- プロダクト・サービス
- ドキュメント
- ダウンロード
- 販売・レンタル
- サポート情報
偽造された ACK (Optimistic ACK) に対する TCP の脆弱性により、トラフィック増大および帯域占有が生じ、他の通信が影響を受ける可能性
2005/12/12
以下のバージョンにおいて影響を受けます。
| 機種 | バージョン |
|---|---|
| SEIL/Turbo | 1.00 - |
| SEIL/neu 2FE Plus | 1.00 - |
| SEIL/neu ver.2.x | 2.00 - |
| SEIL/neu ver.1.x | 1.52 - |
| SEIL/neu ATM | 1.10 - |
SEILがTCPサーバとして動作する次の通信では、本脆弱性の影響を受ける可能性があります。 (なお、本脆弱性はTCPのプロトコル仕様に起因するもので、SEIL固有の実装上の問題ではありません。)
HTTP
Secure Shell
Telnet
DNS中継
トランスレータ
TCP relay
通常、TCP通信ではACKによるフロー制御および輻輳制御を行い、一定以上の帯域を用いないように制限します。 しかし、本脆弱性による攻撃では、偽造されたACK (Optimistic ACK)をTCPサーバに送信することで、サーバの限界性能までトラフィックを発生させ、帯域を占有し、他のサービスの正常な運用に影響を及ぼすことが懸念されています。 ただし、この攻撃手法は、自身の有する送信コンテンツ量が少ない TCP サーバに対してほとんど実効がありません。 また、通信時に認証が必要な TCP サービスについては ACK 偽造が困難となり、やはり影響は少ないと考えられます。 SEIL シリーズにおいては、現在のところ実質的影響を受けた事例は確認されていません。
本脆弱性は TCP のプロトコル仕様上の問題に起因するものです。 現在のところ、SEIL シリーズにおいて、独自の実装上の対策を行なう予定はありません。
本脆弱性の影響を低 減させるため可能な対策を下記に記載します。
不要なサービスの停止
SEILがTCPサーバとして動作する機能が不要な場合、無効に設定してください。
フィルタおよび認証適用によるアクセス制御
適切なIPフィルタの設定により、不要なアクセスを禁止できます。 また、HTTP、およびTelnet 機能はパスワード認証が、 Secure Shell 機能はパスワード認証に加えて公開鍵認証によるアクセス制御がそれぞれ可能です。 これらのアクセス制御を適切に用いることにより本脆弱性の影響を最小限に留めることができます。
CBQによる帯域制御の予防的適用
TCP パケットに対する帯域制御設定を予防的に行うことで、 仮に本脆弱性によるトラフィック増大が生じても、他の通信への影響を最小限に留めることができます。
JP Vendor Status Notes JVNVU#102014
TCP プロトコルに Optimistic TCP acknowledgements による DoS が可能な脆弱性 http://jvn.jp/cert/JVNVU102014/index.html
US-CERT Vulnerability Note VU#102014
Optimistic TCP acknowledgements can cause denial of service http://www.kb.cert.org/vuls/id/102014