Ars impetus (CVE-2019-14899) quae fasciculos imitari, modificare, vel in nexus TCP per cuniculos VPN ductos inseri sinit. Quaestio afficit... Linux, FreeBSD, OpenBSD, Android, macOS, iOS et alia systemata Unix similia. Linux Mechanismum rp_filter (filtrationis viae inversae) pro IPv4 sustinet, qui, cum in modo "Stricto" activatur, hanc difficultatem neutralizat.
Modus substituendi fasciculum patitur in ambitu nexuum TCP intra cuniculum encryptatum transeuntium, sed nexus qui adiunctis encryptionis stratis utuntur, uti non sinit. Algorithmi encryptionis in VPN usu nullius sunt, quia fasciculi spoofed ab extra interfaciem veniunt et a nucleo quasi fasciculi interfacii VPN tractantur. Verisimile oppugnationis scopum est impedire nexus HTTP unencrypted, sed et utens impetu dns responsionibus manipulare.
Simulatio fasciculorum prospera demonstrata est in cuniculis creatis utens OpenVPN, WireGuard IKEv2/IPSec.Tor huic difficultati non obnoxius est, cum SOCKS ad commeatum transmittendum et ad interfaciem loopback nexum coniungendum utatur. Pro IPv4, impetus fieri potest si rp_filter ad modum "Loose" (sysctl net.ipv4.conf.all.rp_filter = 2) constitutum est. Initio, pleraque systemata modum "Strictum" utebantur, sed incipiens a... , mense Decembri proximo emissum, modus implicitus ad "Loose" mutatus est et haec mutatio in optionibus implicitis multarum distributionum reflexa est. Linux.
rp_filter mechanism insuper ad reprimendam tramitem viae ne fons inscriptionis spoofing. Cum ad 0 ponatur, fons inscriptionis verificationis confici non potest et quaelibet fasciculus transmitti potest inter interfaces retis sine restrictionibus. Modus 1 "Strictus" includit quemlibet fasciculum advenientis contra mensam fusuram reprimendam, et si interfacies retis per quam fasciculus recipitur non coniungitur cum optimali responsione traditionis itineris, fasciculus abicitur. Modus 2 "Solve" repressionem mollit ut laborem permittat, cum onere librariorum vel asymmetricarum fusa utens, in qua
via responsionis non potest transire per interfaciem retis, per quam fasciculum advenientis advenit.
In solve modum, fasciculus advenientis contra mensam fusuram reprimitur, sed valida consideratur si fons inscriptionis locus per quemlibet retis interfaciem praesto est. Propositus impetus innititur eo quod percussor fasciculum mittere potest cum fonte concolorato electronico respondenti VPN interfaciei, et non obstante quod haec fasciculus systema intrat per interfaciem retis externam, et non per VPN, in filtro. "Solve" modum, talis fasciculus non abiciendus est.
Impetum facere debet, oppugnator ostium moderari debet per quod retiaculum utentis accedit (exempli gratia, per MITM organizationem, cum victima coniungitur cum puncto accessu wireless continentis oppugnatoris, vel per ). Portae moderando per quam usor cum reticulo coniungitur, oppugnator potest mittere fasciculos dummy quae in contextu retiacula interfaciendi VPN intellegentur, sed responsiones per cuniculum mittentur.
Fluvium dummy fasciculorum generando in quo substituitur IP oratio interfaciei VPN, conatus fiunt ad nexum ab client constitutum influere, at effectus harum fasciculorum nonnisi per analysim encrypted commercii adiunctorum passiva observari potest. cum operatione cuniculi. Ad impetum faciendum, necesse est invenire IP oratio retis interfaciei cuniculi ab VPN servo assignato, et etiam determinare nexum cum certo exercitui actu per cuniculum acturi.
Ad IP interfaciei retiariae virtualis VPN determinandam, fasciculi SYN-ACK ad systema victimae mittuntur, per totum ambitum inscriptionum virtualum ordine progredientes (primum omnium, inscriptiones in VPN per default adhibitae investigantur, exempli gratia in...). OpenVPN Subrete 10.8.0.0/24 adhibetur. Existentia inscriptionis iudicari potest ex responso cum vexillo RST accepto.
Similiter, praesentia nexus ad situm determinatum et numerum portus in latere clientis determinantur - sorting per numeros portus, syn fasciculus mittitur ad utentem ut fons inscriptionis, in quo situs IP substituitur, ac oratio destinationis est VPN virtualis IP. Portus ministrantis dici potest (80 pro HTTP), et numerus portus in latere clientis potest esse brutus cogendus, dividendo pro diversis numeris mutationem responsionum in intensione responsionum ACK cum absentia fasciculi cum vexillo RST .
In hoc statu oppugnator cognoscit omnia quattuor elementa nexus (fons IP oratio/portus et destinatio IP oratio/portus), sed ut fasciculum generandum phantasticum quem ratio victimae accipiet, oppugnator TCP determinare debet ordo et agnitio numeri (seq et ack )—connections. Ad parametros hos definiendos, oppugnator continue emittit fictos RST packets, varias seriei numeros quaerit, donec responsionis ACK capiat fasciculum, cuius adventus indicat numerum in fenestra TCP cadere.
Deinde aggressor recte detectionis comprobat fasciculos cum eodem numero mittendo et responsa ACK advenientia observando, post quod numerum exactum seriei currentis determinat. Munus complicatum est eo quod responsa intra cuniculum encryptatum mittuntur, et praesentia earum in flumine intercepto tantum indirecte investigari potest. Utrum cliens fasciculum ACK ad servitorem VPN inscriptum miserit, determinatur secundum magnitudinem et moram responsorum encryptatorum, quae cum missione fasciculorum falsorum congruunt. Exempli gratia, pro... OpenVPN Fasciculus encryptus magnitudinis 79 nobis permittit accurate iudicare eum confirmationem ACK continere.
Ante oppugnationem praesidium ad nucleum systematis operantis accedit, ut tempus problema claudendi utens fasciculum colum in "preroute" catena, obstrue transitum fasciculi in quo virtualis IP oratio cuniculi specificatur sicut oratio destinatum.
iptables -t rudis ego prerouting! -i wg0 -d 10.182.12.8 -m addrtype ! --src-type LOCAL -j DROP
vel nftables
nft addendi mensam ip raw
nft adde catena ip rudis prerouting ' { type filter hook prerouting prior 0; }'
nft add regula ip raw prerouting 'iifname != "wg0" ip daddr 10.182.12.8 fib saddr type != localis gutta'
Ad tutelam cum cuniculis cum IPv4 inscriptionibus utens, satis est rp_filter ad modum "stricti" ("sysctl net.ipv4.conf.all.rp_filter = 1") apponere. Ex parte VPN, modus determinandi numerum sequentium impediri potest, additis additamentis ad fasciculos encryptatos addito, magnitudinem omnium fasciculorum eandem faciens.
Source: opennet.ru
