TCP / IP協議套件,是在美國國防部的讚助下開發的, 產生了固有的安全問題 協議設計或大多數TCP / IP實現。
自從發現黑客利用這些漏洞以來, 對系統執行各種攻擊。 TCP / IP協議套件中利用的典型問題是IP欺騙,端口掃描和拒絕服務。
很多 Netflix研究人員發現了4個缺陷 這可能會對數據中心造成嚴重破壞。 這些漏洞最近在Linux和FreeBSD操作系統中被發現。 它們使黑客能夠鎖定服務器並破壞遠程通信。
關於發現的錯誤
最嚴重的漏洞稱為 SACK Panic,可以通過發送選擇性的TCP確認序列來利用 專為易受攻擊的計算機或服務器而設計。
系統將通過崩潰或進入內核恐慌來做出反應。 成功利用此漏洞(標識為CVE-2019-11477)會導致遠程拒絕服務。
拒絕服務攻擊試圖消耗目標系統或網絡上的所有關鍵資源,以使它們無法正常使用。 拒絕服務攻擊被認為是重大風險,因為它們很容易破壞業務,並且相對容易執行。
第二個漏洞也可以通過發送一系列惡意SACK起作用 (惡意確認數據包)消耗了易受攻擊的系統的計算資源。 這些操作通常通過對隊列進行分段以重新傳輸TCP數據包而起作用。
利用此漏洞(跟踪為CVE-2019-11478), 嚴重降低系統性能,並可能導致完全拒絕服務。
這兩個漏洞利用操作系統處理上述“選擇性TCP意識”(簡稱“ SACK”)的方式。
SACK是一種機制,它允許通信收件人的計算機告訴發送者哪些段已成功發送,以便可以將丟失的段返回。 漏洞通過使存儲接收到的數據包的隊列溢出而起作用。
第三個漏洞是在FreeBSD 12中發現的 並識別CVE-2019-5599, 它的工作方式與CVE-2019-11478相同,但它與此操作系統的RACK發送卡進行交互。
第四個漏洞CVE-2019-11479。可以通過減少TCP連接的最大段大小來減慢受影響的系統。
此配置強制易受攻擊的系統通過多個TCP段發送響應,每個TCP段僅包含8個字節的數據。
這些漏洞導致系統消耗大量帶寬和資源,從而降低系統性能。
前面提到的拒絕服務攻擊的變體包括ICMP或UDP泛洪,這可能會減慢網絡運行速度。
這些攻擊導致受害者使用帶寬和系統緩衝區之類的資源來響應攻擊請求,但以有效請求為代價。
Netflix研究人員發現了這些漏洞 他們公開宣布了好幾天。
Linux發行版已發布了針對這些漏洞的補丁程序,或者進行了一些非常有用的配置調整來緩解這些漏洞。
解決方案是阻止具有最大段大小(MSS)較小的連接,禁用SACK處理或快速禁用TCP RACK堆棧。
這些設置可能會破壞可靠的連接,並且如果禁用了TCP RACK堆棧,攻擊者可能會導致為相似的TCP連接獲取的後續SACK的鍊錶進行昂貴的鏈接。
最後,讓我們記住,TCP / IP協議套件是為在可靠的環境中工作而設計的。
該模型已開發為一組靈活的容錯協議,這些協議足夠健壯,可以避免在一個或多個節點發生故障時發生故障。