Linux TCP 實作 RFC 5961,但是 RFC 5961 本身設計會導致有安全性問題,而這個影響範圍很廣泛,使用 TCP 都會受到影響,ex: HTTP、FTP、SSH、Telnet、DNS、SMTP ... 等。
Linux TCP Flaw 安全性問題的暫時解法
此 TCP 漏洞會造成的問題可見下述影片
下述整理自此篇新聞:Linux TCP Flaw allows Hackers to Hijack Internet Traffic and Inject Malware Remotely
- 此 TCP Flaw 的問題,發生的環境:Kernel >= 3.6 and Kernel < 4.7
- 註:此篇討論 Linux tcp flaw? - General Discussion - Manjaro 說到 Kernel 4.7 後,此問題就解決了。
TCP Flaw Kernel 剛好符合這個條件的臨時解法
- vim /etc/sysctl.conf # 於檔案最下方加入下述:
net.ipv4.tcpchallengeack_limit = 999999999 - sysctl -p # 使用 root 執行
此問題為何只有 Linux 會發生,而 Windows、OS X 和 FreeBSD 都沒有此問題?
此篇新聞的作者認為:因為他們沒有完整實作 RFC 5961... XD
相關網頁
- Linux TCP flaw lets 'anyone' hijack Internet traffic
- Linux security backfires: Flaw lets hackers inject malware into downloads, disrupt Tor users, etc
- Vulnerability in the Linux kernel's tcp stack implementation
