偽造されたACKに対するTCPのプロトコル仕様の脆弱性(更新)

偽造された ACK (Optimistic ACK) に対する TCP の脆弱性により、トラフィック増大および帯域占有が生じ、他の通信が影響を受ける可能性

報告日

2005/12/12

SEILシリーズの該当状況

以下のバージョンにおいて影響を受けます。

機種 バージョン
SEIL/Turbo 1.00 -
SEIL/neu 2FE Plus 1.00 -
SEIL/neu ver.2.x 2.00 -
SEIL/neu ver.1.x 1.52 -
SEIL/neu ATM 1.10 -

SEILシリーズへの影響内容

SEILがTCPサーバとして動作する次の通信では、本脆弱性の影響を受ける可能性があります。 (なお、本脆弱性はTCPのプロトコル仕様に起因するもので、SEIL固有の実装上の問題ではありません。)

通常、TCP通信ではACKによるフロー制御および輻輳制御を行い、一定以上の帯域を用いないように制限します。 しかし、本脆弱性による攻撃では、偽造されたACK (Optimistic ACK)をTCPサーバに送信することで、サーバの限界性能までトラフィックを発生させ、帯域を占有し、他のサービスの正常な運用に影響を及ぼすことが懸念されています。 ただし、この攻撃手法は、自身の有する送信コンテンツ量が少ない TCP サーバに対してほとんど実効がありません。 また、通信時に認証が必要な TCP サービスについては ACK 偽造が困難となり、やはり影響は少ないと考えられます。 SEIL シリーズにおいては、現在のところ実質的影響を受けた事例は確認されていません。

SEILシリーズにおける対応

本脆弱性は TCP のプロトコル仕様上の問題に起因するものです。 現在のところ、SEIL シリーズにおいて、独自の実装上の対策を行なう予定はありません。

設定による回避

本脆弱性の影響を低 減させるため可能な対策を下記に記載します。

  1. 不要なサービスの停止

  1. フィルタおよび認証適用によるアクセス制御

  1. CBQによる帯域制御の予防的適用

関連情報

  1. JP Vendor Status Notes JVNVU#102014

  1. US-CERT Vulnerability Note VU#102014

© Internet Initiative Japan Inc.