LINUX.ORG.RU
ФорумSecurity

Обнаружена уязвимость в протоколе TCP


0

0

Утверждается, что новому классу атак не требуется широкополосный канал. При этом работа сервера или маршрутизатора может не возобновиться даже после прекращения атаки. Чтобы исправить положение, их придется перезагружать. Для "парализации" оборудования достаточно атаки продолжительностью до четырех минут.

http://lenta.ru/news/2008/10/02/tcpip/


Я понимаю, что это очередной *капец, но в чём же уязвимость?

manntes ★★
()

>В настоящее время пока не найдено средств от нового класса атак, кроме запрета на анонимные соединения.

а что такое "анонимные соединения"?

CFA
()

галактеко опасносте?

isden ★★★★★
()
Ответ на: комментарий от anonymous 

> Вот тут мысли Федора по этому поводу

было очень интересно. Отличная статья достойная ЛОР новостей.

Valeriy_Onuchin ★★
()
Ответ на: комментарий от Dima_Ky

Дядя Фёдор говорит, что это всё грязный пеар и провокация, он давно этим методом сервисы клиентов на надёжность тестировал.

manntes ★★
()
Ответ на: комментарий от Dima_Ky

У Федора говорится о создании полноценных tcp-соединений с одного или нескольких нефейковых IP. Тогда эту атаку можно просто обойти либо забанив эти IP либо установив ограничение max requests per ip. Outpost24 же говорят о полном запрете анонимных соединений! Что-то я не пойму.

Chumka ★★★
()
Ответ на: комментарий от Chumka

похоже они говорят о разных вещах
1.
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1332898,0...

Many TCP servers use a technique known as a SYN cookie in order to prevent attackers using spoofed IP addresses from launching SYN flood denial-of-service attacks against them. The cookie is essentially a chosen TCP initial sequence number that is calculated using some specific hashed metadata that reflects the details of the specific TCP connection. Once the client returns a correct packet to the server, the server knows that the client isn't using a forged IP address.

Sockstress computes and stores so-called client-side SYN cookies and enables Lee and Louis to specify a destination port and IP address. The method allows them to complete the TCP handshake without having to store any values, which takes time and resources. "We can then say that we want to establish X number of TCP connections on that address and that we want to use this attack type, and it does it," Lee said.

2. http://insecure.org/stf/tcp-dos-attack-explained.html

1. Attacker sends a TCP SYN packet to the target port from your own IP address (or one you control) to request a connection.
2. The target port is open, so it will respond with a SYN/ACK packet—the 2nd step of the TCP 3-way handshake. Remember that attacker sent the SYN as a raw packet from userland rather than using his operating system's connect() API to establish the connections. So when attacker's operating system's TCP stack sees the unexpected SYN/ACK come back, it would normally destroy the nascent connection by sending a reset (RST) packet. This is why the special firewall rule was mentioned—to prevent such interference by attacker's OS. Instead attacker's DoS application handle all these packets by sniffing them from userland (generally using libpcap) and building/sending the raw reply packets.
3. Using the initial sequence number and other information from the SYN/ACK, attacker sends an acknowledgment packet (the final step of the 3-way handshake) to complete the connection.



Valeriy_Onuchin ★★
()
Ответ на: комментарий от Valeriy_Onuchin

спасибо за интересные статьи

OzOx
() автор топика
Ответ на: комментарий от Lumi

автор программы, которой Тринити сканировала матрицу проникая на электростанцию.

ps куда-то делся кусок текста в первой попытке

Lumi ★★★★★
()
Ответ на: комментарий от Valeriy_Onuchin

> вернее, о похожих, но разных вещах.

Насколько я понимаю, основная идея в том, чтоб создать соединение со своей стороны с минимальной затратой ресурсов. Затем манипулируя созданной сессией заставить атакуемую машину выделять какие-то ресурсы, которые обычно в дифеците (не обязательно память).

В чем, по сути, ничего нового нет, возможно им удалось обнаружить какие-то новые векторы в этом направлении.

Dima_Ky
()

интересно другое. утвреждается что MS знала об этом ... 5 лет назад. соотв и квотирование в SP1 к XP. кто-то еще хочет открывать эксплоиты для оффтопика ?

anonymous
()
Ответ на: комментарий от vasily_pupkin 

> Гаг. А мужыки то не знали )) 
syn-flood - открыли в 1996 году, против него придумали syn-cookies,
мужыки открыли,  эти syn-cookies побороть

Valeriy_Onuchin ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security