Paket protokolov TCP / IP, razvit pod pokroviteljstvom Ministrstva za obrambo ZDA, je ustvaril lastna varnostna vprašanja za zasnovo protokola ali večino implementacij TCP / IP.
Ker je bilo razkrito, da hekerji uporabljajo te ranljivosti za izvajanje različnih napadov na sisteme. Tipične težave, ki jih izkoriščajo v protokolih TCP / IP, so prevara IP, skeniranje vrat in zavrnitev storitve.
P Raziskovalci Netflixa so odkrili 4 napake ki bi lahko povzročil opustošenje v podatkovnih centrih. Te ranljivosti so nedavno odkrili v operacijskih sistemih Linux in FreeBSD. Hekerjem omogočajo zaklepanje strežnikov in motenje oddaljene komunikacije.
O najdenih napakah
Najresnejša ranljivost, imenovana SACK Panic, je mogoče izkoristiti s pošiljanjem selektivnega zaporedja potrditve TCP posebej zasnovan za ranljiv računalnik ali strežnik.
Sistem se bo odzval z zrušitvijo ali vstopom v jedro panike. Uspešno izkoriščanje te ranljivosti, opredeljene kot CVE-2019-11477, povzroči zavrnitev storitve na daljavo.
Napadi zavrnitve storitve poskušajo porabiti vse ključne vire v ciljnem sistemu ali omrežju, tako da niso na voljo za običajno uporabo. Napadi zavrnitve storitve veljajo za pomembno tveganje, saj lahko zlahka motijo poslovanje in so sorazmerno enostavni za izvedbo.
Druga ranljivost deluje tudi tako, da pošlje vrsto zlonamernih SACK-ov (zlonamerni potrditveni paketi), ki porabijo računalniške vire ranljivega sistema. Operacije običajno delujejo tako, da fragmentirajo čakalno vrsto za ponovno oddajo paketov TCP.
Izkoriščanje te ranljivosti, ki ji sledimo kot CVE-2019-11478, močno poslabša delovanje sistema in lahko povzroči popolno zavrnitev storitve.
Ti dve ranljivosti izkoriščata način, kako operacijski sistemi obvladujejo zgoraj omenjeno selektivno ozaveščenost o TCP (na kratko SACK).
SACK je mehanizem, ki omogoča računalniku prejemnika komunikacije, da pošiljatelju sporoči, kateri segmenti so bili uspešno poslani, tako da je izgubljene mogoče vrniti. Ranljivosti delujejo tako, da preplavijo čakalno vrsto, ki shranjuje prejete pakete.
Tretja ranljivost, odkrita v FreeBSD 12 in identifikacija CVE-2019-5599, deluje na enak način kot CVE-2019-11478, vendar je v interakciji z RACK-oddajno kartico tega operacijskega sistema.
Četrta ranljivost, CVE-2019-11479., Lahko upočasni prizadete sisteme z zmanjšanjem največje velikosti segmenta za povezavo TCP.
Ta konfiguracija prisili ranljive sisteme, da pošiljajo odgovore v več segmentih TCP, od katerih vsak vsebuje le 8 bajtov podatkov.
Zaradi ranljivosti sistem porablja velike količine pasovne širine in virov za poslabšanje zmogljivosti sistema.
Omenjene različice napadov zavrnitve storitve vključujejo poplave ICMP ali UDP, kar lahko upočasni delovanje omrežja.
Ti napadi povzročijo, da žrtev za odziv na zahteve za napad na račun veljavnih zahtev uporabi vire, kot so pasovna širina in sistemski vmesniki.
Raziskovalci Netflixa so odkrili te ranljivosti in so jih za več dni javno napovedovali.
Distribucije Linuxa so izdale popravke za te ranljivosti ali pa imajo nekaj resnično koristnih sprememb v konfiguraciji, ki jih ublažijo.
Rešitve so blokiranje povezav z majhno največjo velikostjo segmenta (MSS), onemogočanje obdelave SACK ali hitro onemogočenje sklada TCP RACK.
Te nastavitve lahko motijo verodostojne povezave in če je sklad TCP RACK onemogočen, lahko napadalec povzroči drago veriženje povezanega seznama za naslednje SACK-ove, pridobljene za podobno povezavo TCP.
Na koncu si zapomnimo, da je paket protokolov TCP / IP zasnovan tako, da deluje v zanesljivem okolju.
Model je bil razvit kot sklop prilagodljivih protokolov, odpornih proti napakam, ki so dovolj robustni, da se izognejo okvaram v primeru ene ali več napak vozlišča.