Linux真的很安全吗?研究员发现Linux TCP存在漏洞 CVE-2016-5696 ,黑客可能利用它绑架用户的通讯,或者注入恶意软件 ,还能让HTTPS加密连接失效。更糟糕的是,连Tor洋葱头翻墙软件及其网络也可能被绑架,细思极恐……
在USENIX安全研讨会上,由加州大学河滨分校和美国陆军研究实验室6位研究员组成的团队进行了概念验证性质的演示,利用这个Linux TCP漏洞来探测两台主机是否基于TCP通信,并最终攻击了这两台主机间的流量。
结合研究员自己的说明及CVE-2016-5696的描述,可以判断出受影响的Linux版本包括(Linux内核版本为3.6-4.7),也就是说2012年以后部署的Linux系统,不管互联网用户直接还是间接使用了Linux,这个漏洞都将对他们造成严重威胁。
这个漏洞也可以用来强制终止HTTPS加密连接,降低安全连接的隐私保护级别,并威胁到Tor用户的匿名性(通过将Tor用户路由到某些恶意的中继)。
CVE是什么
CVE 的英文全称是“Common Vulnerabilities & Exposures”,是由US-CERT发起及资助的国际标准组织,成立于1999年。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据。
CVE-2016-5696
从CVE的官方页面上可以看到这个LInux TCP漏洞的描述,
在Linux4.7以前版本的内核中,net/ipv4/tcp_input.c 没有正确的确定ACK段的速率,这导致它跟容易遭受中间人攻击,进而遭受TCP会话绑架。
虽然Linux 3.6以上版本受这个漏洞影响,但Windows、OS X、FreeBSD据称因尚未完全实现RFC5961而未受影响。
Linux TCP漏洞攻击可能危及互联网通信的心脏
TCP是互联网通信的心脏。所有应用层协议,包括HTTP、FTP、SSH、Telnet、DNS和SMTP,都基于TCP。通过TCP协议,Web服务器和其它应用在主机之间建立连接、传输数据。而Linux在互联网上的应用很广泛,从web服务器到安卓智能手机、平板、智能电视,从PC系统到科研机构的各种服务器。
当这个漏洞出现在这两者的组合体上,将会获得多大的被攻击群体?不得不佩服这个研究团队的课题选择真是相当的到位。这个漏洞实际源于RFC5961的设计和实现。RFC5961是一个较新的互联网标准,旨在帮助广泛使用的TCP更有效地对抗黑客攻击。
RFC是什么
全称Request For Comments,是由是由互联网工程任务组(IETF)及互联网协会(ISOC)联合发布的一系列文件,文件收集了Internet相关的开发及标准信息,以编号排序。
RFC5961
在 RFC5961页面上 看到这一条是2010年8月提交的,可以看到Cisco 与 huawei的名字。这个标准本来是为了增加TCP的健壮性,以避免遭受攻击的,但没想到……
无需处于中间人(man-in-the-middle)位置
通常,TCP协议将消息拆分成一串数据报文,通过序列号唯一地标识报文,并将报文发送给接受者。接收到报文之后,接收者将报文重组为原始消息。
研究员们发现,通过“旁路”攻击,黑客只需要知道收发双方的IP地址,在攻击开始10秒钟内就可准确猜中TCP报文序列号。这意味着,使用伪造IP的攻击者不需要处于中间人(man-in-the-middle)位置,就可以在互联网上任意两台机器之间拦截和注入TCP报文。
些研究员的发现在名为《旁路TCP利用:全局速率限制被认为是危险的》(PDF)的论文中进行了详细说明。他们在大会上介绍了这篇论文,
而且还向与会者展示了…如何往今日美国网站注入一个钓鱼表单。
瞄准Tor网络
这些研究员还展示了如何利用这个漏洞(CVE-2016-5696)破解SSH连接并篡改Tor匿名网络上的加密通信。
Tor是什么
Tor ( The Onion Router , 洋葱路由器 )是实现匿名通信的自由软件。Tor是第二代洋葱路由的一种实现,国内有很多用户都通过Tor代理翻墙,在因特网上进行匿名交流。
研究员在论文中谈到:
“总之,我们相信瞄准Tor连接的DoS攻击对服务的整体可用性及服务提供的隐私保障都有毁灭性的影响。”
“Tor的默认策略是这样的:如果两个中继节点——中间中继和出口中继——之间的连接失效,中间中继会选择另一个出口中继来建立下一个连接。
如果能通过重置攻击(reset attack)侦听失效的连接,攻击者就有可能强迫中间中继使用特定的出口中继,这样就被攻击者绑架了。”
想到有多少人都在用Tor洋葱头翻墙,一旦被人劫持将有多少人被陷害,又有多少人成为DDoS肉鸡?这种攻击如此可怕该怎么办?
如何应对利用Linux TCP漏洞的攻击
在研究人员为当前Linux内核开发和分发漏洞修复补丁的同时,作为一个临时措施,你可以将Linux机器或者配件的ACK速率上限提升到一个无法达到的大值。
为此,你需要将下列规则添加到/etc/sysctl.conf文件中:
net.ipv4.tcp_challenge_ack_limit = 999999999
添加完之后,
使用sysctl –p命令来激活这一规则。你需要root来完成这一操作。
这些研究者们还指出,其实来自Linux的攻击正在快速增长中。
Linux僵尸网络在Q2 DDoS攻击比例达到 70% 增长一倍
来自卡巴斯基的2016年第二季度报告称,DDoS攻击的数量继续稳固增长。尽管SYN DDoS、TCP DDoS和HTTP DDoS都是最常见的攻击类型,但SYN DDoS攻击的比例同上一季度相比,增长了1.4倍,占全部DDoS攻击总量的76%。
造成这一现象的主要原因,是因为来自Linux僵尸网络的攻击比例几乎翻倍(达到70%),而Linux僵尸计算机又是发动SYN-DDoS攻击最有效的工具。
这是卡巴斯基DDoS情报服务首次注意到基于Linux的DDoS僵尸计算机和基于Windows的DDoS僵尸计算机在攻击行动上出现不平衡。 卡巴斯基实验室首席恶意软件分析师Oleg Kupreev评论:
“Linux服务器通常会包含一些常见漏洞,但是这些服务器很少安装可靠的安全解决方案,使得它们很容易被僵尸程序所感染。这些因素让Linux服务器成为僵尸网络运营者进行攻击的工具。
利用基于Linux的计算机发动攻击非常简单,并且有效。这些攻击可以持续数周,而服务器的主人根本就不会意识到自己的服务器成为了攻击来源。不仅如此,只使用一台服务器,网络罪犯就可以实施规模可媲美数百台计算机所发动的攻击。
所以,企业需要事先准备好应对这种情况,确保企业得到可靠的反DDoS攻击保护,抵御各种复杂程度和持续时长的攻击”。
原文发布时间:2017年3月24日
本文由:安全加 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/linux-tcp-packet-hacking-rfc-5961-cve-2016-5696
本文来自合作伙伴安全加,了解相关信息可以关注安全加网站