The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от opennews (ok), 15-Авг-18, 13:39 
Следом за выявленной (https://www.opennet.dev/opennews/art.shtml?num=49094) на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована (http://seclists.org/oss-sec/2018/q3/119) информация о другой похожей уязвимости (https://www.kb.cert.org/vuls/id/641765) (CVE-2018-5391 (https://security-tracker.debian.org/tracker/CVE-2018-5391), кодовое имя FragmentSmack (https://bugzilla.redhat.com/show_bug.cgi?id=1609664)), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого  будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает (https://access.redhat.com/articles/3553061) алгоритм пересборки фрагментированных IP-пакетов.

Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом.  В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки:  для полной утилизации ресурсов одного ядра CPU Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно  2 тысячи пакетов в секунду.

Наличие проблемы подтверждено в TCP стеках Linux (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18�...). В ядре Linux проблема проявляется начиная с выпуска ядра 3.9.  Обновления с устранением проблемы подготовлены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-5391), Fedora, SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-5391), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5391) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18�...). В качестве обходного пути защиты в Linux можно
снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений.

    sysctl -w net.ipv4.ipfrag_low_thresh=262144
    sysctl -w net.ipv4.ipfrag_high_thresh=196608
    sysctl -w net.ipv6.ip6frag_low_thresh=262144
    sysctl -w net.ipv6.ip6frag_high_thresh=196608

Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов:

    sysctl net.inet.ip.maxfragpackets=0
    sysctl net.inet6.ip6.maxfrags=0

URL: http://seclists.org/oss-sec/2018/q3/119
Новость: https://www.opennet.dev/opennews/art.shtml?num=49135

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +5 +/
Сообщение от Catwoolfii (ok), 15-Авг-18, 13:39 
Для фряхи еще дополнительно:
net.inet.ip.maxfragsperpacket=0
net.inet6.ip6.maxfragpackets=0
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +5 +/
Сообщение от Аноним (14), 15-Авг-18, 16:12 
> Для фряхи еще дополнительно:
> net.inet.ip.maxfragsperpacket=0
> net.inet6.ip6.maxfragpackets=0

Нехилые дефолты по умолчанию:


% sysctl net.inet6.ip6.maxfrags net.inet.ip.maxfragpackets
net.inet6.ip6.maxfrags: 123777
net.inet.ip.maxfragpackets: 15478

Но враг не пройдет!

# ipfw -at list|gnumfmt --to=iec --field 3
00100 2246025       2,4G Wed Aug 15 15:10:07 2018 reass ip from any to any in
-
00100       2        256 Mon Aug 13 17:32:17 2018 deny ip from 127.0.0.0/8 to any
00100      12       1,5K Mon Aug 13 17:32:29 2018 deny ip from any to any not antispoof in


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от CHERTSemail (ok), 15-Авг-18, 13:51 
# sysctl -w net.ipv4.ipfrag_high_thresh=196608
sysctl: setting key "net.ipv4.ipfrag_high_thresh": Invalid argument
net.ipv4.ipfrag_high_thresh = 196608

# sysctl -a |grep net.ipv4.ipfrag_high_thresh
net.ipv4.ipfrag_high_thresh = 4194304

Ага, рабочий прям рецепт.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +1 +/
Сообщение от Ага (?), 15-Авг-18, 14:00 
Телепузиков иди смотри, ну или статью почитай, ядро у тебя какое ?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +2 +/
Сообщение от Stax (ok), 15-Авг-18, 14:17 
Хм, у меня это отлично работает и на свежем 4.17, и на 3.10 из EL7... И даже на роутере с прошивкой Padavan и 3.4.113 ядром работает.

Может у него второе ядро? :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от CHERTS_email (?), 16-Авг-18, 06:35 
> Может у него второе ядро? :)

Да debian 9 у меня, со свежим ядром.

У debian еще свои накрутки над ядром есть, может в этом дело.

Но факт есть факт, проверил на 2 серверах.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

34. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Мегазаычыemail (?), 18-Авг-18, 03:01 
не в этом дело.

