【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞

最新推荐文章于 2023-05-08 22:09:40 发布
最新推荐文章于 2023-05-08 22:09:40 发布
阅读量956 收藏 3
点赞数
原文链接:https://www.cnblogs.com/lulight/p/14877723.html
版权

问题背景

爱购物 https://www.cqfenfa.com/

什么是TCP timestamps(TCP 时间戳)?

The remote host implements TCP Timestamps, as defined by RFC1323 (https://www.ietf.org/rfc/rfc1323.txt). A side effect of this feature is that the uptime of the remote host can be sometimes be computed.

以前,TCP/IP 堆栈使用每个发送数据窗口的一个示例来计算 RTT  。 计时器 (发送) 时重新传输计时器报告,直到收到确认。TCP 时间戳选项现在可以在堆栈认为 (data 和 ACK) 使用,以执行如下操作:

  • RTT computation
  • PAWS check

使用TCP 时间戳,可以使用较大的窗口准确计算 RTT。 RTT 用于计算重新传输间隔。 要获得最佳吞吐量,需要准确的 RTT 和重新传输时间。

如何来解决呢?

禁用TCP timestamps。

在Linux系统中,在 /etc/sysclt.conf 文件中添加一行 “net.ipv4.tcp_timestamps=0”, 然后再执行 “sysctl -p”指令把修改的设置附加到运行环境。

To disable TCP timestamps on linux add the line 'net.ipv4.tcp_timestamps=0' to /etc/sysclt.conf. Execute 'sysctl -p' to apply the settings at runtime.

再Windows系统中,执行 "netsh int tcp set global timestamps = disabled "

TO disable TCP timestamps on Windows execute ' netsh int tcp set global timestamps = disabled '

 

问题描述

在Azure App Service中部署的Web App应用,在进行安全扫描的时候,发现了TCP timestamps的问题,建议Disable TCP Timestamps。但是根据安全描述中提示的指令在App Service的Kudu(https://<yourwebapp>.scm.chinacloudsites.cn/)中执行时,提示Deny。如图:

2127802-20210612094216798-77920625.png

问题解答

由于App Service是PaaS服务,用户没有权限禁用TCP Timestamp。在启用改属性后它带来的优点是能提升TCP的性能,它的弱点时被攻击者计算出系统远行的时间。

2127802-20210612095401063-287058233.png

 (Source:Beyond Security | Finding and Fixing Vulnerabilities in TCP Timestamps Retrieval , a Low Risk Vulnerability)

 

而且,Azure App service实际上是在后端Worker上运行Web App的应用代码,而Worker前面有还有前端Front End和负载均衡Load Balancer来转发请求,所以客户端请求是不会直接到达Worker的。这也是Azure中PaaS服务的一种通常架构。而且在Azure中的服务天然受到Azure环境的保护。

 

同时,由于这是一个低等级的漏洞,考虑Web App运行在云环境中,而且如果禁用后也会影响性能等其他问题,所以它是可以忽略的。

安全性

Azure 采用一系列可靠的安全技术和实践,帮助确保 Azure 基础结构能够应对攻击,保护用户对 Azure 环境的访问,并通过加密通信、威胁管理和缓解实践 ( 包括定期渗透测试 ) 来帮助保障客户数据的安全。

 

 

附件一: TCP Timestamps扫描漏洞截图

2127802-20210612100401910-43863733.png

 

 

 

参考资料

TCP Windows说明:https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/networking/description-tcp-features#timestamps

Finding and Fixing Vulnerabilities in TCP Timestamps Retrieval , a Low Risk Vulnerability:https://beyondsecurity.com/scan-pentest-network-vulnerabilities-tcp-timestamps-retrieval.html?cn-reloaded=1&cn-reloaded=1

RFC1323 :https://www.ietf.org/rfc/rfc1323.txt

认识 Azure安全性:https://www.trustcenter.cn/zh-cn/security/default.html

 

