LinuxでオフパスTCP攻撃からシステムを保護するにはどうすればよいですか?

LinuxでオフパスTCP攻撃からシステムを保護するにはどうすればよいですか?

~によるとcve.mitre.org, 4.7 より前の Linux カーネルは、次の問題に対して脆弱です。「パス外」TCPの脆弱性

説明する

4.7 以前の Linux カーネルの net/ipv4/tcp_input.c は、チャレンジ ACK セグメントの割合を正しく決定できないため、中間者攻撃者がブラインドウィンドウ攻撃を介して TCP セッションをハイジャックすることが容易になります。

攻撃者が攻撃を実行するにはIPアドレスしか必要ないため、この脆弱性は危険と見なされます。

アップグレードするかどうかLinuxカーネル最新の安定版に切り替えることが4.7.1システムを保護する唯一の方法ですか?

ベストアンサー1

~によると貯水温網カーネルにパッチを当てていない場合は、緩和方法を使用できます。

取っ手の形で安定感があります tcp_challenge_ack_limit sysctl。この値を大きな値(例999999999:)に設定すると、攻撃者が欠陥を悪用するのが難しくなります。

/etc/sysctl.dでファイルを作成し、それを使用して実装して設定する必要がありますsysctl -a。ターミナルを開き(++Ctrl押すAlt)、T次の操作を行います。

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

ところで、Debian ではこの脆弱性の状態を追跡できます。セキュリティトラッカー

おすすめ記事