Pakoja e protokollit TCP / IP, zhvilluar nën patronazhin e Departamentit të Mbrojtjes të Shteteve të Bashkuara, ka gjeneruar çështje të qenësishme të sigurisë te dizajni i protokollit ose te shumica e implementimeve të TCP / IP.
Meqenëse është zbuluar se hakerat përdorin këto dobësi për të kryer sulme të ndryshme në sisteme. Çështjet tipike të shfrytëzuara në paketën e protokolleve TCP / IP janë mashtrimi i IP, skanimi i portit dhe mohimi i shërbimit.
L Studiuesit e Netflix kanë zbuluar 4 defekte që mund të shkaktojë kërdi në qendrat e të dhënave. Këto dobësi janë zbuluar së fundmi në sistemet operative Linux dhe FreeBSD. Ata lejojnë hakerat të mbyllin serverat dhe të prishin komunikimet në distancë.
Për të metat e gjetura
Dobësia më serioze, e quajtur SACK Panic, mund të shfrytëzohet duke dërguar një sekuencë selektive të njohjes së TCP krijuar posaçërisht për një kompjuter ose server të prekshëm.
Sistemi do të reagojë duke përplasur ose duke hyrë në Panikun e Kernelit. Shfrytëzimi i suksesshëm i kësaj dobësie, i identifikuar si CVE-2019-11477, rezulton në një mohim të largët të shërbimit.
Sulmet e mohimit të shërbimit përpiqen të konsumojnë të gjitha burimet kritike në një sistem ose rrjet të synuar në mënyrë që ato të mos jenë të disponueshme për përdorim normal. Sulmet e mohimit të shërbimit konsiderohen si një rrezik i rëndësishëm sepse ato lehtë mund të prishin një biznes dhe janë relativisht të thjeshta për tu kryer.
Një dobësi e dytë funksionon gjithashtu duke dërguar një sërë SACK-a me qëllim të keq (pako konfirmimi me qëllim të keq) që konsumojnë burimet kompjuterike të sistemit të cenueshëm. Operacionet funksionojnë normalisht duke fragmentuar një radhë për ritransmetimin e paketave TCP.
Shfrytëzimi i kësaj dobësie, i gjurmuar si CVE-2019-11478, degradon rëndë performancën e sistemit dhe potencialisht mund të shkaktojë një mohim të plotë të shërbimit.
Këto dy dobësi shfrytëzojnë mënyrën sesi sistemet operative trajtojnë ndërgjegjësimin e lartpërmendur Selective TCP (shkurtimisht SACK).
SACK është një mekanizëm që lejon kompjuterin e një marrësi të komunikimit t'i tregojë dërguesit se cilat segmente janë dërguar me sukses, në mënyrë që ato që kanë humbur të kthehen. Dobësitë funksionojnë duke tejkaluar një radhë që dyqanet marrin pako.
Dobësia e tretë, e zbuluar në FreeBSD 12 dhe identifikimin e CVE-2019-5599, Funksionon në të njëjtën mënyrë si CVE-2019-11478, por ndërvepron me kartën dërguese RACK të këtij sistemi operativ.
Një dobësi e katërt, CVE-2019-11479., Mund të ngadalësojë sistemet e prekura duke ulur madhësinë maksimale të segmentit për një lidhje TCP.
Ky konfigurim detyron sistemet e prekshme të dërgojnë përgjigje mbi segmente të shumta TCP, secila prej të cilave përmban vetëm 8 bajt të dhëna.
Dobësitë bëjnë që sistemi të konsumojë sasi të mëdha të bandës dhe burimeve për të degraduar performancën e sistemit.
Variantet e lartpërmendura të sulmeve të mohimit të shërbimit përfshijnë përmbytjet e ICMP ose UDP, të cilat mund të ngadalësojnë operacionet e rrjetit.
Këto sulme bëjnë që viktima të përdorë burime të tilla si gjerësia e bandës dhe mbrojtësit e sistemit për t'iu përgjigjur kërkesave të sulmit në kurriz të kërkesave të vlefshme.
Studiuesit e Netflix zbuluan këto dobësi dhe ata i njoftuan ato publikisht për disa ditë.
Shpërndarjet Linux kanë lëshuar arna për këto dobësi ose kanë disa ndryshime konfigurimi me të vërtetë të dobishme që i zbutin ato.
Zgjidhjet janë bllokimi i lidhjeve me një madhësi maksimale të ulët të segmentit (MSS), çaktivizimi i përpunimit SACK, ose shpejt çaktivizimi i pirgut TCP RACK.
Këto cilësime mund të prishin lidhjet autentike, dhe nëse pirgja TCP RACK është çaktivizuar, një sulmues mund të shkaktojë zinxhirimin e kushtueshëm të listës së lidhur për SACK-et e mëvonshme të blera për një lidhje të ngjashme TCP.
Së fundmi, le të kujtojmë se paketa e protokollit TCP / IP është krijuar për të punuar në një mjedis të besueshëm.
Modeli është zhvilluar si një grup protokolësh fleksibël, tolerant ndaj gabimeve që janë mjaft të fuqishëm për të shmangur dështimin në rast të një ose më shumë dështimeve të nyjeve.