Zestaw protokołów TCP / IPopracowany pod patronatem Departamentu Obrony Stanów Zjednoczonych, spowodowało nieodłączne problemy z bezpieczeństwem do projektu protokołu lub do większości implementacji TCP / IP.
Odkąd ujawniono, że hakerzy wykorzystują te luki do wykonywania różnych ataków na systemy. Typowe problemy wykorzystywane w zestawie protokołów TCP / IP to fałszowanie adresów IP, skanowanie portów i odmowa usługi.
L Badacze Netflix odkryli 4 wady które mogą siać spustoszenie w centrach danych. Te luki zostały niedawno odkryte w systemach operacyjnych Linux i FreeBSD. Pozwalają hakerom blokować serwery i zakłócać zdalną komunikację.
O znalezionych błędach
Najpoważniejsza luka, tzw SACK Panic, można wykorzystać wysyłając selektywną sekwencję potwierdzającą TCP specjalnie zaprojektowany dla wrażliwego komputera lub serwera.
System zareaguje zawieszając się lub uruchamiając Kernel Panic. Pomyślne wykorzystanie tej luki, zidentyfikowanej jako CVE-2019-11477, skutkuje zdalną odmową usługi.
Ataki typu „odmowa usługi” próbują pochłonąć wszystkie krytyczne zasoby w docelowym systemie lub sieci, tak aby nie były dostępne do normalnego użytku. Ataki typu „odmowa usługi” są uważane za poważne ryzyko, ponieważ mogą łatwo zakłócić działanie firmy i są stosunkowo łatwe do wykonania.
Druga luka również działa, wysyłając serię złośliwych SACK-ów (złośliwe pakiety potwierdzające), które pochłaniają zasoby obliczeniowe podatnego systemu. Operacje zwykle działają na zasadzie fragmentacji kolejki do retransmisji pakietów TCP.
Wykorzystanie tej luki, śledzone jako CVE-2019-11478, poważnie obniża wydajność systemu i może potencjalnie spowodować całkowitą odmowę usługi.
Te dwie luki wykorzystują sposób, w jaki systemy operacyjne obsługują wspomnianą wyżej Selective TCP Awareness (w skrócie SACK).
SACK to mechanizm, który umożliwia komputerowi odbiorcy komunikacji poinformowanie nadawcy, które segmenty zostały pomyślnie wysłane, tak aby te, które zostały utracone, mogą zostać zwrócone. Luki działają poprzez przepełnienie kolejki, która przechowuje odebrane pakiety.
Trzecia luka, odkryta we FreeBSD 12 i identyfikacja CVE-2019-5599, działa w taki sam sposób jak CVE-2019-11478, ale współdziała z kartą wysyłającą RACK tego systemu operacyjnego.
Czwarta luka w zabezpieczeniach, CVE-2019-11479., Może spowolnić systemy, których dotyczy luka, zmniejszając maksymalny rozmiar segmentu dla połączenia TCP.
Ta konfiguracja wymusza na podatnych systemach wysyłanie odpowiedzi w wielu segmentach TCP, z których każdy zawiera tylko 8 bajtów danych.
Luki powodują, że system zużywa duże ilości przepustowości i zasobów, aby obniżyć wydajność systemu.
Wymienione powyżej warianty ataków typu „odmowa usługi” obejmują powodzie ICMP lub UDP, co może spowolnić działanie sieci.
Ataki te powodują, że ofiara używa zasobów, takich jak przepustowość i bufory systemowe, do odpowiadania na żądania ataku kosztem prawidłowych żądań.
Badacze Netflix odkryli te luki i przez kilka dni ogłaszali je publicznie.
Dystrybucje Linuksa wydały łaty dla tych luk lub mają kilka naprawdę przydatnych poprawek konfiguracyjnych, które je łagodzą.
Rozwiązaniem jest blokowanie połączeń o niskim maksymalnym rozmiarze segmentu (MSS), wyłączanie przetwarzania SACK lub szybkie wyłączanie stosu TCP RACK.
Te ustawienia mogą zakłócać autentyczne połączenia, a jeśli stos TCP RACK jest wyłączony, atakujący może spowodować kosztowne tworzenie łańcuchów połączonej listy dla kolejnych SACK-ów uzyskanych dla podobnego połączenia TCP.
Na koniec pamiętajmy, że zestaw protokołów TCP / IP został zaprojektowany do pracy w niezawodnym środowisku.
Model został opracowany jako zestaw elastycznych, odpornych na błędy protokołów, które są wystarczająco solidne, aby uniknąć awarii w przypadku awarii jednego lub większej liczby węzłów.