The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

11.08.2016 08:59  Уязвимость, позволяющая вклиниться в стороннее TCP-соединение

На конференции Usenix Security Symposium группа исследователей из Калифорнийского университета в Риверсайде и исследовательской лаборатории армии США обнародовали сведения о возможности совершения пассивных атак на TCP, позволяющих удалённо инициировать разрыв сетевого соединения или осуществить подстановку своих пакетов в TCP-поток к клиенту или серверу.

В отличие от MITM-атак, новый метод не требует контроля за коммуникациями - для атаки достаточно знать IP-адрес сервера, IP-адрес клиента и сетевой порт сервера. В рамках доклада был продемонстрирован рабочий пример атаки, в результате которой в запрошенную одним из пользователей web-страницу с известного новостного сайта была осуществлена подстановка стороннего блока данных. Кроме того упомянута возможность применения атаки для обрыва подключения пользователя с входящим шлюзам Tor, нарушения связи между узлами Tor и модификации незашифрованного трафика между выходящим узлом Tor и целевым сайтом.

Суть проблемы в недоработке механизмов ограничения интенсивности обработки ACK-пакетов, описанных в спецификации RFC 5961, что позволяет вычислить информацию о номере последовательности, идентифицирующей поток в TCP-соединении, и со стороны отправить подставные пакеты, которые будут обработаны как часть атакуемого TCP-соединения. Представленный метод не специфичен для конкретных TCP-стеков и проявляется при наличии расширений ограничения интенсивности обработки пакетов (RFC 5961), реализованных для борьбы с подбором номера последовательности TCP.

Суть атаки в наводнении хоста запросами для срабатывания ограничения в обработчике ACK-пакетов, который манипулирует общим для всей системы счётчиком, параметры которого можно получить меняя характер нагрузки. Атакующий может создать "шумовую завесу" для определения значения общего счётчика ограничения интенсивности ACK-ответов, после чего на основании оценки изменения числа отправленных пакетов, укладывающихся в лимит, определить номер клиентского порта и осуществить подбор номера последовательности для конкретного TCP-соединения (при совпадении счётчик лимита ACK уменьшится при неизменном потоке). Метод существенно упрощает подбор, позволяя осуществить его менее чем за минуту. В зависимости от условий успешность атаки составляет от 88 до 97 процентов.

Проблема уже подтверждена в Linux (CVE-2016-5696) и проявляется c 2012 года в выпусках ядра Linux c 3.6 по 4.7. В качестве обходного метода защиты рекомендуется увеличить лимит на число одновременно обрабатываемых ACK-пакетов, установив переменную /proc/sys/net/ipv4/tcp_challenge_ack_limit в очень большое значение. Для новых ядер значение по умолчанию увеличено со 100 до 1000 и добавлена дополнительная рандомизация для снижения предсказуемости параметров работы системы ограничения ACK-пакетов.

Дополнение: По мотивам доклада подготовлен прототип скрипта, определяющего исходный порт клиентского соединения (внимание, скрипт генерирует около 700 пакетов в секунду).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Уязвимость в TCP-стеке FreeBSD, позволяющая обрывать чужие TCP-соединения
  3. OpenNews: Исследователи нашли фундаментальную уязвимость во всех TCP/IP стеках
  4. OpenNews: Текущее состояние генераторов "TCP Initial Sequence Numbers" в различных ОС.
  5. A Security Assessment of the Internet Protocol
  6. OpenNews: Google исправил ошибку, около 10 лет присутствующую в TCP-стеке ядра Linux
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: tcp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:24, 11/08/2016 [ответить] [смотреть все]
  • +2 +/
    Проверил у себя sidbox cat proc sys net ipv4 tcp_challenge_ack_limit 10... весь текст скрыт [показать]
     
  • 1.2, AS, 10:29, 11/08/2016 [ответить] [смотреть все]  
  • +1 +/
    Fedora21 -
    [root@sef21 ~]# cat  /proc/sys/net/ipv4/tcp_challenge_ack_limit
    100
    [root@sef21 ~]#

    Fedora24server -
    [root@asterisk001 filter.d]# cat  /proc/sys/net/ipv4/tcp_challenge_ack_limit
    1000
    [root@asterisk001 filter.d]#

    они знали !

     
     
  • 2.4, eRIC, 10:50, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    1000 vs 999999999 1- Open etc sysctl conf, append a command 8220 net ipv4 tcp... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 19:27, 11/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    В Linux Mint не пашет. Все-равно 100 определяет.
     
     
  • 4.45, Аноним, 00:42, 12/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ой! :)) Теперь так:
    cat  /proc/sys/net/ipv4/tcp_challenge_ack_limit
    999999999
     
     
  • 5.55, Аноним, 21:25, 12/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Как ты думаешь, твоя система реально прожует 999 миллионов записей в очереди Мы... весь текст скрыт [показать]
     
     
  • 6.57, Аноним, 23:47, 12/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Ладно, уговорили. Оставил 1000. :)
     
  • 1.3, Нанобот, 10:33, 11/08/2016 [ответить] [смотреть все]  
  • +1 +/
    судя по последней ссылке, там не просто увеличение tcp_challenge_ack_limit со 100 до 1000, а ещё какие-то изменения в коде
     
     
  • 2.56, Аноним, 22:29, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, я б даже сказал само собой или очевидно.
     
