TCP / IP protokollipakett, mis töötati välja Ameerika Ühendriikide kaitseministeeriumi patroonil, on tekitanud loomupäraseid turvaküsimusi protokolliprojekti või enamiku TCP / IP-rakenduste juurde.
Kuna on selgunud, et häkkerid kasutavad neid haavatavusi mitmesuguseid rünnakuid süsteemide vastu. Tüüpilised TCP / IP protokollide komplektis kasutatavad probleemid on IP võltsimine, sadamate skannimine ja teenuse keelamine.
osa Netflixi teadlased on avastanud 4 viga mis võib andmekeskustes kaose tekitada. Need haavatavused avastati hiljuti Linuxi ja FreeBSD opsüsteemides. Need võimaldavad häkkeritel lukustada serverid ja häirida kaugsidet.
Leitud vigadest
Kõige tõsisem haavatavus, nn SACK Panic, saab ära kasutada selektiivse TCP kinnitusjärjestuse saatmisega mõeldud spetsiaalselt haavatavale arvutile või serverile.
Süsteem reageerib krahhi või siseneb tuumapaanikasse. Selle haavatavuse, mis on identifitseeritud kui CVE-2019-11477, edukas kasutamine toob kaasa teenuse kaugkeeldumise.
Teenuse keelamise rünnakud üritavad tarbida kõiki sihtsüsteemi või -võrgu kriitilisi ressursse, nii et need pole tavapäraseks kasutamiseks saadaval. Teenuse keelamise rünnakuid peetakse oluliseks riskiks, kuna need võivad äri kergesti häirida ja neid on suhteliselt lihtne teostada.
Teine haavatavus toimib ka pahatahtlike SACK-ide saatmisega (pahatahtlikud kinnituspaketid), mis tarbivad haavatava süsteemi arvutusressursse. Toimingud toimivad tavaliselt TCP-pakettide uuesti edastamise järjekorra fragmenteerimise teel.
Selle haavatavuse (CVE-2019-11478) ärakasutamine halvendab tõsiselt süsteemi jõudlust ja võib põhjustada teenuse täieliku keelamise.
Need kaks haavatavust kasutavad seda, kuidas opsüsteemid ülalnimetatud TCP valikulist teadlikkust (lühidalt SACK) käsitsevad.
SACK on mehhanism, mis võimaldab suhtluse saaja arvutil öelda saatjale, millised segmendid on edukalt saadetud, nii et kaotatud saab tagasi saata. Haavatavused töötavad vastuvõetud pakette salvestavate järjekordade ületäitumise tõttu.
Kolmas haavatavus, mis leiti FreeBSD 12-st ja identifitseerides CVE-2019-5599, See töötab samamoodi nagu CVE-2019-11478, kuid see on selle operatsioonisüsteemi RACK-i saatekaardiga koostoimes.
Neljas haavatavus, CVE-2019-11479, võib mõjutatud süsteeme aeglustada, vähendades TCP-ühenduse maksimaalset segmentide suurust.
See konfiguratsioon sunnib haavatavaid süsteeme saatma vastuseid mitme TCP segmendi kaudu, millest igaüks sisaldab ainult 8 baiti andmeid.
Haavatavuste tõttu tarbib süsteem sujuvalt ribalaiust ja ressursse, et süsteemi jõudlust halvendada.
Eelnimetatud teenuste keelamise rünnakute variandid hõlmavad ICMP või UDP üleujutusi, mis võib võrguoperatsioone aeglustada.
Need rünnakud põhjustavad ohvri ressursitaotlustele vastamiseks ressursside nagu ribalaius ja süsteemipuhvrid kehtivate taotluste arvelt.
Netflixi teadlased avastasid need haavatavused ja nad teatasid neist mitu päeva avalikult.
Linuxi distributsioonid on nende haavatavuste jaoks välja andnud plaastrid või neil on mõned tõeliselt kasulikud konfiguratsioonimuudatused, mis neid leevendavad.
Lahendusteks on madala maksimaalse segmendi suurusega (MSS) ühenduste blokeerimine, SACK-i töötlemise keelamine või TCP RACK-i virna kiire keelamine.
Need sätted võivad häirida autentseid ühendusi ja kui TCP RACK-i pinu keelatakse, võib ründaja põhjustada sarnase TCP-ühenduse jaoks hangitud järgnevate SACK-ide jaoks lingitud loendi kuluka aheldamise.
Lõpetuseks meenutagem, et TCP / IP protokollipakett on loodud töötama usaldusväärses keskkonnas.
Mudel on välja töötatud paindlike, rikketaluvate protokollide kogumina, mis on piisavalt jõuline, et vältida tõrkeid ühe või mitme sõlme rikke korral.