SOC的安全研究员解释称，一个攻击者只需一台笔记本便可以发动峰值为180 Mbps的DDoS攻击。

如果你的网络连接速度为1 Gbit/s，那就不会受到影响。在攻击发生期间，本地用户将无法从网上发送和接收流量。经过我们的测试发现，一旦攻击停止，所有的防火墙功能便会恢复正常。

受BlackNurse攻击影响的设备有：

Cisco ASA 5506, 5515, 5525 (默认设置)
Cisco ASA 5550 (Legacy) 和5515-X (最新型号)
Cisco Router 897
Palo Alto (未验证)
SonicWall
Zyxel NWA3560-N
Zyxel Zywall USG50