  • 2.58, parad, 04:13, 13/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ну так в новости написано и про изменения в коде.
     
  • 1.5, t28, 10:54, 11/08/2016 [ответить] [смотреть все]  
  • –9 +/
    > проявляется c 2012 года в выпусках ядра Linux c 3.6 по 4.7

    Всё ясно.

     
     
  • 2.53, Аноним, 21:10, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Новость не читал, но Linux осуждаешь Казалось бы, при чем тут RFC ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Ващенаглухо, 11:10, 11/08/2016 [ответить] [смотреть все]  
  • +4 +/
    А в grsecurity давным давно есть фича Truly random TCP ISN.
     
  • 1.7, Moomintroll, 11:28, 11/08/2016 [ответить] [смотреть все]  
  • –2 +/
    Напомнило дедушкины страшилки про Кевина Митника...
     
  • 1.9, Аноним, 12:03, 11/08/2016 [ответить] [смотреть все]  
  • +1 +/
    root www01 cat etc lsb-release DISTRIB_ID Ubuntu DISTRIB_RELEASE 16 04 DISTR... весь текст скрыт [показать]
     
  • 1.10, freehck, 12:08, 11/08/2016 [ответить] [смотреть все]  
  • +/
    % cat /etc/debian_version
    8.3
    % cat  /proc/sys/net/ipv4/tcp_challenge_ack_limit
    100
     
     
  • 2.46, _KUL, 04:33, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Это ж Вам не винда, что бы версию оси смотреть Нужно сразу ядро apt-cache... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, freehck, 11:49, 12/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Тогда уж uname -a А то мало ли какие ядра у вас там стоят в системе Но ... весь текст скрыт [показать]
     
     
  • 4.61, _KUL, 09:22, 13/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Иногда на бизнес-критичных узлах, админы собирают ручками ядро, с тонкой настрой... весь текст скрыт [показать]
     
  • 2.64, snmp agent, 17:36, 15/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    % cat /etc/debian_version
    8.3

    Обновляться? Зачем?

     
  • 1.11, Аноним, 12:16, 11/08/2016 [ответить] [смотреть все]  
  • +/
    cat etc centos-release CentOS Linux release 7 2 1511 Core uname -r 3 10 0... весь текст скрыт [показать]
     
  • 1.12, слакварявод, 12:18, 11/08/2016 [ответить] [смотреть все]  
  • –2 +/
    bash-4.3# cat /etc/slackware-version
    Slackware 14.2
    bash-4.3#  cat  /proc/sys/net/ipv4/tcp_challenge_ack_limit
    1000
     
     
  • 2.13, слакварявод, 12:22, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    и довесок bash-4 3 uname -a Linux 7-21a-226-o1182 4 7 0 1 SMP PREEMPT Wed Jul... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, angra, 12:29, 11/08/2016 [ответить] [смотреть все]  
  • +9 +/
    Уязвимость конечно серьезная, но надо по дефолту исходить, что интернет не является безопасной средой передачи и tcp пакеты могут быть подменены или просто прочитаны сторонними лицами. Собственно ssh, https и прочая придуманы именно ради этого и на тех, кто их применяет, данная уязвимость не скажется.

    P.S. даешь еще сотню сообщений о том, у кого какое значение в net.ipv4.tcp_challenge_ack_limit

     
  • 1.15, aurved, 12:41, 11/08/2016 [ответить] [смотреть все]  
  • –1 +/
    А как насчет FreeBSD?

    Пишут что вроде ни OSX, ни Windows, ни FreeBSD не подвержены этой уязвимости,
    так как в них не реализован RFC 5961. Хотя в тоже время пишут что чувак разрабатывавший этот RFC -- Randal Stewart, is a FreeBSD source committer.

     
     
  • 2.16, Аноним, 12:43, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Красиво уделал конкурентов, те готовы кушать все эксперементы на собственной шку... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, aurved, 12:45, 11/08/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    ну все-таки линукс и фрюха не совсем конкуренты, линукс уже давно в другой в... весь текст скрыт [показать]
     
     
  • 4.59, parad, 04:20, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    угу, сам торвальдьс про эту весовую категорию говорил что-то из разряда - задолб... весь текст скрыт [показать]
     
  • 2.23, zanswer, 13:54, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мы с вами можем говорить о том, что FreeBSD имеет частичную поддержку https w... весь текст скрыт [показать] [показать ветку]
     
  • 2.24, Аноним, 14:02, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Угу Упоминание в каммитах 2010, поддержка мипсов в 2008, а потом code Date ... весь текст скрыт [показать] [показать ветку]
     
  • 2.66, rvs2016, 19:15, 24/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да-да Но интересует только FreeBSD Остальные винды там всякие сидят у меня вну... весь текст скрыт [показать] [показать ветку]
     
     ....нить скрыта, показать (6)

