TCP / IPプロトコルスイート、米国国防総省の後援の下で開発された、 固有のセキュリティ問題が発生しました プロトコル設計またはほとんどのTCP / IP実装に。
ハッカーがこれらの脆弱性を使用していることが明らかになったので システムに対してさまざまな攻撃を実行します。 TCP / IPプロトコルスイートで悪用される一般的な問題は、IPスプーフィング、ポートスキャン、およびサービス拒否です。
たくさん Netflixの研究者は4つの欠陥を発見しました それはデータセンターに大混乱をもたらす可能性があります。 これらの脆弱性は、最近LinuxおよびFreeBSDオペレーティングシステムで発見されました。 これらにより、ハッカーはサーバーをロックダウンし、リモート通信を妨害することができます。
見つかったバグについて
と呼ばれる最も深刻な脆弱性 SACKパニックは、選択的なTCP確認応答シーケンスを送信することで悪用される可能性があります 脆弱なコンピューターまたはサーバー用に特別に設計されています。
システムは、クラッシュするか、カーネルパニックに入ると反応します。 CVE-2019-11477として識別されるこの脆弱性の悪用に成功すると、リモートのサービス拒否が発生します。
サービス拒否攻撃は、ターゲットシステムまたはネットワーク上のすべての重要なリソースを消費しようとするため、通常の使用には利用できません。 サービス拒否攻撃は、ビジネスを簡単に混乱させる可能性があり、実行が比較的簡単であるため、重大なリスクと見なされます。
XNUMX番目の脆弱性は、一連の悪意のあるSACKを送信することによっても機能します (悪意のある確認パケット)脆弱なシステムのコンピューティングリソースを消費します。 操作は通常、TCPパケットの再送信のためにキューをフラグメント化することによって機能します。
この脆弱性の悪用、CVE-2019-11478として追跡、 システムパフォーマンスが大幅に低下し、完全なサービス拒否を引き起こす可能性があります。
これらのXNUMXつの脆弱性は、オペレーティングシステムが上記の選択的TCP認識(略してSACK)を処理する方法を悪用します。
SACKは、通信受信者のコンピュータが送信者にどのセグメントが正常に送信されたかを通知できるようにするメカニズムであり、失われたセグメントを返すことができます。 脆弱性は、受信したパケットを格納するキューをオーバーフローさせることで機能します。
FreeBSD12で発見されたXNUMX番目の脆弱性 CVE-2019-5599を特定し、 CVE-2019-11478と同じように機能しますが、このオペレーティングシステムのRACK送信カードと相互作用します。
2019番目の脆弱性CVE-11479-XNUMX。は、TCP接続の最大セグメントサイズを減らすことにより、影響を受けるシステムの速度を低下させる可能性があります。
この構成により、脆弱なシステムは、それぞれが8バイトのデータのみを含む複数のTCPセグメントを介して応答を送信するように強制されます。
この脆弱性により、システムは大量の帯域幅とリソースを消費し、システムパフォーマンスを低下させます。
前述のサービス拒否攻撃の変種には、ICMPまたはUDPフラッドが含まれます、ネットワーク操作が遅くなる可能性があります。
これらの攻撃により、被害者は帯域幅やシステムバッファなどのリソースを使用して、有効な要求を犠牲にして攻撃要求に応答します。
Netflixの研究者は、これらの脆弱性を発見しました そして彼らはそれらを数日間公に発表しました。
Linuxディストリビューションは、これらの脆弱性に対するパッチをリリースしているか、それらを軽減するための非常に便利な構成の調整を行っています。
解決策は、最大セグメントサイズ(MSS)が小さい接続をブロックするか、SACK処理を無効にするか、TCPRACKスタックをすばやく無効にすることです。
これらの設定は本物の接続を混乱させる可能性があり、TCP RACKスタックが無効になっている場合、攻撃者は同様のTCP接続で取得された後続のSACKのリンクリストのコストのかかるチェーンを引き起こす可能性があります。
最後に、TCP / IPプロトコルスイートは信頼できる環境で動作するように設計されていることを思い出してください。
このモデルは、XNUMXつ以上のノードに障害が発生した場合に障害を回避するのに十分な堅牢性を備えた、柔軟でフォールトトレラントなプロトコルのセットとして開発されました。