BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2008/10/01.html

И еще одна дырка в ключевом интернет-протоколе
dl // 02.10.08 11:25
Этот год оказался урожайным на принципиальные уязвимости, заложенные отцами-основателями в ключевые сетевые протоколы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/10/01.html]
На сей раз очередь дошла до протокола TCP и нового класса DoS-атак, которые способны при небольшой толщине канала атакующего эффективно парализовать сервер либо маршрутизатор, причем эффект сохраняется и после окончания воздействия (поскольку в системе жертвы просто заканчиваются ресурсы и она уходит в себя).

Роберт Ли (Robert E. Lee), руководитель подразделения безопасности шведской компании Outpost24, сообщил, что он и его коллега Джек Луис (Jack Louis) обнаружили уязвимость еще в 2005, но решили придержать информацию в надежде обнаружить обходные пути. Однако, окончательно упершись лбом в стенку, они решили обнародовать эти сведения. В течение последнего месяца были проинформированы основные производители операционных систем, маршрутизаторов и межсетевых экранов. В настоящее время не существует реализации TCP-стека, свободного от данной уязвимости (проверено было 15 реализаций).

К сожалению, пока не нашлось приемлемого решения проблемы, за исключением полного запрета анонимных соединений, что полностью неприемлемо для большинства приложений. Впрочем, окончательно впадать в панику еще рановато - детали уязвимости еще не обнародованы, и независимого подтверждения не было. Все, что говорят другие эксперты - "да, это может оказаться серьезным".

Источник: The Register    
теги: dos, уязвимости, retro  |  предложить новость  |  обсудить  |  все отзывы (21) [11457]
назад «  » вперед

аналогичные материалы
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Атака в стиле Meltdown на iOS/macOS-браузеры // 25.10.23 22:40
Массовое внедрение вредоносного кода в драйверы Windows // 17.07.23 01:42
Переполнение буфера остается самой опасной уязвимостью // 30.06.23 23:32
50 лет Ethernet // 22.05.23 18:51
Уязвимость в KeePass // 21.05.23 19:20
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

Если я правильно понял ангельский, у самого атакующего с... 06.10.08 10:19  
Автор: lazy_anty Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Если я правильно понял ангельский, у самого атакующего с каналом все в порядке =)) Просто при помощи манипуляции с данными он дает понять ответной стороне, что канал между ними становится все тоньше и тоньше, а скорость все меньше и меньше. И атакуемый хост соглашается подождать... пару лет )) В отличие от синфлуда, с которым сетевые экраны умеют бороться достаточно эффективно на основании формально заданного порога, отражение этой атаки потребует экспертного мнения - порвать конкретное входящее медленное соединение или нет.
Так, уже теплее... 06.10.08 15:50  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Ну хорошо, понизили скорость передачи данных для одного конкретного соединения до минимума. Что это даёт? Разве это ухудшит процесс передачи данных для других соедений? Дальше-то что делать с «медляками»? -))
Не ухудшит. Но на непропатченных по количеству соединений... 09.10.08 11:33  
Автор: lazy_anty Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> конкретного соединения до минимума. Что это даёт? Разве это
> ухудшит процесс передачи данных для других соедений?
Не ухудшит. Но на непропатченных по количеству соединений системах количество соединений быстро исчерпается.
> Дальше-то что делать с «медляками»? -))
А это хозяину атакуемой системы решать, в принципе - может, у него фильма гигабайтная медленно тянется, а мы её автоматом... того...? ;)
каждое tcp-соединение кушает ресурсы. Если в довесок к "медленному" подключению шмякнуть выборочную отправку фрагментов (selective ASK), то кол-во ресурсов на соединение может стать заметным. При большом количестве таких соединений сервер исчерпает ОЗУ. 06.10.08 23:14  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
Кстати, а вот снижение скорости потока особым видом ICMP пакетов регулируется? 07.10.08 07:07  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 07.10.08 08:30  Количество правок: 1
<"чистая" ссылка>
Я это к тому, что крыжик вендовозного файрвола, отвечающий за разрешение обработки таких пакетов, по умолчанию отключён.
Значит ли это, что венда с включенным файром с такими параметрами не подвержена данному виду атаки?
Совершенно верно . Если я не ошибаюсь, то эта проблема решается элементарной блокировкой ICMP type4 (Source Quench Message) Описанном в RFC 777 18.10.08 14:58  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
Вы меня удивляете. ICMP из внешнего мира лучше вообще... 20.10.08 16:23  
Автор: TRESPASSER[CfK] Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Вы меня удивляете. ICMP из внешнего мира лучше вообще отключать. И большинство так и делает...
It is not true. For instance, PMTU discovery might be very... 25.10.08 19:21  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> Вы меня удивляете. ICMP из внешнего мира лучше вообще
> отключать.
It is not true. For instance, PMTU discovery might be very usefull.
ICMP uses type 3, code 4 for this purpose.

И большинство так и делает...
I disagree. For instance you can filter ICMP redirection messages, but leave the rest if needed.