просто ты тупишь и пытаешься поставить high_thresh ниже чем low_thresh, на что ядро справедливо возражает. фикс для подобных чуваков как раз не очень давно запилили в апстрим.

людям только бы орать что ничего не работает.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

6. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от radeon (??), 15-Авг-18, 14:12 
Вроде бы у pf из поставки freebsd штатно стоит политика reassemble для фрагментированных пакетов, при активации pf
Любопытно как в такой же ситуации поведет себя pf и ipfw, у которого тоже есть такая же возможность пересборки пакетов
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Catwoolfii (ok), 15-Авг-18, 14:20 
А что значит "штатно стоит"? Там ведь вроде бы надо в директиве scrub указывать reassemble.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от radeon (??), 15-Авг-18, 14:32 
Выразился я косноязычно. Правильней конечно говорить об опции, но она активирована по умолчанию теперь и ее явно указывать не нужно
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Ivan_83 (ok), 15-Авг-18, 16:54 
Не стоит.
Не пересобирает он просто так ничего.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от Аноним (8), 15-Авг-18, 14:18 
интересно в pf.conf
set optimization normal
scrub in all

решает проблему?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от iZEN (ok), 15-Авг-18, 15:39 
> scrub in all

"Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов"

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Ivan_83 (ok), 15-Авг-18, 16:55 
Нет.
Насколько помню как минимум раньше у PF был свой код сборки пакетов.
Я бы в нём этим не пользовался, просто потому что смысла в этом нет.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Аноним (10), 15-Авг-18, 14:23 
че ядро то? перепутали местами hi/lo, а hi не может быть меньше lo
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +1 +/
Сообщение от имя (?), 15-Авг-18, 17:12 
Не перепутали, а подняли до неприличных размеров с припиской «но код надо будет оптимизировать». И никто его, разумеется, не оптимизировал.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от Аноним (21), 15-Авг-18, 18:28 
https://access.redhat.com/articles/3553061
готовый скрипт
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от Аноним (21), 15-Авг-18, 18:37 
мннда, чет не отрабатывает от нифига на убунте через bash результат:
net.ipv4.ipfrag_low_thresh = 196608
net.ipv4.ipfrag_high_thresh = 4194304
net.ipv6.ip6frag_low_thresh = 196608
net.ipv6.ip6frag_high_thresh = 4194304
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Аноним (24), 15-Авг-18, 19:29 
Она ж для домохозяек. Ставь нормальный линукс.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Мегазаычыemail (?), 18-Авг-18, 03:05 
да, мой косяк.
в исходной статье поправлено.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от Анонимemail (25), 15-Авг-18, 20:31 
отключить пересборку фрагментированных пакетов нужно делать? или достаточно сделать:

# freebsd-update fetch
# freebsd-update install
Afterward, reboot the system.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от xm (ok), 15-Авг-18, 22:41 
Достаточно.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

29. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Анонимemail (25), 15-Авг-18, 22:54 
а что поменялось, как проверить?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от xm (ok), 15-Авг-18, 23:23 
Посмотреть вывод uname и убедиться что патч наложен.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

27. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Аноним (27), 15-Авг-18, 22:06 
Следующая ошибка будет называться PacketSmack - если 10-Гбитный интерфейс сатурировать UDP или ICMP минимальной длины, CPU внезапно поплохеет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  –1 +/
Сообщение от Аноним (32), 16-Авг-18, 15:36 
А есть эксплойт?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Мегазаычыemail (?), 18-Авг-18, 03:06 
есть.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от rihad (ok), 19-Авг-18, 12:54 
А возможно на рутерах это настроить чтобы хост FreeBSD получал пакеты без эксплойта?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Аноним (38), 22-Авг-18, 08:50 
Конечно! Надо отключить питание роутера... И не включать больше.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."  +/
Сообщение от Аноним (14), 22-Авг-18, 13:04 
> Конечно! Надо отключить питание роутера... И не включать больше.

Учитывая специфику ошибки, роутер на пингвине загнется намного раньше.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру