TCP / IP protokol paketiAmerika Birleşik Devletleri Savunma Bakanlığı himayesinde geliştirilen, doğal güvenlik sorunları yarattı protokol tasarımına veya çoğu TCP / IP uygulamasına.
Bilgisayar korsanlarının bu güvenlik açıklarını kullandığı ortaya çıktığından beri sistemlere çeşitli saldırılar gerçekleştirmek. TCP / IP protokol paketinde kötüye kullanılan tipik sorunlar, IP sahtekarlığı, bağlantı noktası taraması ve hizmet reddidir.
Jardines de Viveros Netflix araştırmacıları 4 kusur keşfetti bu, veri merkezlerinde hasara yol açabilir. Bu güvenlik açıkları yakın zamanda Linux ve FreeBSD işletim sistemlerinde keşfedilmiştir. Bilgisayar korsanlarının sunucuları kilitlemesine ve uzaktan iletişimi kesintiye uğratmasına izin verirler.
Bulunan hatalar hakkında
En ciddi güvenlik açığı, adı verilen SACK Panic, seçici bir TCP alındı bildirimi dizisi gönderilerek kullanılabilir. savunmasız bir bilgisayar veya sunucu için özel olarak tasarlanmıştır.
Sistem çökerek veya Çekirdek Panikine girerek tepki verecektir. CVE-2019-11477 olarak tanımlanan bu güvenlik açığından başarıyla yararlanılması, uzaktan hizmet reddine neden olur.
Hizmet reddi saldırıları, bir hedef sistem veya ağdaki tüm kritik kaynakları normal kullanım için uygun olmayacak şekilde tüketmeye çalışır. Hizmet reddi saldırıları, bir işi kolayca sekteye uğratabilecekleri ve nispeten gerçekleştirilmeleri görece basit oldukları için önemli bir risk olarak kabul edilir.
İkinci bir güvenlik açığı, bir dizi kötü amaçlı SACK göndererek de çalışır. savunmasız sistemin bilgi işlem kaynaklarını tüketen (kötü niyetli onay paketleri). İşlemler tipik olarak TCP paketlerinin yeniden iletimi için bir kuyruğu parçalara ayırarak çalışır.
CVE-2019-11478 olarak izlenen bu güvenlik açığından yararlanma, sistem performansını ciddi şekilde düşürür ve potansiyel olarak tam bir hizmet reddine neden olabilir.
Bu iki güvenlik açığı, işletim sistemlerinin yukarıda belirtilen Seçmeli TCP Farkındalığını (kısaca SACK) ele alma şeklinden yararlanır.
SACK, bir iletişim alıcısının bilgisayarının gönderene hangi segmentlerin başarıyla gönderildiğini söyleyerek kaybolan segmentlerin iade edilmesini sağlayan bir mekanizmadır. Güvenlik açıkları, alınan paketleri depolayan bir kuyruğu aşarak çalışır.
FreeBSD 12'de keşfedilen üçüncü güvenlik açığı ve CVE-2019-5599'u tanımlayan, CVE-2019-11478 ile aynı şekilde çalışır, ancak bu işletim sisteminin RACK gönderme kartıyla etkileşime girer.
Dördüncü bir güvenlik açığı olan CVE-2019-11479. TCP bağlantısı için maksimum segment boyutunu azaltarak etkilenen sistemleri yavaşlatabilir.
Bu yapılandırma, savunmasız sistemleri, her biri yalnızca 8 bayt veri içeren birden çok TCP kesimi üzerinden yanıt göndermeye zorlar.
Güvenlik açıkları, sistemin, sistem performansını düşürmek için büyük miktarda bant genişliği ve kaynak tüketmesine neden olur.
Hizmet reddi saldırılarının yukarıda belirtilen varyantları arasında ICMP veya UDP taşmaları bulunur, ağ işlemlerini yavaşlatabilir.
Bu saldırılar, kurbanın, geçerli istekler pahasına saldırı isteklerine yanıt vermek için bant genişliği ve sistem arabellekleri gibi kaynakları kullanmasına neden olur.
Netflix araştırmacıları bu güvenlik açıklarını keşfetti ve bunları birkaç gün boyunca kamuoyuna duyurdular.
Linux dağıtımları, bu güvenlik açıkları için yamalar yayınladı veya bunları hafifleten gerçekten yararlı bazı yapılandırma ayarlarına sahip.
Çözümler, maksimum segment boyutu (MSS) düşük olan bağlantıları engellemek, SACK işlemeyi devre dışı bırakmak veya TCP RACK yığınını hızla devre dışı bırakmaktır.
Bu ayarlar gerçek bağlantıları kesintiye uğratabilir ve eğer TCP RACK yığını devre dışı bırakılırsa, bir saldırgan benzer bir TCP bağlantısı için edinilen sonraki SACK'ler için bağlantılı listenin maliyetli zincirlenmesine neden olabilir.
Son olarak, TCP / IP protokol paketinin güvenilir bir ortamda çalışmak üzere tasarlandığını hatırlayalım.
Model, bir veya daha fazla düğüm arızası durumunda arızaları önlemek için yeterince sağlam olan bir dizi esnek, hataya dayanıklı protokol olarak geliştirilmiştir.