TCP / IP-protokollapaketti, joka on kehitetty Yhdysvaltojen puolustusministeriön suojeluksessa, on aiheuttanut luontaisia turvallisuusongelmia protokollasuunnitteluun tai useimpiin TCP / IP-toteutuksiin.
Koska on paljastettu, että hakkerit käyttävät näitä haavoittuvuuksia tehdä useita hyökkäyksiä järjestelmiin. Tyypillisiä TCP / IP-protokollapaketissa hyödynnettyjä ongelmia ovat IP-huijaus, porttien skannaus ja palvelunestot.
Los Netflix-tutkijat ovat havainneet 4 puutetta se voi aiheuttaa tuhoja palvelinkeskuksissa. Nämä haavoittuvuudet on äskettäin löydetty Linux- ja FreeBSD-käyttöjärjestelmissä. Ne antavat hakkereille mahdollisuuden lukita palvelimet ja häiritä etäviestintää.
Tietoja löydetyistä virheistä
Vakavin haavoittuvuus, nimeltään SACK Panic, voidaan hyödyntää lähettämällä valikoiva TCP-kuittaussekvenssi Suunniteltu erityisesti haavoittuvalle tietokoneelle tai palvelimelle.
Järjestelmä reagoi kaatumalla tai siirtymällä ytimen paniikkiin. Tämän haavoittuvuuden, joka tunnetaan nimellä CVE-2019-11477, onnistunut hyödyntäminen johtaa palvelun etäkäyttöön.
Palvelunestohyökkäykset yrittävät kuluttaa kaikki kohdejärjestelmän tai verkon kriittiset resurssit niin, että ne eivät ole käytettävissä normaaliin käyttöön. Palvelunestohyökkäyksiä pidetään merkittävänä riskinä, koska ne voivat helposti häiritä liiketoimintaa ja ne ovat suhteellisen yksinkertaisia suorittaa.
Toinen haavoittuvuus toimii myös lähettämällä sarjan haitallisia SACK-paketteja (haitalliset vahvistuspaketit), jotka kuluttavat haavoittuvan järjestelmän laskentaresursseja. Toiminnot toimivat normaalisti pirstaloimalla jono TCP-pakettien uudelleenlähetystä varten.
Tämän haavoittuvuuden, jota seurataan nimellä CVE-2019-11478, hyödyntäminen heikentää vakavasti järjestelmän suorituskykyä ja voi aiheuttaa palvelun täydellisen epäämisen.
Nämä kaksi heikkoutta hyödyntävät tapaa, jolla käyttöjärjestelmät käsittelevät yllä mainittua selektiivistä TCP-tietoisuutta (lyhyesti SACK).
SACK on mekanismi, jonka avulla viestinnän vastaanottajan tietokone voi kertoa lähettäjälle, mitkä segmentit on lähetetty onnistuneesti, jotta kadonneet voidaan palauttaa. Haavoittuvuudet toimivat täyttämällä jonot, joka tallentaa vastaanotetut paketit.
Kolmas haavoittuvuus, löydetty FreeBSD 12: sta ja tunnistamalla CVE-2019-5599, toimii samalla tavalla kuin CVE-2019-11478, mutta on vuorovaikutuksessa tämän käyttöjärjestelmän RACK-lähetyskortin kanssa.
Neljäs haavoittuvuus, CVE-2019-11479., Voi hidastaa kyseisiä järjestelmiä pienentämällä TCP-yhteyden segmenttien enimmäiskokoa.
Tämä kokoonpano pakottaa haavoittuvat järjestelmät lähettämään vastauksia useiden TCP-segmenttien kautta, joista kukin sisältää vain 8 tavua tietoa.
Haavoittuvuudet aiheuttavat järjestelmän kuluttavan suuria määriä kaistanleveyttä ja resursseja heikentääkseen järjestelmän suorituskykyä.
Edellä mainitut palvelunestohyökkäysten vaihtoehdot sisältävät ICMP- tai UDP-tulvat, mikä voi hidastaa verkkotoimintoja.
Nämä hyökkäykset saavat uhrin käyttämään resursseja, kuten kaistanleveyttä ja järjestelmäpuskureita, vastaamaan hyökkäyspyyntöihin kelvollisten pyyntöjen kustannuksella.
Netflix-tutkijat löysivät nämä haavoittuvuudet ja he ilmoittivat niistä julkisesti useita päiviä.
Linux-jakelut ovat julkaisseet korjauksia näille haavoittuvuuksille tai niillä on todella hyödyllisiä kokoonpanomuutoksia, jotka lieventävät niitä.
Ratkaisuina on estää alhaisen enimmäissegmenttikoon (MSS) yhteydet, poistaa SACK-käsittely tai poistaa TCP RACK -pino nopeasti käytöstä.
Nämä asetukset voivat häiritä aitoja yhteyksiä, ja jos TCP RACK -pino poistetaan käytöstä, hyökkääjä voi aiheuttaa kallista linkitetyn luettelon ketjutusta myöhemmille samankaltaiselle TCP-yhteydelle hankituista SACKeista.
Lopuksi muistetaan, että TCP / IP-protokollapaketti on suunniteltu toimimaan luotettavassa ympäristössä.
Malli on kehitetty joukoksi joustavia, vikasietoisia protokollia, jotka ovat riittävän vankat välttämään vikoja yhden tai useamman solmuvian yhteydessä.