Paquete UDP recibido con IP ID de cero:

4

Estoy escaneando un host en nuestra red con Nexpose y una de las vulnerabilidades reportadas es

Paquete UDP recibido con Id. de IP de cero :

IPv4 SRC[10.0.0.5] TGT[127.0.0.1]
TOS[192] TTL[64] Flags[40] Proto[17] ID[0] FragOff[0]
HDR-LENGTH[20] TOTAL-LENGTH[76] CKSUM[45199]
UDP SRC-PORT[123] TGT-PORT[47454] CKSUM[35227]
RAW DATA [48]:
1A030AE800000C9E00001A9A6BAAE008 ...�...�...�k��.
DA15B7A195FE52CDC6F15EDB78000000 �.����R���^�x...
DA15BC9BBD4C60B5DA15BC9BBD511C4F �.���L'��.���Q.O

No veo nada para resolver esto. ¿Cómo puedo resolver esto y cerrarlo? No veo mucha información para mitigar esto e, irónicamente, este es el único servidor al que he visto informar esto. No es el fin del mundo serio, pero permitiría a un atacante tomar las huellas dactilares de mi anfitrión.

    
pregunta ApertureSecurity 11.12.2015 - 23:12
fuente

2 respuestas

0

No creo que puedas resolver eso. Esto es una cuestión de cómo funciona la pila TCP / IP en el sistema operativo.

También tenga en cuenta que esto permite que el Sistema Operativo evite ser utilizado en ataques Zombie: ¿Cómo hace nmap un escaneo de zombies y señuelos?

    
respondido por el user3313574 12.12.2015 - 09:50
fuente
0

La respuesta oficial de RedHat por CVE-2002-0510 :

  

Red Hat no considera que esto sea un problema de seguridad y hay muchas maneras en que puede identificar o tomar una huella digital en una máquina Linux.

RFC 6864 "Especificación actualizada del campo de ID de IPv4" aclara aún más que:

  

Este documento actualiza la especificación del campo ID de IPv4 en tres   formas distintas, como se discute en subsecciones subsiguientes:   Utilizando el campo ID de IPv4 solo para fragmentación (...)

Lo que implica que establecerlo en un valor predecible si no hay fragmentación involucrada es el comportamiento esperado. Esto se refuerza en la sección de Consideraciones de seguridad, que implica que tener un ID de IP configurado en valores aparentemente aleatorios se puede usar como un canal encubierto para filtrar datos, lo cual es otra razón más para ponerlo a cero:

  

Cuando la ID de IPv4 se ignora en la recepción (por ejemplo, para datagramas atómicos),
  su valor se vuelve sin restricciones; por lo tanto, ese campo puede más   Fácilmente ser utilizado como un canal encubierto. Para algunos datagramas atómicos es
  ahora es posible, y puede ser conveniente, volver a escribir el campo de ID de IPv4 en
  evitar su uso como tal canal.

    
respondido por el kravietz 16.05.2017 - 11:05
fuente

Lea otras preguntas en las etiquetas