Pacchetto UDP ricevuto con ID IP zero:

4

Sto effettuando la scansione di un host nella nostra rete con Nexpose e una delle vulnerabilità segnalate è

Pacchetto UDP ricevuto con ID IP zero :

IPv4 SRC[10.0.0.5] TGT[127.0.0.1]
TOS[192] TTL[64] Flags[40] Proto[17] ID[0] FragOff[0]
HDR-LENGTH[20] TOTAL-LENGTH[76] CKSUM[45199]
UDP SRC-PORT[123] TGT-PORT[47454] CKSUM[35227]
RAW DATA [48]:
1A030AE800000C9E00001A9A6BAAE008 ...�...�...�k��.
DA15B7A195FE52CDC6F15EDB78000000 �.����R���^�x...
DA15BC9BBD4C60B5DA15BC9BBD511C4F �.���L'��.���Q.O

Non vedo nulla per risolvere questo problema. Come posso risolvere questo e chiuderlo? Non vedo una grande quantità di informazioni per la mitigazione su questo e, ironia della sorte, questo è l'unico host che ho visto riportare questo. Non è la fine del mondo serio, ma permetterebbe a un utente malintenzionato di impronte digitali sul mio host.

    
posta Qndel 11.12.2015 - 23:12
fonte

2 risposte

0

Non penso che tu possa risolverlo. Si tratta di come funziona lo stack TCP / IP nel sistema operativo.

Tieni presente che ciò consente al sistema operativo di non essere utilizzato negli attacchi Zombie: In che modo nmap esegue una scansione di zombi e falsi?

    
risposta data 12.12.2015 - 09:50
fonte
0

La risposta ufficiale di RedHat per CVE-2002-0510 :

Red Hat do not consider this to be a security issue and there are many ways that you can identify or fingerprint a Linux machine.

RFC 6864 "Specifica aggiornata del campo ID IPv4" chiarisce ulteriormente che:

This document updates the specification of the IPv4 ID field in three distinct ways, as discussed in subsequent subsections: Using the IPv4 ID field only for fragmentation (...)

Che implica che l'impostazione di un valore prevedibile se non è coinvolta la frammentazione è il comportamento previsto. Questo è rinforzato nella sezione Considerazioni sulla sicurezza che implica che avere un ID IP impostato su valori apparentemente casuali può essere usato come canale segreto per l'exfiltrazione dei dati, che è un altro motivo per azzerarlo:

When the IPv4 ID is ignored on receipt (e.g., for atomic datagrams),
its value becomes unconstrained; therefore, that field can more
easily be used as a covert channel. For some atomic datagrams it is
now possible, and may be desirable, to rewrite the IPv4 ID field to
avoid its use as such a channel.

    
risposta data 16.05.2017 - 11:05
fonte

Leggi altre domande sui tag