Linux və FreeBSD TCP yığınlarında xidmət zəifliklərinin uzaqdan rədd edilməsi
Netflix şirkəti bir neçə kritik Linux və FreeBSD TCP yığınlarında, bu, uzaqdan nüvə qəzasını başlatmağa və ya xüsusi hazırlanmış TCP paketlərini (ölüm paketi) emal edərkən həddindən artıq resurs istehlakına səbəb olmağa imkan verir. Problemlər TCP paketində maksimum məlumat blokunun ölçüsü (MSS, Maksimum seqment ölçüsü) və əlaqələrin seçmə təsdiqi mexanizmi (SACK, TCP Seçici Təsdiqləmə) üçün işləyicilərdə səhvlər.
(SACK Panic) - 2.6.29-dan başlayaraq Linux ləpələrində görünən və işləyicidə tam ədədlərin çoxalması səbəbindən bir sıra SACK paketləri göndərərək kernel panikasına səbəb olan problem. Hücum etmək üçün TCP bağlantısı üçün MSS dəyərini 48 bayta təyin etmək kifayətdir (aşağı hədd seqment ölçüsünü 8 bayta təyin edir) və müəyyən bir şəkildə düzülmüş SACK paketlərinin ardıcıllığını göndərməkdir.
Təhlükəsizlik həlləri olaraq, SACK emalını söndürə bilərsiniz (/proc/sys/net/ipv0/tcp_sack-ə 4 yazın) və ya aşağı MSS ilə əlaqələr (yalnız sysctl net.ipv4.tcp_mtu_probing 0-a təyin edildikdə işləyir və aşağı MSS ilə bəzi normal əlaqələri poza bilər);
(SACK Slowness) - SACK mexanizminin pozulmasına (4.15-dən kiçik Linux nüvəsindən istifadə edərkən) və ya həddindən artıq resurs sərfinə gətirib çıxarır. Problem, təkrar ötürmə növbəsini (TCP təkrar ötürmə) parçalamaq üçün istifadə edilə bilən xüsusi hazırlanmış SACK paketlərini emal edərkən baş verir. Təhlükəsizlik həlləri əvvəlki zəifliyə bənzəyir;
(SACK Slowness) - bir TCP bağlantısı daxilində xüsusi SACK ardıcıllığını emal edərkən göndərilən paketlərin xəritəsinin parçalanmasına səbəb olmağa və resurs tutumlu siyahı sayma əməliyyatının yerinə yetirilməsinə səbəb olmağa imkan verir. Problem FreeBSD 12-də RACK paket itkisinin aşkarlanması mexanizmi ilə ortaya çıxır. Çözüm kimi siz RACK modulunu söndürə bilərsiniz;
- təcavüzkar Linux nüvəsinin cavabları hər birində cəmi 8 bayt məlumat ehtiva edən bir neçə TCP seqmentinə bölməsinə səbəb ola bilər ki, bu da trafikin əhəmiyyətli dərəcədə artmasına, CPU yükünün artmasına və rabitə kanalının tıxanmasına səbəb ola bilər. Qoruma üçün müvəqqəti həll yolu kimi tövsiyə olunur. aşağı MSS ilə əlaqələr.
Linux nüvəsində problemlər 4.4.182, 4.9.182, 4.14.127, 4.19.52 və 5.1.11 buraxılışlarında həll edildi. FreeBSD üçün düzəliş olaraq mövcuddur . Dağıtımlarda nüvə paketləri üçün yeniləmələr artıq buraxılmışdır , , . Hazırlıq zamanı düzəliş , и .
