刚刚完成 Nessus 扫描,唯一返回的内容是“TCP/IP 序列预测盲重置欺骗 DoS” - 可能会向远程系统发送欺骗的 RST 数据包。
描述:远程主机可能受到序列号近似漏洞的影响,该漏洞可能允许攻击者向远程主机发送伪造的 RST 数据包并关闭已建立的连接。这可能会给某些专用服务(BGP、TCP 上的 VPN 等)带来问题。
我正在使用 ubuntu 12.04,我该如何修补或防止这个问题?
答案1
最近的内核已经修复了这个问题。内核修复参考RFC 5961 第 3 节处理同一问题。
答案2
简短的回答是:你不需要。
这是指CVE-2004-0230并且主要对具有非常长寿命 TCP 连接的机器造成问题(BGP 路由器就是一个典型的例子,因为 BGP 会话往往会保持数月的活动状态)。这基本上是一种拒绝服务攻击,而且是非常困难的攻击。
你能采取的唯一缓解措施是使用较小的窗口大小(这会增加需要考虑的可能 RST 目标池),但要使用初始序列随机化,并且要求攻击者知道源 IP 和目标 IP和端口,不值得为此付出任何努力。
Red Hat 的咨询页面如果你感兴趣的话,可以进行详细的分析。