Sada protokolů TCP / IP, vyvinutý pod záštitou Ministerstva obrany Spojených států, vygeneroval inherentní problémy se zabezpečením k návrhu protokolu nebo k většině implementací TCP / IP.
Protože se ukázalo, že hackeři tyto chyby zabezpečení používají provádět různé útoky na systémy. Typickými problémy využívanými v sadě protokolů TCP / IP jsou spoofing IP, skenování portů a odmítnutí služby.
L Vědci z Netflixu objevili 4 nedostatky které by mohly způsobit zmatek v datových centrech. Tyto chyby zabezpečení byly nedávno objeveny v operačních systémech Linux a FreeBSD. Umožňují hackerům uzamknout servery a narušit vzdálenou komunikaci.
O nalezených chybách
Nejzávažnější zranitelnost, tzv SACK Panic, lze využít zasláním selektivní potvrzovací sekvence TCP speciálně navržen pro zranitelný počítač nebo server.
Systém zareaguje zhroucením nebo spuštěním paniky jádra. Úspěšné zneužití této chyby zabezpečení označené jako CVE-2019-11477 má za následek vzdálené odmítnutí služby.
Útoky odmítnutí služby se pokoušejí spotřebovat všechny kritické prostředky v cílovém systému nebo síti tak, aby nebyly k dispozici pro běžné použití. Útoky odmítnutí služby jsou považovány za významné riziko, protože mohou snadno narušit podnikání a jejich provádění je relativně jednoduché.
Druhá chyba zabezpečení funguje také odesláním řady škodlivých SACKů (škodlivé potvrzovací pakety), které spotřebovávají výpočetní prostředky zranitelného systému. Operace normálně fungují fragmentací fronty pro opakovaný přenos paketů TCP.
Využití této chyby zabezpečení sledované jako CVE-2019-11478, vážně zhoršuje výkon systému a může potenciálně způsobit úplné odmítnutí služby.
Tyto dvě chyby zabezpečení využívají způsob, jakým operační systémy zpracovávají výše zmíněné Selective TCP Awareness (zkráceně SACK).
SACK je mechanismus, který umožňuje počítači příjemce komunikace sdělit odesílateli, které segmenty byly úspěšně odeslány, aby bylo možné vrátit ty, které byly ztraceny. Zranitelnosti fungují přetékáním fronty, která ukládá přijaté pakety.
Třetí chyba zabezpečení objevená ve FreeBSD 12 a identifikace CVE-2019-5599, funguje stejně jako CVE-2019-11478, ale interaguje s RACK odesílací kartou tohoto operačního systému.
Čtvrtá chyba zabezpečení, CVE-2019-11479., Může zpomalit zasažené systémy snížením maximální velikosti segmentu pro připojení TCP.
Tato konfigurace nutí zranitelné systémy odesílat odpovědi přes více segmentů TCP, z nichž každý obsahuje pouze 8 bajtů dat.
Tyto chyby zabezpečení způsobují, že systém spotřebovává velké množství šířky pásma a prostředků ke snížení výkonu systému.
Mezi výše uvedené varianty útoků typu odmítnutí služby patří povodně ICMP nebo UDP, což může zpomalit síťové operace.
Tyto útoky způsobí, že oběť použije prostředky, jako je šířka pásma a systémové vyrovnávací paměti, aby reagovala na požadavky útoku na úkor platných požadavků.
Vědci Netflixu objevili tyto chyby zabezpečení a několik dní je veřejně oznamovali.
Distribuce Linuxu vydaly patche pro tyto chyby zabezpečení nebo mají některé opravdu užitečné vylepšení konfigurace, které je zmírňují.
Řešením je blokovat připojení s nízkou maximální velikostí segmentu (MSS), zakázat zpracování SACK nebo rychle zakázat zásobník TCP RACK.
Tato nastavení mohou narušit autentická připojení a pokud je zásobník TCP RACK zakázán, může útočník způsobit nákladné zřetězení propojeného seznamu pro následné SACKy získané pro podobné připojení TCP.
Na závěr si zapamatujme, že sada protokolů TCP / IP byla navržena pro práci ve spolehlivém prostředí.
Model byl vyvinut jako sada flexibilních protokolů odolných proti chybám, které jsou dostatečně robustní, aby se zabránilo selhání v případě selhání jednoho nebo více uzlů.