Только что закончил сканирование Nessus, и единственное, что вернулось, это «Слепой сброс прогнозирования последовательности TCP / IP, спуфинг DoS». Возможно, удастся отправить поддельные RST-пакеты в удаленную систему.
Описание. На удаленный хост может воздействовать уязвимость, связанная с приближением порядкового номера, которая может позволить злоумышленнику отправлять поддельные RST-пакеты на удаленный хост и закрывать установленные соединения. Это может вызвать проблемы для некоторых выделенных служб (BGP, VPN через TCP и т. Д.).
Я использую ubuntu 12.04, как я могу исправить или предотвратить эту проблему?
Короткий ответ: нет.
Это относится к CVE-2004-0230 и в первую очередь проблема для машин с очень долгоживущими TCP-соединениями (ярким примером этого являются маршрутизаторы BGP, поскольку сеансы BGP обычно остаются активными в течение нескольких месяцев). По сути, это атака отказа в обслуживании, причем невероятно трудная.
Единственное, что вы можете сделать для смягчения последствий, - это использовать окна меньшего размера (это увеличивает пул вероятных целей RST, которые необходимо учитывать), но с рандомизацией начальной последовательности и требованием, чтобы злоумышленник знал как исходный, так и целевой IP-адреса. и портов, прикладывать к этому усилия не стоит.
Информационная страница Red Hat имеет хорошую разбивку, если вам интересно.
Это исправлено в последних версиях ядра. В исправление ядра Ссылки RFC 5961 раздел 3 который касается той же проблемы.