네트워크 장비 상단 헤더
토토 및 네트워크 장비 | Furukawa Electric Industries, Ltd.> TCP ACK 메시지 처리 취약성 문제


TCP ACK 메시지 처리에 관한 취약성 문제에 관한
(낙관적 인 ACK)

2005 년 11 월 11 일

○ 개요

TCP 프로토콜 사양은 ACK 메시지를 처리 ​​할 때 혼잡 제어 메커니즘을 피할 수있는 취약성 문제를 확인했습니다 단조 ACK 메시지는 TCP 연결의 정체 제어 메커니즘을 피하고 스트리밍과 같은 대량의 데이터 전송에서 부당한 차량을 차지할 수 있기 때문입니다 다음과 같은 문제가 지적되었습니다
  1. 낙관적 인 ACK
    데이터 수신 호스트가 아직 수신되지 않은 TCP 세그먼트로 ACK 메시지를 보내는 경우, 정체 제어 메커니즘은 전송 호스트에서 비효율적이며 라인 대역을 불공정하게 차지하고 다른 서비스를 방해 할 수 있습니다

  2. 복제 ACK
    데이터 수신 호스트가 동일한 ACK 메시지를 수신 된 TCP 세그먼트로 여러 번 보내면 정체 제어 메커니즘은 전송 호스트에서 작업하기가 어려워지며, 이는 라인 대역을 불공정하게 차지하고 다른 서비스를 방해 할 수 있습니다

  3. 부분 ACK (또는 ACK 부서)
    수신 된 세그먼트가 수신 된 TCP 세그먼트에 대해 여러 세그먼트로 나뉘어 진 케이스에 해당하는 복수의 ACK 메시지로 수신 된 데이터를 보낸다 이는 정체 제어 메커니즘이 전송 호스트에서 작동하기가 어려울 수 있으며, 이는 라인 밴드를 부적절하게 점유하고 다른 서비스를 방해 할 수있다

위의 문제 중에서 낙관적 ACK의 영향에 대한 우려가 있습니다 특히, TCP의 창 스케일 옵션 (RFC1323)이 그것과 함께 사용될 때 효과가 확대 될 수 있음을 지적했다

・ 참조 정보

○ 제품에 미치는 영향

이 취약점은 TCP 프로토콜 사양을 기반으로하며 TCP 프로토콜을 구현하는 모든 제품은이 취약점의 영향을받습니다 그러나 우리 제품의 경우 다음과 같은 이유로 그 영향은 매우 제한적입니다

  • 인증없이 TCP 세션을 통해 대량의 데이터를 교환 할 수 있도록 기능이 구현되지 않으므로 신뢰할 수없는 제 3 자의 공격을받을 가능성이 거의 없습니다

  • 컨텐츠 스트리밍과 같은 거대한 데이터가 없기 때문에 영향은 일시적입니다



○ 일하는 방법

이 취약점의 효과는 다음 방법에 의해 더욱 줄어들 수 있습니다

  • TCP Connection 파트너와 인증 할 암호를 설정하고 신뢰할 수없는 파트너로 연결되지 않도록합니다

  • 신뢰할 수없는 파트너의 연결 요청 패킷을 폐기하는 패킷 필터링

  • 웹 서버, FTP 서버, Telnet 서버, SSH 서버 등과 같이 사용되지 않은 서버 기능 중지


・ fitelnet-f80/f100/f1000의 경우

Web/FTP/Telnet 서버 기능은 기본적으로 작동합니다
다음 명령을 사용하여 각 서버 기능을 중지 할 수 있습니다
3> 와이즈 토토 승무패 ACK 메시지 처리 취약성 문제
SSH 서버 기능이 기본적으로 작동하지 않습니다

또한 PPPOE1 인터페이스에 대한 웹/ftp/텔넷 액세스를 다음과 같이 설정하여 필터링 할 수 있습니다
Access-List 150 eq www

・ fitelnet-f40

RemoteAccess 명령을 사용하면 장치에 대한 Web/FTP/Telnet 액세스를 제어 할 수 있습니다 기본적으로 WAN 쪽의 일반 텍스트 액세스는 금지됩니다


・ fitelnet-e20/e30의 경우, mucho series

다음과 같이 설정하여 Web/FTP/Telnet을 통해 ISDN 측에서 액세스를 필터링 할 수 있습니다
ipfiltering -d 추가 dst = 0000,0000 dstport = 80,80 src = 0000,0000 prot = tcp \


이 페이지에 관한 문의 사항여기
이 사이트 메이저 토토 사이트 | Furukawa Electric Industries,