Kladskull Asked: 2013-02-06 13:10:06 +0800 CST2013-02-06 13:10:06 +0800 CST 2013-02-06 13:10:06 +0800 CST 如何修复“TCP/IP 序列预测盲重置欺骗 DoS” 772 刚刚完成 Nessus 扫描,唯一返回的是“TCP/IP 序列预测盲重置欺骗 DoS”——可能会向远程系统发送欺骗性 RST 数据包。 说明:远程主机可能受到序列号近似漏洞的影响,该漏洞可能允许攻击者向远程主机发送欺骗性 RST 数据包并关闭已建立的连接。这可能会导致某些专用服务出现问题(BGP、基于 TCP 的 VPN 等)。 我正在使用 ubuntu 12.04,如何修补或防止此问题? ubuntu 2 个回答 Voted hrunting 2013-02-06T21:16:25+08:002013-02-06T21:16:25+08:00 简短的回答:你没有。 这指的是CVE-2004-0230,主要是具有长期 TCP 连接的机器的问题(BGP 路由器是一个典型的例子,因为 BGP 会话往往会保持活跃数月)。这基本上是一种拒绝服务攻击,而且非常困难。 您唯一可以做的缓解措施是使用较小的窗口大小(这增加了必须考虑的可能 RST 目标的池),但具有初始序列随机化以及攻击者知道源 IP 和目标 IP 的要求和端口,不值得为此付出任何努力。 如果您有兴趣,Red Hat 的咨询页面有一个很好的细分。 Best Answer Victor Gottardi 2015-03-03T16:19:46+08:002015-03-03T16:19:46+08:00 这在最近的内核中已经修复。内核修复参考了处理相同问题的RFC 5961 第 3 节。
简短的回答:你没有。
这指的是CVE-2004-0230,主要是具有长期 TCP 连接的机器的问题(BGP 路由器是一个典型的例子,因为 BGP 会话往往会保持活跃数月)。这基本上是一种拒绝服务攻击,而且非常困难。
您唯一可以做的缓解措施是使用较小的窗口大小(这增加了必须考虑的可能 RST 目标的池),但具有初始序列随机化以及攻击者知道源 IP 和目标 IP 的要求和端口,不值得为此付出任何努力。
如果您有兴趣,Red Hat 的咨询页面有一个很好的细分。
这在最近的内核中已经修复。内核修复参考了处理相同问题的RFC 5961 第 3 节。