پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > لينڪس ۽ فري بي ايس ڊي ٽي سي پي اسٽيڪ ۾ ڪمزوريون سروس جي ريموٽ انڪار جي ڪري
لينڪس ۽ فري بي ايس ڊي ٽي سي پي اسٽيڪ ۾ ڪمزوريون سروس جي ريموٽ انڪار جي ڪري
Netflix ڪمپني ڪيترائي نازڪ لينڪس ۽ فري بي ايس ڊي ٽي سي پي اسٽيڪ ۾، جيڪي توهان کي ريموٽ طور تي ڪنيل حادثو شروع ڪرڻ جي اجازت ڏين ٿا يا خاص طور تي ٺهيل ٽي سي پي پيڪٽس (پيڪٽ-آف-ڊيٿ) جي پروسيسنگ دوران وسيلن جي اضافي استعمال جو سبب بڻجن ٿا. مسئلا TCP پيڪٽ ۾ وڌ ۾ وڌ ڊيٽا بلاڪ جي سائيز (MSS، وڌ ۾ وڌ سيگمينٽ سائيز) ۽ ڪنيڪشن جي چونڊيل اقرار لاءِ ميڪانيزم (SACK، TCP سليڪٽيو اڪانولجمينٽ) لاءِ هينڊلر ۾ غلطيون.
(SACK Panic) - ھڪڙو مسئلو جيڪو لينڪس ڪنلن ۾ 2.6.29 کان شروع ٿئي ٿو ۽ توھان کي اجازت ڏئي ٿو ته ھينڊلر ۾ انٽيجر اوور فلو جي ڪري SACK پيڪيٽس جي ھڪڙي سيريز موڪلڻ سان ڪرنل گھٻرائجي. حملو ڪرڻ لاءِ، TCP ڪنيڪشن لاءِ MSS ويليو مقرر ڪرڻ ڪافي آهي 48 بائيٽس (هيٺيون حد سيڪشن جي سائيز کي 8 بائيٽس تائين سيٽ ڪري ٿي) ۽ SACK پيڪٽس جو هڪ سلسلو موڪليو جيڪو هڪ خاص طريقي سان ترتيب ڏنو ويو آهي.
حفاظتي ڪم جي طور تي، توهان SACK پروسيسنگ کي بند ڪري سگھو ٿا (لکيو 0 ڏانهن /proc/sys/net/ipv4/tcp_sack) يا گھٽ MSS سان ڪنيڪشن (صرف ڪم ڪري ٿو جڏهن sysctl net.ipv4.tcp_mtu_probing 0 تي سيٽ ڪيو ويو آهي ۽ گهٽ MSS سان ڪجهه عام ڪنيڪشن کي ٽوڙي سگهي ٿو)؛
(SACK Slowness) - SACK ميڪانيزم جي خلل (جڏهن 4.15 کان ننڍو لينڪس ڪنيل استعمال ڪندي) يا وسيلن جو گهڻو استعمال. مسئلو تڏهن ٿئي ٿو جڏهن پروسيسنگ خاص طور تي تيار ڪيل SACK پيڪٽس، جيڪي استعمال ڪري سگھجن ٿيون هڪ ريٽ ٽرانسميشن قطار (TCP retransmission) کي ٽڪرائڻ لاءِ. حفاظتي حل اڳئين ڪمزورين سان ملندڙ جلندڙ آهن.
(SACK Slowness) - توهان کي اجازت ڏئي ٿو ته موڪليل پيڪٽن جي نقشي کي ٽڪرا ٽڪرا ڪرڻ جو سبب بڻائين جڏهن هڪ خاص SACK تسلسل کي هڪ واحد TCP ڪنيڪشن اندر پروسيس ڪري ۽ هڪ وسيلن جي شدت واري فهرست جي ڳڻپ جي عمل کي انجام ڏيڻ جو سبب بڻائين. مسئلو FreeBSD 12 ۾ ظاهر ٿئي ٿو RACK پيڪٽ نقصان جي ڳولا واري ميڪانيزم سان. هڪ حل جي طور تي، توهان RACK ماڊل کي غير فعال ڪري سگهو ٿا؛
- هڪ حملو ڪندڙ لينڪس ڪرنل کي ڪيترن ئي TCP حصن ۾ جوابن کي ورهائڻ جو سبب ڏئي سگهي ٿو، جن مان هر هڪ ۾ صرف 8 بائيٽ ڊيٽا شامل آهن، جيڪو ٽرئفڪ ۾ اهم اضافو، سي پي يو لوڊ وڌائڻ ۽ ڪميونيڪيشن چينل جي بند ٿيڻ جو سبب بڻجي سگهي ٿو. اهو سفارش ڪئي وئي آهي حفاظت لاء هڪ حل جي طور تي. گھٽ MSS سان رابطا.
لينڪس ڪنييل ۾، مسئلا حل ڪيا ويا 4.4.182، 4.9.182، 4.14.127، 4.19.52، ۽ 5.1.11 رليز ۾. فري بي ايس ڊي لاءِ هڪ حل موجود آهي جيئن . تقسيم ۾، kernel پيڪيجز لاء تازه ڪاريون اڳ ۾ ئي جاري ڪيا ويا آهن , , . تياري دوران اصلاح , и .
