IPFilter TCP+ACK错误校验和数据包拒绝服务攻击漏洞发布时间:2003-01-17 更新时间:2003-01-17 严重程度:高 威胁程度:远程拒绝服务 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:6534 受影响系统 IPFilter 3.4.29详细描述 IPFilter实现上存在一个漏洞,远程攻击者可能利用此漏洞对防火墙进行拒绝服务攻击。当IPFilter收到一个带有错误校验和的TCP+ACK包(之前没有SYN初始化这个会话)时,它会在状态表里加入一个"ESTABLISHED"的会话记录,此表项默认情况下会保留120小时。如果向IPFilter发送大量此类的数据包会填满状态表,从而使防火墙失去工作能力。当IPFilter被配置成对不含S标记的数据包使用"keep state"规则时会出现此类问题。 解决方案 厂商承诺在新版的软件中修复漏洞,临时的解决方案是丢弃校验和错误的数据包,也可以配置不对不含S标记的数据包使用"keep state"规则。 相关信息 "Yiming Gong" <yiming@security.zz.ha.cn> http://security.zz.ha.cn/ipfilterq.html |