分发吧
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解在Azure部署Asp.NET Core Web App
01-01
在云计算大行其道的代,当你要部署一个网站第一选择肯定是各式各样的云端服务。那么究竟使用什么样的云端服务才能够以最快捷的方式部署一个 ASP.NET Core的网站呢?AzureWeb App 服务是个很好的选择。 下面我们会通过 Visual Studio 创建一个 Asp.net Core demo 应用,然后把这个 demo 应用部署Azure Web App。通过阅读本文,您将能了解到如何创建 Asp.NET Core 应用程序和如何在Azure上创建 Web App部署 Asp.NET Core 应用。 Azure Web App 是什么? Web App 是 Azu
tcp时间戳 引起的网站不能访问
whatday的专栏
05-09 2204
目录 问题现象 TCP时间戳说明 解决方法 什么情况下出现这个问题 问题现象 访问一个我们新接入的业务接口,能ping通他们的站点,第一次telnet对端接口会通,第二次、第三次... 一直做下去就不通了,但是连接服务器没有任何响应,怀疑问题出在了http的三次握手环节。 现象截图: 抓包的情况: 从抓包数据发现,出现问题的服务端的数据包来看 存在发出的tcpsyn包有候响应,有候不响应。不响应,客户端与服务端之间的tcp连接无法正常建立,导致页面不能打开。从客..
tcp_timestamps 引起的问题
happyrabbit456的专栏
05-13 2394
临近年关,人会变得浮躁,期间写的代码可谓乱七八糟。不过出来混始终是要还的,这不最近就发现一个PHP脚本常连不上服务器。 遇到这类问题,我习惯于先用strace命令跟踪了一下看看: shell> strace php /path/to/file EADDRNOTAVAIL (Cannot assign requested address) 从字面结果看似乎是网络资源相关问题。这里顺便
TCP timestamp
maimang1001的专栏
11-17 1058
TCP timestamp | 天赋 无与伦比的坚持tcp_timestamps是在RFC 1323中定义的一个TCP选项。这篇wiki介绍一下timestamps的设计目的和相关原理,尤其强调一些比较tricky的地方。https://perthcharles.github.io/2015/08/27/timestamp-intro/ tcp_timestamps是在RFC 1323中定义的一个TCP选项。 这篇wiki介绍一下timestamps的设计目的和相关原理,尤其强调一些比较tricky的地方
RFC1323 timestamp PAWS的实现陷阱
weixin_30670151的博客
05-07 220
原文转自:http://blog.chinaunix.net/uid-20225489-id-3066379.html 在RFC1323中关于使用timestamp选项达到PAWS功能中,存在着一个可能的问题:防止PAWS的机制,多多少少自身也容易受到wraparound的攻击(也可以说成溢出,与wraparound说的是一个意思,但wraparound应该准确,实际上并不是一个32位的数值达到...
Microsoft Windows TCPIP 远程代码执行漏洞
chaojixiaojingang
10-20 1418
1.漏洞编号 CNNVD编号:CNNVD-202010-528 CVE编号:CVE-2020-16898 2.漏洞描述: Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 3.影响版本 Micros...
一场由tcp_timestamps 引发的无解追击案
weixin_34198453的博客
07-05 642
案例描述:我们的合作客户(国内知名电子支付企业)反应有四台机器调用我们的接口服务,但是奇怪的是四台中有两台是通的,有两台是不通的,不通的机器也是偶尔通偶尔不通,这个问题一直断断续续困扰了他们很久,刚开始我们认为是他们系统那里参数配置不对,就没有给予太多关注,毕竟我们还有好多合作客户,却没有问题;这个问题直到有一天,他们实在扛不住,实在找不出原因了,要求我们技术人员现场去帮...
等保 tcp时间戳 低风险 解决
JanelSirry's Blog
12-31 2063
等保 tcp时间戳 低风险 解决 风险描述: It was detected that the host implements RFC1323. The following timestamps were retrieved with a delay of 1 seconds in-between: Packet 1: 537795385 Packet 2: 537795494 翻译中文: 检测到主机执行RFC1323。 检索到以下时间戳,其间延迟1秒: 包1:537795385 包2:537795
转:记一次TIME_WAIT网络故障
weixin_33852020的博客
09-12 210
记一次TIME_WAIT网络故障 Posted on 2012-01-19 最近发现一个PHP脚本常出现连不上服务器的现象,调试了一下,发现是TIME_WAIT状态过多造成的,本文简要介绍一下解决问题的过程。 遇到这类问题,我习惯于先用strace命令跟踪了一下看看: shell> strace php /path/to/file EADDRN...
如何使用Azure构建Web应用程序
m0_75198698的博客
05-08 352
首先,您需要注册Azure账户并创建一个Web应用程序。在Visual Studio Code的侧边栏中,打开“Azure”扩展,选择“Web 应用程序”选项卡,右键单击已创建的Web应用程序,并选择“部署Web应用程序”。在Azure管理门户中打开已创建的Web应用程序,选择“自定义域名”选项卡,输入您的域名,并选择“验证”以验证您的域名。在“配置 Web应用程序”页面中,填写所需的信息,如订阅、资源组、Web应用程序名称、操作系统等。在“Web 应用程序”页面中,选择“创建”以创建Web应用程序。
WindowsAzure公有云环境部署企业应用
03-02
WindowsAzure已经成为众多IT服务提供商们热议的话题,其中,有的认为只有提供互连网用户服务的应用才适合放在公有云环境内运行。然而,事实上,在当前WindowsAzure环境上,有许多企业也把企业内部的应用放在公有云上...
一个在Azure部署服务项目的经验分享
02-25
本文讲述了动态在线文档SaaS产品(以下简称DynamicPPTService)在前期云平台选型的考虑因素、业务发展后出现的问题,以及系统迁移到AzureServiceFabric平台上进行微服务化的实施过程。最终,技术团队实现了用微服务...
CVE-2019-11477:Linux内核中TCP协议栈整数溢出漏洞详细分析
systemino的博客
06-21 1090
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 漏洞概述 2019年6月18日,RedHat官网发布CVE编号为CVE-2019-11477的漏洞,此漏洞是一个底层协议栈的整数溢出漏洞,影响Linux内核2.6.29及以上版本,理论上可以造成远程拒绝服务漏洞。经过我们团队分析验证,在实际环境中很难触发此漏洞,所以在实际环境中...
【问题处理】常见Linux安全漏洞处理
Luxf0的博客
11-08 6221
本文介绍常见Linux安全漏洞及对应处理措施
[计算机网络安全实验] TCP协议漏洞利用
LostUnravel的博客
11-12 3307
用户机IP: 172.17.0.2目标机(服务器)IP: 172.17.0.3攻击机IP: 172.17.0.1。
在 Linux 上禁用 TCP 时间戳响应。
superbfly的专栏
06-21 2544
数据包转发遇到“TCP Dup ACK 14#1”的问题。 这是说第14帧的数据包丢了,“#1”表示该帧丢失的次数。会出现这个问题的原因是我伪造回复的数据包TCP协议扩展头中的timestamps没有相应更新,导致接收端认为是重传包,直接丢弃了。这里就有了一个比较有趣的问题了,tcp通过seq和ack来判断数据包的丢失和重传,现在又会在timestamps中做重传的判断,如果这里不改,伪造的数据包不会被接收的。.........
TCP timestamp详解
papaya的博客
09-20 3530
RTTM规定了一些使用TSecr计算RTT的原则,具体如下(英文水平有限,为保持原意就使用RFC中的原话了)在ACK被重传的数据,应该使用重传数据包中的TSval进行回复如果对以上的特殊情况有疑问,还请直接去看RFC,里面有example解释。最后,实际上计算RTO除了以上使用TSecr的原则外,还有一些更复杂的计算方法RFC 7323。比如对于每一个RTT采样R,目的是解决在高带宽下,TCP序号可能被重复使用而带来的问题。PAWS同样依赖于timestamp,并且假设在一个TCP流中,
Windows 10 TCP 时间戳开启/关闭 TSval TSecr
Coding My Way
01-07 7740
想要TCP包中带TSval TSecr的值,默认在Windows里是关闭的,所以需要打开。打开的方式如下: 打开命令行,执行: netsh interface tcp show global 然后可以看到RFC 1323 时间戳参数是 disabled的,那么只需要把它设置为enabled即可。 这里都是中文的,看起来有些别扭,原本英文如下: C:\WINDOWS\system32> netsh interface tcp show global Querying active st
2023年美赛特等奖论文-F-2305794-解密.pdf
最新发布
05-06
大学生,数学建模,美国大学生数学建模竞赛,MCM/ICM,2023年美赛特等奖O奖论文
Windows Azure计算服务在基于云计算的气象监测系统的应用700字
06-12
随着云计算技术的快速发展,越来越多的企业和组织开始采用基于云计算的气象监测系统来提高预报准确性和效率,Windows Azure计算服务作为一种云计算平台,为气象监测系统提供了强大的支持。 Windows Azure计算服务是一个高度可扩展的云计算平台,它提供了一个安全、可靠、高效、灵活和易于使用的云计算环境。这个平台可以让企业和组织轻松地部署、管理和扩展应用程序,同还可以提供高可用性和自动弹性缩放等功能。 在气象监测系统中,Windows Azure计算服务可以帮助实现以下几个方面的功能: 1. 数据采集与处理:通过Azure的Blob存储服务,实现对各类气象数据的快速存储和管理。同Azure的HDInsight服务可以支持大规模数据处理和分析,为气象预报提供可靠的数据支持。 2. 模型训练与优化:Azure的机器学习服务可以为气象预报模型的训练和优化提供强大的支持。通过这个服务,可以轻松地训练和优化各种气象预报模型,提高预报准确性和效率。 3. 预报发布与交互:AzureWeb应用服务可以帮助气象监测系统实现预报发布和用户交互功能。通过这个服务,可以轻松地发布各种气象预报信息,同还可以提供交互式的用户界面,方便用户查看和查询气象信息。 4. 系统运维与管理:Azure的自动弹性缩放功能可以根据气象监测系统的实际负载情况,自动调整系统资源,以提高系统的可用性和效率。同Azure还提供了完善的系统监控和管理功能,方便管理员对系统进行运维和管理。 总之,基于Windows Azure计算服务的气象监测系统具有高度可靠、高效、灵活和易于管理的特点,可以为气象预报提供强大的支持,提高预报准确性和效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值