Исследователи нашли фундаментальную уязвимость во всех TCP/IP стеках

2 октября 2008 года

Шведские эксперты по компьютерной безопасности из компании Outpost24, Роберт Ли (Robert E. Lee) и Джек Льюис (Jack C. Louis), в процессе разработки утилиты unicornscan для распределенного сканирования портов заметили ряд аномалий, исследовав которые, обнаружили(недоступная ссылка) фундаментальную проблему безопасности, дающую возможность вызова отказа в обслуживании всех протестированных реализаций TCP/IP стека (Windows, BSD, Linux, различные TCP/IP стеки для встраиваемых систем), не требуя при этом отправки гигантских объемов пакетов. Детали связанные с техникой проведения атаки будут представлены на конференции T2, которая пройдет 17 октября в городе Хельсинки.

Для совершения атаки не обязательно прибегать к услугам многотысячных зомби сетей, метод Роберта Ли и Джека Льюиса позволяет нарушить работоспособность любой системы, используя один компьютер, подключенный к сети через типичный ADSL-линк. Представленная техника "reverse SYN cookies" атаки, позволяет вызвать переполнение таблиц, хранящих состояние TCP соединений, через определенные манипуляции c SYN cookie на этапе установки соединения, что приведет к блокировке приема новых коннектов.

Несмотря на то, что производители межсетевых экранов и операционных систем уже давно получили уведомление о данной уязвимости, придумать вариант исправления или обходной путь решения проблемы так и не удалось (судя по предварительному описанию, может помочь только отключение обработки SYN cookie, но тогда система будет уязвима перед SYN-флудом).

Интересно, что описание эффекта от данной атаки очень походит на два раза наблюдаемые в моей практике странные блокировки системы из-за исчерпания свободных сокетов, при абсолютно стандартной нагрузке - в один прекрасный момент все TCP соединения переставали нормально завершаться и оставались в состоянии TIME_WAIT, пока не достигался лимит на число сокетов, будто перестал работать какой-то чистильщик мусора в ядре.