刚刚完成了一个Nessus扫描,唯一回来的是“TCP / IP序列预测盲目复位欺骗DoS” – 可能发送伪造的RST数据包到远程系统。
说明:远程主机可能受到序列号近似漏洞的影响,该漏洞可能允许攻击者向远程主机发送欺骗性RST数据包并closures已build立的连接。 这可能会导致一些专用服务(BGP,TCP over VPN等)的问题。
我正在使用Ubuntu 12.04,我该如何补丁或防止这个问题?
现在在最近的内核中已经修复了。 内核修复引用了RFC 5961第3节 ,它处理相同的问题。
简短的回答:你不。
这是指CVE-2004-0230 ,对于TCP连接寿命非常长的机器来说,主要是一个问题(BGP路由器就是这方面最好的例子,因为BGP会话往往会持续数月)。 这基本上是一个拒绝服务攻击,而且是一个非常困难的攻击。
关于缓解的唯一方法是使用更小的窗口大小(这会增加必须考虑的可能的RST目标池),但是使用初始序列随机化和攻击者知道源和目标IP的要求和港口,这是不值得的。
如果你有兴趣的话, 红帽的咨询页面有很好的分类。