Как исправить ошибку "Прогноз последовательности TCP/IP для слепого сброса спуфинга DoS"
Только что завершил сканирование Nessus, и единственное, что вернулось, было "Прогнозирование последовательностей TCP/IP вслепую Reset Spoofing DoS" - возможно, можно отправить поддельные RST-пакеты в удаленную систему.
Описание: На удаленный хост может повлиять уязвимость приближения порядкового номера, которая может позволить злоумышленнику отправлять поддельные RST-пакеты на удаленный хост и закрывать установленные соединения. Это может вызвать проблемы для некоторых выделенных служб (BGP, VPN через TCP и т. Д.).
Я использую Ubuntu 12.04, как я могу исправить или предотвратить эту проблему?
2 ответа
Это исправлено в последних версиях ядра. Исправление ядра ссылается на раздел 3 RFC 5961, в котором рассматривается та же проблема.
Краткий ответ: нет.
Это относится к CVE-2004-0230 и в первую очередь является проблемой для машин с очень долгоживущими TCP-соединениями (наглядным примером этого являются маршрутизаторы BGP, поскольку сеансы BGP, как правило, остаются активными месяцами). По сути, это атака типа "отказ в обслуживании", причем невероятно сложная.
Единственное, что вы можете сделать для смягчения, - это использовать меньшие размеры окон (это увеличивает пул вероятных целей RST, которые необходимо учитывать), но с рандомизацией начальной последовательности и требованием, чтобы злоумышленник знал и IP-адреса источника и назначения и порты, не стоит прикладывать к этому никаких усилий.
На справочной странице Red Hat есть хорошая разбивка, если вам интересно.