TCP / IP protokola komplekts, kas izstrādāts ar Aizsardzības ministrijas patronāžu, ir radījis raksturīgas drošības problēmas protokola projektam vai lielākajai daļai TCP / IP ieviešanas.
Tā kā ir atklāts, ka hakeri izmanto šīs ievainojamības veikt dažādus uzbrukumus sistēmām. Tipiskas TCP / IP protokolu komplektā izmantotās problēmas ir IP izkrāpšana, ostu skenēšana un pakalpojumu atteikšana.
L Netflix pētnieki ir atklājuši 4 trūkumus kas varētu izraisīt postījumus datu centros. Šīs ievainojamības nesen tika atklātas Linux un FreeBSD operētājsistēmās. Tie ļauj hakeriem bloķēt serverus un traucēt attālo komunikāciju.
Par atrastajām kļūdām
Visnopietnākā ievainojamība, ko sauc SACK Panic, var izmantot, nosūtot selektīvu TCP apstiprināšanas secību īpaši izstrādāts neaizsargātam datoram vai serverim.
Sistēma reaģēs, avarējot vai iekļūstot kodola panikā. Veiksmīga šīs ievainojamības, kas identificēta kā CVE-2019-11477, izmantošana ļauj attālināti atteikt pakalpojumu.
Pakalpojuma atteikuma uzbrukumi mēģina patērēt visus kritiskos resursus mērķa sistēmā vai tīklā, lai tie nebūtu pieejami normālai lietošanai. Pakalpojuma atteikuma uzbrukumi tiek uzskatīti par ievērojamu risku, jo tie var viegli izjaukt biznesu un tos ir salīdzinoši vienkārši veikt.
Otra ievainojamība darbojas arī, nosūtot virkni ļaunprātīgu maisu (ļaunprātīgas apstiprinājuma paketes), kas patērē neaizsargātās sistēmas skaitļošanas resursus. Darbības parasti darbojas, sadrumstalojot rindu TCP pakešu atkārtotai pārsūtīšanai.
Šīs ievainojamības izmantošana, kas izsekota kā CVE-2019-11478, ievērojami pasliktina sistēmas veiktspēju un var izraisīt pilnīgu pakalpojumu atteikumu.
Šīs divas ievainojamības izmanto veidu, kā operētājsistēmas apstrādā iepriekš minēto selektīvo TCP izpratni (īsumā - SACK).
SACK ir mehānisms, kas ļauj sakaru saņēmēja datoram pateikt sūtītājam, kuri segmenti ir veiksmīgi nosūtīti, lai pazaudētos segmentus varētu atgriezt. Neaizsargātība darbojas, pārpildot rindu, kurā tiek glabātas saņemtās paketes.
Trešā ievainojamība, kas atklāta FreeBSD 12 un identificējot CVE-2019-5599, darbojas tāpat kā CVE-2019-11478, bet mijiedarbojas ar šīs operētājsistēmas RACK sūtīšanas karti.
Ceturtā ievainojamība, CVE-2019-11479., Var palēnināt skartās sistēmas, samazinot maksimālo segmenta lielumu TCP savienojumam.
Šī konfigurācija liek neaizsargātām sistēmām sūtīt atbildes uz vairākiem TCP segmentiem, no kuriem katrs satur tikai 8 baitus datu.
Neaizsargātības dēļ sistēma patērē lielu joslas platumu un resursus, lai pasliktinātu sistēmas veiktspēju.
Iepriekš minētie pakalpojumu atteikuma uzbrukumu varianti ietver ICMP vai UDP plūdus, kas var palēnināt tīkla darbību.
Šie uzbrukumi liek upurim izmantot tādus resursus kā joslas platumu un sistēmas buferus, lai atbildētu uz uzbrukuma pieprasījumiem uz derīgu pieprasījumu rēķina.
Netflix pētnieki atklāja šīs vājās vietas un viņi par tām publiski paziņoja vairākas dienas.
Linux izplatītāji ir izlaiduši šo ievainojamību ielāpus vai arī ir daži patiešām noderīgi konfigurācijas pielāgojumi, kas tos mazina.
Risinājumi ir bloķēt savienojumus ar zemu maksimālo segmenta lielumu (MSS), atspējot SACK apstrādi vai ātri atspējot TCP RACK kaudzīti.
Šie iestatījumi var traucēt autentiskos savienojumus, un, ja TCP RACK kaudze ir atspējota, uzbrucējs var izraisīt dārgu saistītā saraksta ķēdi nākamajiem SACK, kas iegūti līdzīgam TCP savienojumam.
Visbeidzot, atcerēsimies, ka TCP / IP protokolu komplekts ir paredzēts darbam uzticamā vidē.
Modelis ir izstrādāts kā elastīgu, kļūdām izturīgu protokolu kopums, kas ir pietiekami izturīgs, lai izvairītos no kļūmēm viena vai vairāku mezglu kļūmju gadījumā.