ชุดโปรโตคอล TCP / IP, พัฒนาภายใต้การอุปถัมภ์ของกระทรวงกลาโหมสหรัฐอเมริกา, ได้สร้างปัญหาด้านความปลอดภัยโดยธรรมชาติ ไปจนถึงการออกแบบโปรโตคอลหรือการใช้งาน TCP / IP ส่วนใหญ่
เนื่องจากมีการเปิดเผยว่าแฮกเกอร์ใช้ช่องโหว่เหล่านี้ เพื่อทำการโจมตีระบบต่างๆ ปัญหาทั่วไปที่ใช้ประโยชน์ในชุดโปรโตคอล TCP / IP ได้แก่ การปลอมแปลง IP การสแกนพอร์ตและการปฏิเสธบริการ
ลอส นักวิจัยของ Netflix ได้ค้นพบข้อบกพร่อง 4 ประการ ที่อาจสร้างความหายนะในศูนย์ข้อมูล ช่องโหว่เหล่านี้เพิ่งถูกค้นพบในระบบปฏิบัติการ Linux และ FreeBSD อนุญาตให้แฮกเกอร์ล็อกเซิร์ฟเวอร์และขัดขวางการสื่อสารระยะไกล
เกี่ยวกับข้อบกพร่องที่พบ
ช่องโหว่ที่ร้ายแรงที่สุดเรียกว่า SACK Panic สามารถใช้ประโยชน์ได้โดยการส่งลำดับการตอบรับ TCP ที่เลือก ออกแบบมาโดยเฉพาะสำหรับคอมพิวเตอร์หรือเซิร์ฟเวอร์ที่มีช่องโหว่
ระบบจะตอบสนองโดยการหยุดทำงานหรือเข้าสู่ Kernel Panic การใช้ช่องโหว่นี้สำเร็จซึ่งระบุว่าเป็น CVE-2019-11477 ส่งผลให้เกิดการปฏิเสธการให้บริการจากระยะไกล
การโจมตีแบบปฏิเสธการให้บริการจะพยายามใช้ทรัพยากรที่สำคัญทั้งหมดบนระบบเป้าหมายหรือเครือข่ายเพื่อให้ไม่สามารถใช้งานได้ตามปกติ การโจมตีปฏิเสธการให้บริการถือเป็นความเสี่ยงที่สำคัญเนื่องจากสามารถขัดขวางธุรกิจได้อย่างง่ายดายและค่อนข้างง่ายในการดำเนินการ
ช่องโหว่ที่สองยังทำงานโดยการส่งชุด SACK ที่เป็นอันตราย (แพ็กเก็ตการยืนยันที่เป็นอันตราย) ที่ใช้ทรัพยากรคอมพิวเตอร์ของระบบที่มีช่องโหว่ โดยปกติการดำเนินการจะทำงานโดยการแยกส่วนคิวสำหรับการส่งแพ็กเก็ต TCP ใหม่
การใช้ประโยชน์จากช่องโหว่นี้ติดตามใน CVE-2019-11478 ทำให้ประสิทธิภาพของระบบลดลงอย่างรุนแรงและอาจทำให้เกิดการปฏิเสธการให้บริการโดยสิ้นเชิง
ช่องโหว่ทั้งสองนี้ใช้ประโยชน์จากวิธีที่ระบบปฏิบัติการจัดการกับ Selective TCP Awareness ดังกล่าวข้างต้น (SACK ย่อ)
SACK เป็นกลไกที่ช่วยให้คอมพิวเตอร์ของผู้รับการสื่อสารสามารถบอกผู้ส่งได้ว่าส่วนใดถูกส่งสำเร็จเพื่อให้สามารถส่งคืนส่วนที่สูญหายได้ ช่องโหว่ทำงานโดยการล้นคิวที่จัดเก็บแพ็กเก็ตที่ได้รับ
ช่องโหว่ที่สามที่ค้นพบใน FreeBSD 12 และระบุ CVE-2019-5599 มันทำงานในลักษณะเดียวกับ CVE-2019-11478 แต่โต้ตอบกับการ์ดส่ง RACK ของระบบปฏิบัติการนี้
ช่องโหว่ที่สี่ CVE-2019-11479 สามารถทำให้ระบบที่ได้รับผลกระทบช้าลงโดยการลดขนาดเซ็กเมนต์สูงสุดสำหรับการเชื่อมต่อ TCP
การกำหนดค่านี้บังคับให้ระบบที่มีช่องโหว่ส่งการตอบสนองผ่าน TCP หลายเซ็กเมนต์ซึ่งแต่ละส่วนมีข้อมูลเพียง 8 ไบต์
ช่องโหว่ทำให้ระบบใช้แบนด์วิดท์และทรัพยากรจำนวนมากเพื่อลดประสิทธิภาพของระบบ
รูปแบบต่างๆข้างต้นของการโจมตีแบบปฏิเสธการให้บริการ ได้แก่ ICMP หรือ UDP Floodซึ่งอาจทำให้การทำงานของเครือข่ายช้าลง
การโจมตีเหล่านี้ทำให้เหยื่อใช้ทรัพยากรเช่นแบนด์วิดท์และบัฟเฟอร์ของระบบเพื่อตอบสนองต่อคำขอโจมตีโดยเสียค่าใช้จ่ายตามคำขอที่ถูกต้อง
นักวิจัยของ Netflix ค้นพบช่องโหว่เหล่านี้ และประกาศต่อสาธารณะเป็นเวลาหลายวัน
ลินุกซ์ดิสทริบิวชันได้เปิดตัวแพตช์สำหรับช่องโหว่เหล่านี้หรือมีการปรับแต่งการกำหนดค่าที่มีประโยชน์จริงๆ
วิธีแก้ปัญหาคือการบล็อกการเชื่อมต่อที่มีขนาดเซ็กเมนต์สูงสุดต่ำ (MSS) ปิดใช้งานการประมวลผล SACK หรือปิดใช้งานสแต็ก TCP RACK อย่างรวดเร็ว
การตั้งค่าเหล่านี้สามารถขัดขวางการเชื่อมต่อที่แท้จริงและหากปิดใช้งานสแต็ก TCP RACK ผู้โจมตีอาจทำให้รายการที่เชื่อมโยงมีราคาแพงสำหรับ SACK ที่ได้มาสำหรับการเชื่อมต่อ TCP ที่คล้ายกัน
สุดท้ายโปรดจำไว้ว่าชุดโปรโตคอล TCP / IP ได้รับการออกแบบมาให้ทำงานในสภาพแวดล้อมที่เชื่อถือได้
โมเดลนี้ได้รับการพัฒนาเป็นชุดโปรโตคอลที่ยืดหยุ่นและทนต่อความผิดพลาดซึ่งมีประสิทธิภาพเพียงพอที่จะหลีกเลี่ยงความล้มเหลวในกรณีที่โหนดล้มเหลวตั้งแต่หนึ่งโหนดขึ้นไป