如何保护我的系统免受 Linux 中的 Off-path TCP 攻击?

如何保护我的系统免受 Linux 中的 Off-path TCP 攻击?

根据cve.mitre.org,4.7之前的Linux内核容易受到“偏离路径”TCP 漏洞

描述

4.7之前的Linux内核中的net/ipv4/tcp_input.c无法正确确定质询ACK段的速率,这使得中间人攻击者更容易通过盲窗内攻击劫持TCP会话。

该漏洞被认为是危险的,因为攻击者只需要一个 IP 地址即可执行攻击。

是否升级Linux内核到最新的稳定版本,4.7.1成为保护我的系统的唯一方法吗?

答案1

根据低水温网络当您没有修补内核时可以使用缓解措施:

有一个旋钮形式的缓解措施 tcp_challenge_ack_limit sysctl。将该值设置为巨大的值(例如999999999)将使攻击者更难利用该缺陷。

您应该通过在中创建文件/etc/sysctl.d然后使用 来实现它来设置它sysctl -a。打开终端(按Ctrl+ Alt+ T),然后运行:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

顺便说一句,您可以在 Debian 上跟踪此漏洞的状态:安全追踪器

答案2

您标记了这个问题,所以我假设您正在运行基于 Linux 的 Debian 系统。

相关补丁修复此错误的方法很小并且相对孤立,使其成为向后移植的主要候选者。

Debian 通常非常擅长将与安全相关的修复程序向后移植到他们在受支持的发行版上发布的软件版本。他们的2016年安全公告清单目前列出了八个与 Linux 内核(linuxlinux-2.6软件包)相关的安全建议,最新的是DSA-36167 月 4 日。您提到的错误的补丁已于一周后(即 7 月 11 日)提交到源代码树。

LTS(长期支持)团队为 Wheezy 提供安全支持截至 2018 年 5 月 31 日,Jessie 目前正在通过当前版本接收正常的安全更新。

我希望尽快发布安全补丁反对受此错误影响的受支持的 Debian 版本。

Debian 附带的内核也可能不易受到攻击。CVE说“4.7之前”,但我怀疑这种说法能否从字面意义上理解;相关代码可能尚未在 Linux 内核的第一个公开版本(1991 年左右)中引入,因此逻辑上必须存在满足早于 4.7 版标准但不易受到攻击的内核版本。我还没有检查这是否适用于当前 Debian 版本所提供的内核。

如果您正在运行不受支持且容易受到攻击的 Debian 版本对于此错误,或者如果您需要立即修复,那么您可能必须手动向后移植修复程序或至少升级到内核本身的更新版本。

相关内容