  • 1.20, Аноним, 13:42, 11/08/2016 [ответить] [смотреть все]  
  • +/
    Ничоси бывает Рандумность - не рандумна Еще можно подключить фургончик начин... весь текст скрыт [показать]
     
     
  • 2.25, Ъ, 14:11, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Излучения то вовсе не случайные и вполне неплохо декодируются Compromising elec... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, Аноним, 13:51, 11/08/2016 [ответить] [смотреть все]  
  • +/
    Почему по В 4 7 устранена же ... весь текст скрыт [показать]
     
     
  • 2.26, pkdr, 14:34, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –6 +/
    Вообще-то с 3 6 по 4 7 означает больше, чем 3 6, меньше чем 4 7, но не включа... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Sluggard, 15:00, 11/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Как раз включая 3.6, но не включая 4.7, математик.
     
     
  • 4.65, fx, 09:30, 22/08/2016 [^] [ответить] [смотреть все]  
  • +/
    "по 4.7" = "включая 4.7", гуманитарий. это "до" обычно не включая.
     
  • 2.27, Аноним, 14:40, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Linux (≥  3.6 || < 4.7)
     
     
  • 3.28, Аноним, 14:41, 11/08/2016 [^] [ответить] [смотреть все]  
  • +/
    > Linux (≥  3.6 || < 4.7)

    Спасибо капитан!

     
     
  • 4.33, Evolve32, 16:48, 11/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Капитан вообще-то прокапитанил
    (≥  3.6 && < 4.7)
     
     
  • 5.35, Аноним, 17:11, 11/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Спасибо граммар-капитан я вас ждал, редактировать нельзя С любовью ваш искренни... весь текст скрыт [показать]
     
     
  • 6.38, MPEG LA, 18:48, 11/08/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    ты снова попутал, он буль-капитан, а не граммар
     
  • 3.40, Аноним, 19:35, 11/08/2016 [^] [ответить] [смотреть все]  
  • +/
    3 6 4 7 Или вообще x 8364 Linuxversion 124 Linuxversion R, x 3 ... весь текст скрыт [показать]
     
     
  • 4.48, freehck, 11:58, 12/08/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Евро Евро, блин s 8364 8712 ... весь текст скрыт [показать]
     
  • 1.29, Аноним, 14:48, 11/08/2016 [ответить] [смотреть все]  
  • +1 +/
    rhel6 подвержен, 5 - нет.
     
  • 1.31, Аноним, 15:17, 11/08/2016 [ответить] [смотреть все]  
  • +/
    offtop gOldfisk и rancidbacon открыли для мира анальные зонды, в прямом и пер... весь текст скрыт [показать]
     
  • 1.32, Аноним, 16:10, 11/08/2016 [ответить] [смотреть все]  
  • +/
    Тогда почему RHEL 5 и 6 подвержены Там ядра 2 6 ... весь текст скрыт [показать]
     
     
  • 2.41, Аноним, 19:54, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Бэкпортов много.
     
  • 2.44, angra, 00:32, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Во-первых, только RHEL6, но не RHEL5 Во-вторых, номер ядра у RHEL показывает тол... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, j3qq4, 17:27, 11/08/2016 [ответить] [смотреть все]  
  • +/
    интересно, уязвим ли ТОР за НАТ-ом...
     
     
  • 2.43, h31, 23:17, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Смотря где Соединение между узлами Tor-сети - там должна быть защита от инъекци... весь текст скрыт [показать] [показать ветку]
     
  • 1.42, Анончик, 21:28, 11/08/2016 [ответить] [смотреть все]  
  • +/
    # uname -r
    4.7.0-gentoo

    # cat  /proc/sys/net/ipv4/tcp_challenge_ack_limit
    1000

     
  • 1.49, Аноним, 19:17, 12/08/2016 [ответить] [смотреть все]  
  • +/
    Сайт может сбрасывать суммы страницы браузеру через Тор 2 соединения Прямое и ... весь текст скрыт [показать]
     
     
  • 2.51, Аноним, 19:23, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Суммы не совпадают - браузер не показывает пользователю сайт и временно блочит д... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, Аноним, 19:25, 12/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну и разумеется: "Отправить Жалобу"
     
  • 2.54, Аноним, 21:21, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это еще что за левый софт Алсо, приватность VPN ниже, т к нет цепочки хостов, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, Аноним, 16:17, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Они должны знать, что именно им нужно атаковать, в этом и фишка.
     
  • 3.63, Аноним, 16:22, 13/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Я вот тут подумал, а ведь список всех Tor nodes открыт и всем известен Почему б... весь текст скрыт [показать]
     
  • 1.50, Аноним, 19:21, 12/08/2016 [ответить] [смотреть все]  
  • +2 +/
    Я думаю в нашем любимом Интернете ещё море фундаментальных уязвимостей, о которы... весь текст скрыт [показать]
     
  • 1.60, Аноним, 05:40, 13/08/2016 [ответить] [смотреть все]  
  • +1 +/
    та-же фигня с SynCookie, который при должной вычислительной мощи и что важнее фи... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList