forum.opennet.ru - "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." (30)

"Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
Сообщение от opennews (ok), 15-Авг-18, 13:39
Следом за выявленной (https://www.opennet.dev/opennews/art.shtml?num=49094) на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована (http://seclists.org/oss-sec/2018/q3/119) информация о другой похожей уязвимости (https://www.kb.cert.org/vuls/id/641765) (CVE-2018-5391 (https://security-tracker.debian.org/tracker/CVE-2018-5391), кодовое имя FragmentSmack (https://bugzilla.redhat.com/show_bug.cgi?id=1609664)), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает (https://access.redhat.com/articles/3553061) алгоритм пересборки фрагментированных IP-пакетов. Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки: для полной утилизации ресурсов одного ядра CPU Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно 2 тысячи пакетов в секунду. Наличие проблемы подтверждено в TCP стеках Linux (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18�...). В ядре Linux проблема проявляется начиная с выпуска ядра 3.9. Обновления с устранением проблемы подготовлены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-5391), Fedora, SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-5391), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5391) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18�...). В качестве обходного пути защиты в Linux можно снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений. sysctl -w net.ipv4.ipfrag_low_thresh=262144 sysctl -w net.ipv4.ipfrag_high_thresh=196608 sysctl -w net.ipv6.ip6frag_low_thresh=262144 sysctl -w net.ipv6.ip6frag_high_thresh=196608 Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов: sysctl net.inet.ip.maxfragpackets=0 sysctl net.inet6.ip6.maxfrags=0 URL: http://seclists.org/oss-sec/2018/q3/119 Новость: https://www.opennet.dev/opennews/art.shtml?num=49135
Ответить \| Правка \| Cообщить модератору

Оглавление

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Catwoolfii (ok), 13:39 , 15-Авг-18, (1) +5

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (14), 16:12 , 15-Авг-18, (14) +5

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., CHERTS (ok), 13:51 , 15-Авг-18, (2) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Ага (?), 14:00 , 15-Авг-18, (5) +1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Stax (ok), 14:17 , 15-Авг-18, (7) +2

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., CHERTS_ (?), 06:35 , 16-Авг-18, (31) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Мегазаычы (?), 03:01 , 18-Авг-18, (34)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., radeon (??), 14:12 , 15-Авг-18, (6) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Catwoolfii (ok), 14:20 , 15-Авг-18, (9)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., radeon (??), 14:32 , 15-Авг-18, (11) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Ivan_83 (ok), 16:54 , 15-Авг-18, (15)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (8), 14:18 , 15-Авг-18, (8) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., iZEN (ok), 15:39 , 15-Авг-18, (13) –1
Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Ivan_83 (ok), 16:55 , 15-Авг-18, (16)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (10), 14:23 , 15-Авг-18, (10)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., имя (?), 17:12 , 15-Авг-18, (17) +1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (21), 18:28 , 15-Авг-18, (21) –1
Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (21), 18:37 , 15-Авг-18, (22) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (24), 19:29 , 15-Авг-18, (24)
Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Мегазаычы (?), 03:05 , 18-Авг-18, (35)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (25), 20:31 , 15-Авг-18, (25) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., xm (ok), 22:41 , 15-Авг-18, (28) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (25), 22:54 , 15-Авг-18, (29)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., xm (ok), 23:23 , 15-Авг-18, (30) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (27), 22:06 , 15-Авг-18, (27)
Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (32), 15:36 , 16-Авг-18, (32) –1

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Мегазаычы (?), 03:06 , 18-Авг-18, (36)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., rihad (ok), 12:54 , 19-Авг-18, (37)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (38), 08:50 , 22-Авг-18, (38)

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., Аноним (14), 13:04 , 22-Авг-18, (39)

Сообщения по теме [Сортировка по времени | RSS]

1. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +5 +/–

Сообщение от Catwoolfii (ok), 15-Авг-18, 13:39

Для фряхи еще дополнительно:
net.inet.ip.maxfragsperpacket=0
net.inet6.ip6.maxfragpackets=0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +5 +/–

Сообщение от Аноним (14), 15-Авг-18, 16:12

> Для фряхи еще дополнительно:
> net.inet.ip.maxfragsperpacket=0
> net.inet6.ip6.maxfragpackets=0
Нехилые дефолты по умолчанию:

% sysctl net.inet6.ip6.maxfrags net.inet.ip.maxfragpackets
net.inet6.ip6.maxfrags: 123777
net.inet.ip.maxfragpackets: 15478

Но враг не пройдет!

# ipfw -at list|gnumfmt --to=iec --field 3
00100 2246025       2,4G Wed Aug 15 15:10:07 2018 reass ip from any to any in
-
00100       2        256 Mon Aug 13 17:32:17 2018 deny ip from 127.0.0.0/8 to any
00100      12       1,5K Mon Aug 13 17:32:29 2018 deny ip from any to any not antispoof in

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от CHERTS (ok), 15-Авг-18, 13:51

# sysctl -w net.ipv4.ipfrag_high_thresh=196608
sysctl: setting key "net.ipv4.ipfrag_high_thresh": Invalid argument
net.ipv4.ipfrag_high_thresh = 196608
# sysctl -a |grep net.ipv4.ipfrag_high_thresh
net.ipv4.ipfrag_high_thresh = 4194304
Ага, рабочий прям рецепт.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +1 +/–

Сообщение от Ага (?), 15-Авг-18, 14:00

Телепузиков иди смотри, ну или статью почитай, ядро у тебя какое ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +2 +/–

Сообщение от Stax (ok), 15-Авг-18, 14:17

Хм, у меня это отлично работает и на свежем 4.17, и на 3.10 из EL7... И даже на роутере с прошивкой Padavan и 3.4.113 ядром работает.
Может у него второе ядро? :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от CHERTS_ (?), 16-Авг-18, 06:35

> Может у него второе ядро? :)
Да debian 9 у меня, со свежим ядром.
У debian еще свои накрутки над ядром есть, может в этом дело.
Но факт есть факт, проверил на 2 серверах.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

34. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Мегазаычы (?), 18-Авг-18, 03:01

не в этом дело.
просто ты тупишь и пытаешься поставить high_thresh ниже чем low_thresh, на что ядро справедливо возражает. фикс для подобных чуваков как раз не очень давно запилили в апстрим.
людям только бы орать что ничего не работает.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

6. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от radeon (??), 15-Авг-18, 14:12

Вроде бы у pf из поставки freebsd штатно стоит политика reassemble для фрагментированных пакетов, при активации pf
Любопытно как в такой же ситуации поведет себя pf и ipfw, у которого тоже есть такая же возможность пересборки пакетов

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Catwoolfii (ok), 15-Авг-18, 14:20

А что значит "штатно стоит"? Там ведь вроде бы надо в директиве scrub указывать reassemble.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от radeon (??), 15-Авг-18, 14:32

Выразился я косноязычно. Правильней конечно говорить об опции, но она активирована по умолчанию теперь и ее явно указывать не нужно

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Ivan_83 (ok), 15-Авг-18, 16:54

Не стоит.
Не пересобирает он просто так ничего.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от Аноним (8), 15-Авг-18, 14:18

интересно в pf.conf
set optimization normal
scrub in all
решает проблему?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от iZEN (ok), 15-Авг-18, 15:39

> scrub in all
"Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов"

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Ivan_83 (ok), 15-Авг-18, 16:55

Нет.
Насколько помню как минимум раньше у PF был свой код сборки пакетов.
Я бы в нём этим не пользовался, просто потому что смысла в этом нет.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Аноним (10), 15-Авг-18, 14:23

че ядро то? перепутали местами hi/lo, а hi не может быть меньше lo

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +1 +/–

Сообщение от имя (?), 15-Авг-18, 17:12

Не перепутали, а подняли до неприличных размеров с припиской «но код надо будет оптимизировать». И никто его, разумеется, не оптимизировал.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от Аноним (21), 15-Авг-18, 18:28

https://access.redhat.com/articles/3553061
готовый скрипт

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от Аноним (21), 15-Авг-18, 18:37

мннда, чет не отрабатывает от нифига на убунте через bash результат:
net.ipv4.ipfrag_low_thresh = 196608
net.ipv4.ipfrag_high_thresh = 4194304
net.ipv6.ip6frag_low_thresh = 196608
net.ipv6.ip6frag_high_thresh = 4194304

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Аноним (24), 15-Авг-18, 19:29

Она ж для домохозяек. Ставь нормальный линукс.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Мегазаычы (?), 18-Авг-18, 03:05

да, мой косяк.
в исходной статье поправлено.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от Аноним (25), 15-Авг-18, 20:31

отключить пересборку фрагментированных пакетов нужно делать? или достаточно сделать:
# freebsd-update fetch
# freebsd-update install
Afterward, reboot the system.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от xm (ok), 15-Авг-18, 22:41

Достаточно.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

29. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Аноним (25), 15-Авг-18, 22:54

а что поменялось, как проверить?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от xm (ok), 15-Авг-18, 23:23

Посмотреть вывод uname и убедиться что патч наложен.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

27. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Аноним (27), 15-Авг-18, 22:06

Следующая ошибка будет называться PacketSmack - если 10-Гбитный интерфейс сатурировать UDP или ICMP минимальной длины, CPU внезапно поплохеет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." –1 +/–

Сообщение от Аноним (32), 16-Авг-18, 15:36

А есть эксплойт?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Мегазаычы (?), 18-Авг-18, 03:06

есть.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от rihad (ok), 19-Авг-18, 12:54

А возможно на рутерах это настроить чтобы хост FreeBSD получал пакеты без эксплойта?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Аноним (38), 22-Авг-18, 08:50

Конечно! Надо отключить питание роутера... И не включать больше.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." +/–

Сообщение от Аноним (14), 22-Авг-18, 13:04

> Конечно! Надо отключить питание роутера... И не включать больше.
Учитывая специфику ошибки, роутер на пингвине загнется намного раньше.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+5 +/–
Сообщение от Catwoolfii (ok), 15-Авг-18, 13:39
Для фряхи еще дополнительно: net.inet.ip.maxfragsperpacket=0 net.inet6.ip6.maxfragpackets=0
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	14. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+5 +/–
	Сообщение от Аноним (14), 15-Авг-18, 16:12
	> Для фряхи еще дополнительно: > net.inet.ip.maxfragsperpacket=0 > net.inet6.ip6.maxfragpackets=0 Нехилые дефолты по умолчанию: % sysctl net.inet6.ip6.maxfrags net.inet.ip.maxfragpackets net.inet6.ip6.maxfrags: 123777 net.inet.ip.maxfragpackets: 15478 Но враг не пройдет! # ipfw -at list\|gnumfmt --to=iec --field 3 00100 2246025 2,4G Wed Aug 15 15:10:07 2018 reass ip from any to any in - 00100 2 256 Mon Aug 13 17:32:17 2018 deny ip from 127.0.0.0/8 to any 00100 12 1,5K Mon Aug 13 17:32:29 2018 deny ip from any to any not antispoof in
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
Сообщение от CHERTS (ok), 15-Авг-18, 13:51
# sysctl -w net.ipv4.ipfrag_high_thresh=196608 sysctl: setting key "net.ipv4.ipfrag_high_thresh": Invalid argument net.ipv4.ipfrag_high_thresh = 196608 # sysctl -a \|grep net.ipv4.ipfrag_high_thresh net.ipv4.ipfrag_high_thresh = 4194304 Ага, рабочий прям рецепт.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+1 +/–
	Сообщение от Ага (?), 15-Авг-18, 14:00
	Телепузиков иди смотри, ну или статью почитай, ядро у тебя какое ?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	7. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+2 +/–
	Сообщение от Stax (ok), 15-Авг-18, 14:17
	Хм, у меня это отлично работает и на свежем 4.17, и на 3.10 из EL7... И даже на роутере с прошивкой Padavan и 3.4.113 ядром работает. Может у него второе ядро? :)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	31. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
	Сообщение от CHERTS_ (?), 16-Авг-18, 06:35
	> Может у него второе ядро? :) Да debian 9 у меня, со свежим ядром. У debian еще свои накрутки над ядром есть, может в этом дело. Но факт есть факт, проверил на 2 серверах.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	34. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Мегазаычы (?), 18-Авг-18, 03:01
	не в этом дело. просто ты тупишь и пытаешься поставить high_thresh ниже чем low_thresh, на что ядро справедливо возражает. фикс для подобных чуваков как раз не очень давно запилили в апстрим. людям только бы орать что ничего не работает.
	Ответить \| Правка \| ^ к родителю #31 \| Наверх \| Cообщить модератору

6. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
Сообщение от radeon (??), 15-Авг-18, 14:12
Вроде бы у pf из поставки freebsd штатно стоит политика reassemble для фрагментированных пакетов, при активации pf Любопытно как в такой же ситуации поведет себя pf и ipfw, у которого тоже есть такая же возможность пересборки пакетов
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Catwoolfii (ok), 15-Авг-18, 14:20
	А что значит "штатно стоит"? Там ведь вроде бы надо в директиве scrub указывать reassemble.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	11. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
	Сообщение от radeon (??), 15-Авг-18, 14:32
	Выразился я косноязычно. Правильней конечно говорить об опции, но она активирована по умолчанию теперь и ее явно указывать не нужно
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	15. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Ivan_83 (ok), 15-Авг-18, 16:54
	Не стоит. Не пересобирает он просто так ничего.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

8. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
Сообщение от Аноним (8), 15-Авг-18, 14:18
интересно в pf.conf set optimization normal scrub in all решает проблему?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	13. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
	Сообщение от iZEN (ok), 15-Авг-18, 15:39
	> scrub in all "Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов"
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	16. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Ivan_83 (ok), 15-Авг-18, 16:55
	Нет. Насколько помню как минимум раньше у PF был свой код сборки пакетов. Я бы в нём этим не пользовался, просто потому что смысла в этом нет.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

10. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
Сообщение от Аноним (10), 15-Авг-18, 14:23
че ядро то? перепутали местами hi/lo, а hi не может быть меньше lo
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	17. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+1 +/–
	Сообщение от имя (?), 15-Авг-18, 17:12
	Не перепутали, а подняли до неприличных размеров с припиской «но код надо будет оптимизировать». И никто его, разумеется, не оптимизировал.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

21. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
Сообщение от Аноним (21), 15-Авг-18, 18:28
https://access.redhat.com/articles/3553061 готовый скрипт
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

22. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
Сообщение от Аноним (21), 15-Авг-18, 18:37
мннда, чет не отрабатывает от нифига на убунте через bash результат: net.ipv4.ipfrag_low_thresh = 196608 net.ipv4.ipfrag_high_thresh = 4194304 net.ipv6.ip6frag_low_thresh = 196608 net.ipv6.ip6frag_high_thresh = 4194304
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	24. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Аноним (24), 15-Авг-18, 19:29
	Она ж для домохозяек. Ставь нормальный линукс.
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	35. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Мегазаычы (?), 18-Авг-18, 03:05
	да, мой косяк. в исходной статье поправлено.
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору

25. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
Сообщение от Аноним (25), 15-Авг-18, 20:31
отключить пересборку фрагментированных пакетов нужно делать? или достаточно сделать: # freebsd-update fetch # freebsd-update install Afterward, reboot the system.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	28. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
	Сообщение от xm (ok), 15-Авг-18, 22:41
	Достаточно.
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	29. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Аноним (25), 15-Авг-18, 22:54
	а что поменялось, как проверить?
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
	Сообщение от xm (ok), 15-Авг-18, 23:23
	Посмотреть вывод uname и убедиться что патч наложен.
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору

27. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
Сообщение от Аноним (27), 15-Авг-18, 22:06
Следующая ошибка будет называться PacketSmack - если 10-Гбитный интерфейс сатурировать UDP или ICMP минимальной длины, CPU внезапно поплохеет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

32. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
Сообщение от Аноним (32), 16-Авг-18, 15:36
А есть эксплойт?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	36. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Мегазаычы (?), 18-Авг-18, 03:06
	есть.
	Ответить \| Правка \| ^ к родителю #32 \| Наверх \| Cообщить модератору

37. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
Сообщение от rihad (ok), 19-Авг-18, 12:54
А возможно на рутерах это настроить чтобы хост FreeBSD получал пакеты без эксплойта?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	38. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Аноним (38), 22-Авг-18, 08:50
	Конечно! Надо отключить питание роутера... И не включать больше.
	Ответить \| Правка \| ^ к родителю #37 \| Наверх \| Cообщить модератору


	39. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Аноним (14), 22-Авг-18, 13:04
	> Конечно! Надо отключить питание роутера... И не включать больше. Учитывая специфику ошибки, роутер на пингвине загнется намного раньше.
	Ответить \| Правка \| ^ к родителю #38 \| Наверх \| Cообщить модератору