web-dev-qa-db-ja.com

「TCP / IPシーケンス予測ブラインドリセットスプーフィングDoS」を修正する方法

Nessusスキャンを終了したばかりで、戻ってきたのは「TCP/IPシーケンス予測ブラインドリセットスプーフィングDoS」だけでした。スプーフィングされたRSTパケットをリモートシステムに送信できる可能性があります。

説明:リモートホストは、攻撃者がスプーフィングされたRSTパケットをリモートホストに送信し、確立された接続を閉じることを可能にする可能性のあるシーケンス番号近似の脆弱性の影響を受ける可能性があります。これにより、一部の専用サービス(BGP、VPN over TCPなど)で問題が発生する可能性があります。

buntu 12.04を使用していますが、この問題にパッチを適用または防止するにはどうすればよいですか?

1
Mike Curry

これは最近のカーネルで修正されました。 カーネル修正 参照 RFC 5961セクション これは同じ問題を扱います。

1
Victor Gottardi

簡単な答え:あなたはしません。

これは CVE-2004-02 を指し、主に非常に長寿命のTCP接続を持つマシンの問題です(BGPルーターはBGPとして、この典型的な例です)セッションは数か月間アクティブなままになる傾向があります)。これは基本的にサービス拒否攻撃であり、非常に難しい攻撃です。

軽減するためにできる唯一のことは、より小さなウィンドウサイズを使用することです(これにより、考慮しなければならない可能性のあるRSTターゲットのプールが増加します)が、初期シーケンスのランダム化と、攻撃者が送信元IPと宛先IPの両方を知っている必要がありますおよびポート、これに努力する価値はありません。

Red Hatのアドバイザリページ 興味がある場合は、適切な内訳があります。

6
hrunting