Tcp信道远程劫持漏洞安全预警
近日研究者发现Linux内核存在Tcp协议安全漏洞(CVE-2016-5696) ,可导致网络流量被劫持。
漏洞详情
TCP通信的安全加强标准RFC5961的实施存在一些弱点,导致Linux内核的TCP实现中的挑战应答存在信息泄露的风险。该漏洞采用边信道攻击方案,可以确认互联网上的任意两台主机是否通过TCP连接进行通讯(并发现端口号),以及推测出TCP报文头的序列号(sequence number),这样一来就能强制终止双方的连接,甚至在连接中插入恶意payload了。如果漏洞被恶意利用,攻击者能够劫持未加密的网络流量,破坏一些加密通信。
但是攻击者需要知道服务器和客户端双方TCP通信的源IP地址、目标IP地址、源端口、目标端口,还需要猜测出处于in-window的TCP序列号,才能对连接进行重置或者注入恶意数据。Linux 内核版本3.6-4.7受到该漏洞的影响。
Linux 内核版本3.6-4.7:影响对象
- CentOS和Red Hat版本6、7受影响
- Ubuntu 12.04 (LTS)、14.04 (LTS)、16.04 (LTS)受影响;
- Debian7、8受影响
采用sysctl将挑战应答极限值提高到较大范围,使得攻击者不能合理地达到它,因此不能推断出客户服务器连接的任何附加数据,以此达到防御目的。 1、设置 /etc/sysctl.conf 中的net.ipv4.tcp_challenge_ack_limit 到一个较大的值(如999999999):防御方法
net.ipv4.tcp_challenge_ack_limit = 9999999992、加载设置
sysctl -p参考:
http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf https://access.redhat.com/security/cve/cve-2016-5696 https://blogs.akamai.com/2016/08/vulnerability-in-the-linux-kernels-tcp-stack-implementation.html https://bobcares.com/blog/fix-linux-off-path-tcp-attacks-cve-2016-5696
