TCP / IP协议套件,是在美国国防部的赞助下开发的, 产生了固有的安全问题 协议设计或大多数TCP / IP实现。
自从发现黑客利用这些漏洞以来, 对系统执行各种攻击。 TCP / IP协议套件中利用的典型问题是IP欺骗,端口扫描和拒绝服务。
MGI Netflix研究人员发现了4个缺陷 这可能会对数据中心造成严重破坏。 这些漏洞最近在Linux和FreeBSD操作系统中被发现。 它们使黑客能够锁定服务器并破坏远程通信。
关于发现的错误
最严重的漏洞称为 SACK Panic,可以通过发送选择性的TCP确认序列来利用 专为易受攻击的计算机或服务器而设计。
系统将通过崩溃或进入内核恐慌来做出反应。 成功利用此漏洞(标识为CVE-2019-11477)会导致远程拒绝服务。
拒绝服务攻击试图消耗目标系统或网络上的所有关键资源,以使它们无法正常使用。 拒绝服务攻击被认为是重大风险,因为它们很容易破坏业务,并且相对容易执行。
第二个漏洞也可以通过发送一系列恶意SACK起作用 (恶意确认数据包)消耗了易受攻击的系统的计算资源。 这些操作通常通过对队列进行分段以重新传输TCP数据包而起作用。
利用此漏洞(跟踪为CVE-2019-11478), 严重降低系统性能,并可能导致完全拒绝服务。
这两个漏洞利用操作系统处理前述的选择性TCP意识(简称SACK)的方式。
SACK是一种机制,它允许通信收件人的计算机告诉发送者哪些段已成功发送,以便可以将丢失的段返回。 漏洞通过使存储接收到的数据包的队列溢出而起作用。
第三个漏洞是在FreeBSD 12中发现的 并识别CVE-2019-5599, 它的工作方式与CVE-2019-11478相同,但是它与此操作系统的RACK发送卡进行交互。
第四个漏洞CVE-2019-11479。可以通过减少TCP连接的最大段大小来减慢受影响的系统。
此配置强制易受攻击的系统通过多个TCP段发送响应,每个TCP段仅包含8个字节的数据。
这些漏洞导致系统消耗大量带宽和资源,从而降低系统性能。
前面提到的拒绝服务攻击的变体包括ICMP或UDP泛洪,这可能会减慢网络运行速度。
这些攻击导致受害者使用带宽和系统缓冲区之类的资源来响应攻击请求,但以有效请求为代价。
Netflix研究人员发现了这些漏洞 他们公开宣布了好几天。
Linux发行版已发布了针对这些漏洞的补丁程序,或者进行了一些非常有用的配置调整来缓解这些漏洞。
解决方案是阻止具有最大段大小(MSS)较小的连接,禁用SACK处理或快速禁用TCP RACK堆栈。
这些设置可能会破坏可靠的连接,并且如果禁用了TCP RACK堆栈,攻击者可能会导致为相似的TCP连接获取的后续SACK链表的链接成本很高。
最后,让我们记住,TCP / IP协议套件是为在可靠的环境中工作而设计的。
该模型已开发为一组灵活,容错的协议,这些协议足够健壮,可以避免在一个或多个节点发生故障时发生故障。