微软建议禁用数据包reassembly

微软发布了一份关于拒绝服务漏洞的安全公告,该漏洞可能导致多个版本的Windows完全没有响应,并且没有缓解措施。

该漏洞会影响Windows 7到10(包括8.1 RT),Server 2008,2012,2016和Core Installations的所有版本,这些版本没有最新的安全更新集。

漏洞标识号为CVE-2018-5391,该错误收到了名字片段FragmentSmack,因为它响应IP分片,这是一个调整数据包大小以适应接收端最大传输单元(MTU)的过程。

IP分段攻击是一种已知的拒绝服务形式,其中受害计算机接收多个较小大小的IP分组,这些分组预期在目的地被重新组装成其原始形式。

FragmentSmack是一种TCP碎片类型的攻击,也称为Teardrop攻击,可防止在接收方端重新组装数据包。该漏洞与Windows 3.1和95一样旧,它影响了操作系统,但它也出现在最新的Windows 7中。

“攻击者可以发送许多带有随机起始偏移量的8字节大小的IP片段,但是在重新组装IP片段时会保留最后一个片段并利用链接列表的最坏情况复杂性,”微软公司对该漏洞的建议说。

结果是机器的CPU达到最大利用率水平并使操作系统无响应。一旦数据包齐射停止,CPU就会恢复正常使用状态并恢复系统。

Microsoft建议禁用数据包重组

如果环境不允许立即应用安全更新,Microsoft建议使用以下命令禁用数据包重组,作为FragmentSmack拒绝服务错误的解决方法:

Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0

他们将丢弃任何无序的数据包,增加了损失的可能性。为避免任何问题,不应有超过50个无序数据包。

CheckPoint的一些安全产品也受到FragmentSmack的影响,该公司建议禁用片段作为一种直接的解决方法。

Linux也经历了这个,并解决了该问题

FragmentSmack 首先在Linux上被发现,还有另一个被称为SegmentSmack(CVE-2018-5390)的DoS漏洞,它影响了在内核版本3.9及更高版本上运行的设备。它已在主要发行版中修补。

最初发现FagmentedSmack和SegmentSmack的是Juha-Matti Tilli,他是诺基亚实验室和芬兰阿尔托大学通信与网络系的研究员。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/windows-systems-vulnerable-to-fragmentsmack-90s-like-dos-bug/

扫码关注云+社区

领取腾讯云代金券