Linux TCP漏洞允许黑客劫持互联网流量并远程注入恶意软件

自2012年以来在所有Linux系统中部署的传输控制协议(TCP)实现 (Linux内核3.6及以上版本)对互联网用户构成严重威胁，无论他们是否直接使用Linux。

这个问题令人不安，因为Linux在互联网上被广泛使用，从网络服务器到Android智能手机、平板电脑和智能电视。

研究人员发现了一个严重的互联网漏洞，如果被利用，攻击者可以终止或将恶意软件注入互联网上任何两台易受攻击的机器之间的未加密通信。

该漏洞还可用于强制终止HTTPS加密的连接，降低安全连接的隐私，并通过将Tor用户路由到某些恶意中继来威胁其匿名性。

该漏洞实际上存在于Request for Comments: 5961（RFC 5961）；这是一个相对较新的互联网标准，旨在使常用的TCP更能抵御黑客攻击。

TCP协议是所有Internet通信的核心，因为所有应用程序级协议，包括HTTP、FTP、SSH、Telnet、DNS和SMTP，都是基于TCP的。

Web服务器和其他应用程序利用TCP协议在主机之间建立连接，以便在主机之间传输数据。

来自加利福尼亚大学、河滨和美国陆军研究实验室的一组六名安全研究人员在USENIX安全研讨会上展示了一个概念证明漏洞，它可以用来检测两个主机是否通过TCP进行通信并最终攻击该流量。

进攻位置不需要人

通常，TCP协议将消息组合成一系列数据包，这些数据包由唯一的序列号标识，并传输到接收器。当接收到数据包时，接收器将数据包重新组合成原始消息。

研究人员发现旁道“攻击允许黑客仅使用双方的IP地址，在攻击的前10秒内准确猜测TCP数据包序列号。

这意味着，具有伪造IP地址的攻击者不需要中间人（MITM）位置，显然可以在Internet上任意两台机器之间拦截和注入恶意TCP数据包。

研究人员在题为“研究”的论文中详细介绍了他们的发现非路径TCP攻击：全局速率限制被认为是危险的[PDF]，向观众展示了他们如何在《今日美国》网站内注入网络钓鱼形式。
你可以观看上面的视频演示，它显示了正在进行的攻击。

以Tor网络为目标

研究人员还展示了如何利用该漏洞（CVE-2016-5696）破坏安全外壳（SSH）连接，并篡改通过Tor匿名网络传输的加密通信。

“一般来说，我们认为，针对Tor连接的DoS（拒绝服务）攻击可能会对整个服务的可用性和它所能提供的隐私保障产生毁灭性的影响，”文章写道。

“Tor中的默认策略是，如果两个中继节点（例如中间中继和出口中继）之间的连接断开，中间中继将选择不同的出口中继来建立下一个连接。如果攻击者可以指示哪些连接断开（通过重置攻击），则攻击者可能会强制使用某些出口继电器。"

该团队还就如何减轻攻击提出了建议。

以下是如何减轻TCP攻击

虽然修复漏洞的补丁是为当前的Linux内核开发和分发的，但作为一种解决方法，您可以将Linux机器或小工具上的ACK速率限制提高到较大的值，以便无法达到。

为此，需要将以下内容附加到/etc/sysctl。形态：

net.ipv4.tcp_challenge_ack_limit=9999999

完成后，使用sysctl-p激活新规则。要做到这一点，您需要执行root。

研究人员还注意到，虽然Linux 3.6版及以上版本容易受到这种攻击，但Windows、OS X和FreeBSD据信不易受到攻击，因为它们尚未完全实现RFC 5961。