Agree?
ok. u r right. 26.10.08 15:13  
Автор: trespasser]cfk] Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ой, какие мы гуру! ;) Отключать всё нафиг без разбора )). Посмотрел бы я как ты отлаживаешь запутанный роутинг без того же пинга. 20.10.08 17:26  
Автор: kstati <Евгений Борисов> Статус: Elderman
Отредактировано 20.10.08 17:37  Количество правок: 2
<"чистая" ссылка>
Все, говоришь, отключают ICMP и ты туда же? ;)
>tracert bugtraq.ru
$traceroute bugtraq.ru
На гуру не претендовал. Большинство сайтов которым требуется... 21.10.08 11:36  
Автор: TRESPASSER[CfK] Статус: Незарегистрированный пользователь
Отредактировано 21.10.08 11:47  Количество правок: 2
<"чистая" ссылка>
> Все, говоришь, отключают ICMP и ты туда же? ;)
> >tracert bugtraq.ru
> $traceroute bugtraq.ru
На гуру не претендовал. Большинство сайтов которым требуется повышенная безопасность блокируют ICMP. А маршрутизация разумеется отлаживается с включенным. Это как debug информация в файле, которая потом удаляется при финальной сборке. =^р
PS по крайней мере флаги типа destination unreachable.
Если их будет много, на сервере достигнется предельное число потоков например. И тут достаточно сложно ИМХО отличить атакующий и честный коннект 06.10.08 18:52  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
По ссылке не ходил, и в тексте новости не сказано, в чём суть данной уязвимости. Мож кто скажет в двух словах? 02.10.08 14:22  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 02.10.08 14:25  Количество правок: 1
<"чистая" ссылка>
Cразу же сяду писать эксплойт :-D (Шутка)
Читайте первоисточники. Иногда информация не то чтобы навиду, но явная. Кратко говоря -- доверительные отношения TCP к клиентам губительны. В первоисточнике есть теория действительно не популярного(но используемого) DoS. ИМХО, это не ново - просто шум. 02.10.08 20:31  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
варианты: google -> tcp снижение скорости потока rfc; TCP Selective ACK 04.10.08 20:29  
Автор: kstati <Евгений Борисов> Статус: Elderman
Отредактировано 04.10.08 20:48  Количество правок: 2
<"чистая" ссылка>
One technique they describe is to behave as if their connection were getting slower and slower to the point that the TCP stack is tricked into believing it will take years to complete the transmission of data. This forces the TCP stack to keep trying for years to send just a few bytes.
http://erratasec.blogspot.com/2008/10/tcp-dos-probably-real.html

I'm seeing something unexpected, though. When clients are downloading large files, the servers aren't immediately retransmitting the lost packets. The file download past the gap continues for a very long time. So far, I've seen the file download continue for 3-megabytes before the server goes back and fills in the gap. This can be easily 20 seconds later.
http://erratasec.blogspot.com/2008/10/tcp-selective-ack-considered-evil.html
Сходил по ссылке. Как я понял, там написано, что стек TCP... 03.10.08 10:13  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Сходил по ссылке. Как я понял, там написано, что стек TCP выделяет память под сущность "Соединение" после (syn, syn-ack, ack) цикла рукопожатия.
Но моей светлой голове непонятно, как сидя на "не очень толстом канале" можно вынудить стек TCP/IP атакуемого хоста навыделять столько памяти под эти сущности, чтобы атакуемый хост сдохх.
Пусть атакующий последний ack не посылает и оставляет... 03.10.08 19:47  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Сходил по ссылке. Как я понял, там написано, что стек TCP
> выделяет память под сущность "Соединение" после (syn,
> syn-ack, ack) цикла рукопожатия.
> Но моей светлой голове непонятно, как сидя на "не очень
> толстом канале" можно вынудить стек TCP/IP атакуемого хоста
> навыделять столько памяти под эти сущности, чтобы атакуемый
> хост сдохх.
Пусть атакующий последний ack не посылает и оставляет соединение полуоткрытым. И так тысячу миллионов раз. Сам он, конечно, в своей реализации стека про эти полуоткрытые должен сразу забывать.
Хотя где-то это я уже видел, хе-хе.
Ну дык синфлуду поболе чем 10 лет 03.10.08 21:58  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>


http://en.wikipedia.org/wiki/SYN_flooding
Угу, и от него защищается любой мальски себя уважающий файрвол. Раз такие большие пацаны расшумелись - наверное правда что-то нетривиальное. Или (хотя маловероятно) - самореклама 03.10.08 22:22  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 03.10.08 22:23  Количество правок: 1
<"чистая" ссылка>
I think you are right. 25.10.08 19:25  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Вот из-за таких шутников вряд ли они раскроют даже общие... 02.10.08 14:32  
Автор: sattva Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Cразу же сяду писать эксплойт :-D (Шутка)

Вот из-за таких шутников вряд ли они раскроют даже общие черты проблемы. Специалисту хватит и поверхностного описания, чтобы независимо установить точную причину.
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach