sack linux漏洞,【安全公告】Linux 内核 TCP SACK 漏洞风险通告

最新推荐文章于 2023-03-02 17:28:22 发布
最新推荐文章于 2023-03-02 17:28:22 发布
阅读量129 收藏
点赞数
文章标签: sack linux漏洞

近日,业内发布安全公告,Linux 内核在处理 TCP SACK(Selective Acknowledgement)时存在三个漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),攻击者可通过该漏洞远程发送攻击包造成拒绝服务攻击,影响程度严重。

影响范围:

该漏洞目前已知影响使用 Linux 内核 2.6.29 及以上版本的发行版,包括(但不限于)如下系统:

CentOS 5/CentOS 6/CentOS 7

Ubuntu 16.04 LTS/Ubuntu 18.04 LTS

Debian jessie/stretch/buster

修复办法:

1. 禁用 TCP SACK 及 mtu_probing 机制功能,执行如下命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack

sysctl -w net.ipv4.tcp_sack=0

echo 0 > /proc/sys/net/ipv4/tcp_mtu_probing

sysctl net.ipv4.tcp_mtu_probing

iptables -A INPUT -p tcp -m tcpmss –mss 1:500 -j DROP

2. 升级 Linux 安全补丁(需要重启服务器)

Centos:yum update kernel

Ubuntu:apt-get update && sudo apt-get install linux-image-generic

注意:

以上修复方式,请在操作前评估对业务可用性的影响

痒太晚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TCP RENO NEWRENO SACK
04-16
讲解TCP reno newreno sack基本原理
cve-2019-11477--2019-06-17-1629.sh
06-27
Linux 内核TCPSACK Panic” 远程拒绝服务漏洞-cve-2019-11477 检测脚本。
Linux内核proc sysctl
tombaby_come的博客
03-02 1085
sysctl是一个用于运行时配置内核参数的命令,这些内核参数位于/proc/sys目录下。sysctl配置与显示在/proc/sys目录中的内核参数.可以用sysctl来设置或重新设置联网等功能,如IP转发、IP碎片去除以及源路由检查等。用户只需要编辑/etc/sysctl.conf文件,即可手工或自动执行由sysctl控制的功能。1、常见用法。
linux tcp启动关闭,linux – 何时关闭TCP SACK?
weixin_36260323的博客
05-15 173
一个基本的TCP ACK说“我收到了所有字节,直到X.”选择性ACK允许您说“我收到字节X-Y和V-Z”.因此,例如,如果主机发送了10,000个字节并且字节3000-5000在传输过程中丢失,则ACK会说“我的所有内容都高达3000”.另一端必须再次发送字节3001-10000. SACK可以说“我得到了1000-2999和5001-10000”,主持人只会发送3000-5000.这在高带宽,有...
Linux TCP内核参数设置与调优!!!
m0_74282605的博客
01-05 780
假如您将此值设为大于 1024,最好修改include/net/tcp.h里面的TCP_SYNQ_HSIZE,以保持TCP_SYNQ_HSIZE*16(SYN Flood攻击利用TCP协议散布握手的缺陷,伪造虚假源IP地址发送大量TCP-SYN半打开连接到目标系统,最终导致目标系统Socket队列资源耗尽而无法接受新的连接。/Proc/sys/net/ipv4/存放着TCP参数的文件,目录中的内容用来添加网络设置,在其中的许多设置,可以用来阻止对系统的攻击,或用来设置系统的路由功能。
修改linux内核参数的命令,sysctl命令_Linux sysctl 命令用法详解:时动态地修改内核的运行参数...
weixin_33277243的博客
04-29 885
sysctl命令被用于在内核运行时动态地修改内核的运行参数,可用的内核参数在目录/proc/sys中。它包含一些TCP/IP堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。语法sysctl(选项)(参数)选项-n:打印值时不打印关键字;-e:忽略未知关键字错误;-N:仅打印名称;-w:当改变sysctl设置时使用此项;-p...
sysctl---调整linux内核参数 --转
wo_niu_shell的专栏
05-13 776
2012-07-13 14:21:40     sysctl是一个允许您改变正在运行中的Linux系统的接口。它包含一些 TCP/IP 堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。基于这点,sysctl(8) 提供两个功能:读取和修改系统设置。 常用 查看所有可读变量: [xt@butb
TCP拥塞控制:Tahoe、Reno、NewReno与SACK算法概述与比较
06-03
自己总结整理的关于TCP拥塞控制的PPT,主要介绍并比较了Tahoe、Reno、NewReno与SACK四种算法,并对拥塞的产生进行了深入剖析
论文研究-无线网络中SACK与TFRC的友好性分析.pdf
07-22
在无线网络中,TCP SACK机制被推荐代替TCP以获得更高的带宽利用率。对无线网络中SACK与TFRC的友好性进行了模拟实验,并给出了初步分析。结果表明,当网络拥塞达到一定程度时,SACK获得的吞吐量将大大超过TFRC,而...
tcp.rar_ABRA New Reno tcp_agent in ns2_ns2 TCP sack_reno_tcp ren
07-14
在ns2中仿真网络结构,在OTCL编码中,代理节点的协议代理分别设置为tcp/Reno、TCP/Newreno、TCP/Sack1和tcp/Vegas,来模拟这四种算法。附有仿真结果和实验报告。
sack linux漏洞,Linux内核SACK 漏洞可致DoS攻击预警
weixin_42513296的博客
05-16 150
一、概要近日,业界发布Linux内核处理器TCP SACK模块三个漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),攻击者可远程发送特殊构造的攻击包造成拒绝服务攻击,导致服务器不可用或崩溃。华为云提醒各位租户及时安排自检并做好安全加固。参考链接:二、威胁级别威胁级别:【严重】(说明:威胁级别共四级:一般、重要、严重、紧急。)三、影响范围影响Linux...
net.ipv4.tcp_timestamps引发的tcp syn无响应案
pyxllq的博客
05-17 1万+
    在我目前一个高并发的项目中,一度出现服务器不再响应任何TCP的syn请求,新的客户端死活介入不了服务。出现该状态之前由于并发亮的增加,曾经优化过服务器,主要是将TIME-WAIT sockets重新用于新的TCP连接,优化如下:1.修改/ect/sysctl.confnet.ipv4.tcp_syncookies = 1 net.ipv4.tcp_tw_reuse = 1 net.ipv4...
sysctl设置系统参数
小耗子的博客
08-31 8028
Sysctl是一个允许您改变正在运行中的Linux系统的接口。它包含一些 TCP/IP 堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。基于这点,sysctl(8) 提供两个功能:读取和修改系统设置。 查看所有可读变量: % sysctl -a 读一个指定的变量,例如 kern.maxproc:
系统优化-----sysctl.conf文件内核设置参数详解
JackLiu16的博客
05-02 1万+
sysctl.conf工作原理sysctl命令被用于在内核运行时动态地修改内核的运行参数,可用的内核参数在目录/proc/sys中。它包含一些TCP/IP堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。limits.conf设置1)暂时生效,适用于通过 ulimit 命令登录 shell 会话期间 ulimit -SHn ...
TCP协议调优-强制快速重传技术(Spurious retransmissions)
热门推荐
pennyliang的专栏
07-13 2万+
Linux的超时重传默认是3秒,这就意味这,一旦发生丢包,用户的体验将会很不好,因此可以采用强制快速重传技术来进行提速(Spurious SYN/SYN-ACK retransmissions),将超时重传时间强制设定为1秒。但这可能会导致duplicate packets,可以通过修改TS或DSACK(允许发多个ACK)等方式来进行改进。
中国最完整的sysctl.conf优化方案
最实用的Linux博客
12-21 3922
原贴:http://www.chinaunix.net/jh/5/1029881.html [精华] 中国最完整的sysctl.conf优化方案 h
sysctl: 深入使用Linux的必经之路
capa2006的专栏
03-31 1万+
设置Sysctl.conf用以提高Linux的性能<br />Sysctl是一个允许您改变正在运行中的Linux系统的接 口。它包含一些 TCP/IP 堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。基于这点,sysctl(8) 提供两个功能:读取和修改系统设置。<br />查看所有可读变量:<br />% sysctl -a<br />读一个指定的变量,例如 kern.maxproc:<br />% sysctl ker
sysctl.conf优化方案
weixin_34007886的博客
07-07 262
网上关于sysctl.conf的优化方案有各种版本,大多都是抄来抄去的,让新人看了很迷茫。为解决此问题,经过两天的整理,查了N多资料,将大家常用的总结如下,很多默认的不需要修改的暂未涉及,今后将逐步把所有的项目都有个翻译、讲解、修改建议,如有修改,将以此文为准,其他地方的内容,本人不负责更新。因此转载请注明链接地址:http://www.bsdlover.cn/securi...
LinuxTCPIP内核参数优化
weixin_30604651的博客
04-17 737
  本文以Ubuntu 12.04 LTS Desktop (x64)默认配置为例(机器的内存为4GB),推荐先阅读《TCP连接的状态与关闭方式,及其对Server与Client的影响》、《Windows系统下的TCP参数优化》,以了解TCP优化的相关知识。 /proc/sys/net目录   所有的TCP/IP参数都位于/proc/sys/net目录下(请注意,对/proc/sys/ne...
抓包出现tcp retransmission dup ack 如何优化linux内核
最新发布
07-10
要优化 Linux 内核以减少 TCP 重传和重复确认问题,可以尝试以下方法: 1. 调整 TCP 参数:可以通过修改内核参数来调整 TCP 的行为。一些相关的参数包括: - tcp_retries1 和 tcp_retries2:控制 TCP 重传的次数。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值