我们已经聘请了一名安全顾问来对我们的应用程序的公共IP(Kubernetes负载平衡器)进行渗透测试,并就我们的安全漏洞以及避免这些漏洞所需的措施编写一份报告。他们的报告警告我们,我们已经启用了TCP时间戳,从我所读到的内容来看,这将使攻击者可以预测计算机的启动时间,从而可以对其进行控制。
[我也读过,TCP时间戳对于TCP性能非常重要,最重要的是对于防止包装序列也很重要。
但是由于我们在GKE上使用Kubernetes,而Nginx Ingress Controller在它的前面,所以我想知道TCP Timestamp
的事情在那种情况下是否真的重要。我们还要关心吗?如果是这样,这是否真的会使我的网络容易受到缺少保护反序列的攻击?
关于此问题的有关TCP时间戳的更多信息:What benefit is conferred by TCP timestamp?
根据RFC 1323(高性能的TCP扩展),TCP时间戳用于两种主要机制:
PAWS-防御机制,用于识别和拒绝以其他包装顺序到达的数据包(数据完整性)。
往返时间-数据包到达目的地并将确认发送回其始发设备的时间。
禁用TCP时间戳会发生什么:
如前所述,McAfee的站点:
由于这些原因,McAfee强烈建议启用此功能,并认为此漏洞较低。-McAfee
来自另一个站点的引用:
TCP时间戳检索中的漏洞是一种低风险漏洞,它是全球网络上最常见的漏洞之一。至少从1990年开始就存在这个问题,但是事实证明,这个问题难以发现,难以解决或容易被完全忽略。-Beyond Security
[我鼓励您观看以下视频:HIP15-TALK:Exploiting TCP Timestamps。
获取有关启动时间(在这种情况下为正常运行时间)的信息可以导致了解哪些安全补丁应用于集群。它可以导致利用那些未修补的漏洞。 解决问题的最佳方法是 定期更新