Ang TCP / IP protocol suite, binuo sa ilalim ng pagtangkilik ng Kagawaran ng Depensa ng Estados Unidos, ay nakabuo ng mga likas na isyu sa seguridad sa disenyo ng protocol o sa karamihan ng mga pagpapatupad ng TCP / IP.
Dahil isiniwalat na ginagamit ng mga hacker ang mga kahinaan na ito upang maisagawa ang iba`t ibang mga pag-atake sa mga system. Karaniwang mga problemang pinagsamantalahan sa TCP / IP suite ng mga protokol ay ang spoofing ng IP, pag-scan sa port, at mga pagtanggi sa serbisyo.
Los Natuklasan ng mga mananaliksik ng Netflix ang 4 na mga bahid na maaaring makapinsala sa mga sentro ng data. Ang mga kahinaan na ito ay natuklasan kamakailan sa mga operating system ng Linux at FreeBSD. Pinapayagan nila ang mga hacker na i-lock ang mga server at makagambala sa mga remote na komunikasyon.
Tungkol sa mga nahanap na mga bug
Ang pinaka-seryosong kahinaan, tinawag SACK Panic, maaaring mapagsamantalahan sa pamamagitan ng pagpapadala ng isang pumipili na pagkakasunud-sunod ng pagkilala sa TCP partikular na idinisenyo para sa isang mahina laban sa computer o server.
Magre-react ang system sa pamamagitan ng pag-crash o pagpasok sa Kernel Panic. Ang matagumpay na pagsasamantala sa kahinaan na ito, na kinilala bilang CVE-2019-11477, ay nagreresulta sa isang malayuang pagtanggi sa serbisyo.
Ang pagtanggi ng mga pag-atake sa serbisyo ay pagtatangka na ubusin ang lahat ng mga kritikal na mapagkukunan sa isang target na system o network upang hindi sila magamit para sa normal na paggamit. Ang pagtanggi ng mga pag-atake sa serbisyo ay itinuturing na isang malaking panganib dahil madali silang makagambala sa isang negosyo at medyo simple upang maisagawa.
Gumagawa din ang pangalawang kahinaan sa pamamagitan ng pagpapadala ng isang serye ng mga nakakahamak na SACK (nakakahamak na mga packet ng kumpirmasyon) na kumakain ng mga mapagkukunan ng computing ng mahina na sistema. Karaniwang gumagana ang mga operasyon sa pamamagitan ng pag-fragment ng isang pila para sa muling pagpapadala ng mga TCP packet.
Ang pagsasamantala sa kahinaan na ito, sinusubaybayan bilang CVE-2019-11478, malubhang pinapahamak ang pagganap ng system at maaaring maging sanhi ng isang kumpletong pagtanggi ng serbisyo.
Ang dalawang kahinaan na ito ay pinagsamantalahan ang paraan ng mga operating system na pangasiwaan ang nabanggit na Selective TCP Awcious (SACK para sa maikli).
Ang SACK ay isang mekanismo na nagpapahintulot sa computer ng tatanggap ng komunikasyon na sabihin sa nagpadala kung aling mga segment ang matagumpay na naipadala, upang ang mga nawala ay maibalik. Gumagana ang mga kahinaan sa pamamagitan ng pag-apaw sa isang pila na ang mga tindahan ay nakatanggap ng mga packet.
Ang pangatlong kahinaan, natuklasan sa FreeBSD 12 at pagkilala sa CVE-2019-5599, gumagana sa parehong paraan tulad ng CVE-2019-11478, ngunit nakikipag-ugnay sa RACK na nagpapadala ng kard ng operating system na ito.
Ang ika-apat na kahinaan, CVE-2019-11479., Maaaring mapabagal ang mga apektadong system sa pamamagitan ng pagbawas sa maximum na laki ng segment para sa isang koneksyon sa TCP.
Pinipilit ng pagsasaayos na ito ang mga mahina na system upang magpadala ng mga tugon sa maraming mga segment ng TCP, na ang bawat isa ay naglalaman lamang ng 8 bytes ng data.
Ang mga kahinaan ay sanhi na ubusin ng system ang maraming bandwidth at mga mapagkukunan upang mapahamak ang pagganap ng system.
Ang nabanggit na mga pagkakaiba-iba ng pagtanggi ng mga pag-atake sa serbisyo ay kasama ang pagbaha ng ICMP o UDP, na maaaring makapagpabagal ng mga pagpapatakbo ng network.
Ang mga pag-atake na ito ay sanhi upang gumamit ang biktima ng mga mapagkukunan tulad ng bandwidth at mga buffer ng system upang tumugon sa mga kahilingan sa pag-atake na gastos ng wastong mga kahilingan.
Natuklasan ng mga mananaliksik ng Netflix ang mga kahinaan na ito at inanunsyo nila sa publiko sa maraming araw.
Ang mga pamamahagi ng Linux ay naglabas ng mga patch para sa mga kahinaan na ito o mayroong ilang talagang kapaki-pakinabang na mga pag-aayos ng pagsasaayos na nagpapagaan sa kanila.
Dapat harangan ng mga solusyon ang mga koneksyon na may mababang maximum na laki ng segment (MSS), huwag paganahin ang pagproseso ng SACK, o mabilis na huwag paganahin ang TCP RACK stack.
Ang mga setting na ito ay maaaring makagambala ng mga tunay na koneksyon, at kung ang TCP RACK stack ay hindi pinagana, ang isang magsasalakay ay maaaring maging sanhi ng mamahaling chain ng naka-link na listahan para sa mga kasunod na SACK na nakuha para sa isang katulad na koneksyon sa TCP.
Panghuli, tandaan natin na ang TCP / IP protocol suite ay dinisenyo upang gumana sa isang maaasahang kapaligiran.
Ang modelo ay binuo bilang isang hanay ng mga kakayahang umangkop, mga mapagparaya na mga protokol na sapat na matatag upang maiwasan ang mga pagkabigo sa kaganapan ng isa o higit pang mga pagkabigo sa node.