Набір протоколів TCP / IP, розроблений під патронатом Міністерства оборони США, породив невід'ємні проблеми безпеки до дизайну протоколу або до більшості реалізацій TCP / IP.
Оскільки було виявлено, що хакери використовують ці вразливості виконувати різні атаки на системи. Типовими проблемами, які використовуються у наборі протоколів TCP / IP, є підробка IP-адрес, сканування портів та відмова в обслуговуванні.
L Дослідники Netflix виявили 4 недоліки що може спричинити хаос у центрах обробки даних. Ці вразливості нещодавно були виявлені в операційних системах Linux та FreeBSD. Вони дозволяють хакерам блокувати сервери та порушувати віддалений зв’язок.
Про виявлені помилки
Найсерйозніша вразливість, т.зв. SACK Panic можна використати, надіславши вибіркову послідовність підтвердження TCP спеціально розроблений для вразливого комп'ютера або сервера.
Система зреагує збоєм або входом у ядро паніки. Успішне використання цієї вразливості, визначеної як CVE-2019-11477, призводить до віддаленої відмови в обслуговуванні.
Атаки відмови в обслуговуванні намагаються використати всі критичні ресурси цільової системи або мережі, щоб вони не були доступні для звичайного використання. Атаки відмови в обслуговуванні вважаються значним ризиком, оскільки вони можуть легко зірвати бізнес і порівняно прості у виконанні.
Друга вразливість також працює, надсилаючи серію шкідливих SACK (зловмисні пакети підтвердження), які споживають обчислювальні ресурси вразливої системи. Операції зазвичай працюють шляхом фрагментації черги для повторної передачі TCP-пакетів.
Експлуатація цієї вразливості, що реєструється як CVE-2019-11478, серйозно погіршує продуктивність системи і потенційно може спричинити повну відмову в обслуговуванні.
Ці дві вразливості використовують спосіб, яким операційні системи обробляють вищезгадану селективну обізнаність щодо TCP (коротше SACK).
SACK - це механізм, який дозволяє комп’ютеру одержувача зв’язку повідомити відправника, які сегменти були успішно відправлені, щоб ті, що були втрачені, могли бути повернуті. Вразливості працюють, переповнюючи чергу, яка зберігає отримані пакети.
Третя вразливість, виявлена у FreeBSD 12 та ідентифікація CVE-2019-5599, працює так само, як CVE-2019-11478, але взаємодіє з RACK-карткою відправника цієї операційної системи.
Четверта вразливість, CVE-2019-11479., Може уповільнити уражені системи за рахунок зменшення максимального розміру сегмента для TCP-з'єднання.
Ця конфігурація змушує вразливі системи надсилати відповіді через декілька сегментів TCP, кожен з яких містить лише 8 байт даних.
Вразливості змушують систему споживати велику кількість пропускної здатності та ресурсів для погіршення продуктивності системи.
Вищезазначені варіанти атак відмови в обслуговуванні включають повені ICMP або UDP, що може сповільнити роботу мережі.
Ці атаки змушують жертву використовувати такі ресурси, як пропускна здатність та системні буфери, для реагування на запити на атаку за рахунок дійсних запитів.
Дослідники Netflix виявили ці вразливості і вони оголосили їх публічно протягом декількох днів.
Дистрибутиви Linux випустили виправлення для цих вразливостей або мають деякі корисні налаштування конфігурації, які їх пом'якшують.
Рішення полягають у блокуванні з’єднань із низьким максимальним розміром сегмента (MSS), вимкненні обробки SACK або швидкому вимкненні стеку TCP RACK.
Ці налаштування можуть порушити справжні підключення, і якщо стек TCP RACK вимкнено, зловмисник може призвести до дорогого ланцюжка пов'язаного списку для наступних SACK, отриманих для подібного TCP-з'єднання.
Нарешті, згадаймо, що набір протоколів TCP / IP розроблений для роботи в надійному середовищі.
Модель розроблена як набір гнучких, відмовостійких протоколів, які є достатньо надійними, щоб уникнути збоїв у разі відмови одного або декількох вузлів.