个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我们聘请了一名安全顾问对我们的应用程序的公共(public) IP(Kubernetes 负载均衡器)进行渗透测试,并就我们的安全缺陷以及避免这些缺陷所需的措施撰写报告。他们的报告警告我们,我们启用了 TCP 时间戳,从我读到的有关该问题的信息来看,它将允许攻击者预测机器的启动时间,从而能够授予对其的控制权。
我还了解到 TCP 时间戳对于 TCP 性能很重要,最重要的是,对于防止包装序列很重要。
但是由于我们使用 Kubernetes 而不是 GKE,并且 Nginx Ingress Controller 位于其前面,所以我想知道 TCP Timestamp 对于该上下文是否真的很重要。我们应该关心吗?如果是这样,它真的会使我的网络因缺乏防止包装序列而容易受到攻击吗?
有关其他问题的 TCP 时间戳的更多信息: What benefit is conferred by TCP timestamp?
最佳答案
根据 RFC 1323(高性能 TCP 扩展),TCP 时间戳用于两种主要机制:
PAWS - 用于识别和拒绝以其他包装顺序到达的数据包的防御机制(数据完整性)。
往返时间 - 数据包到达目的地并将确认发送回其发起设备的时间。
禁用 TCP 时间戳时会发生什么:
正如前面提到的 McAfee 网站:
For these reasons, McAfee strongly recommends keeping this feature enabled and considers the vulnerability as low..
-- McAfee
来自另一个网站的引用:
Vulnerabilities in TCP Timestamps Retrieval is a Low risk vulnerability that is one of the most frequently found on networks around the world. This issue has been around since at least 1990 but has proven either difficult to detect, difficult to resolve or prone to being overlooked entirely.
我鼓励您观看此视频:HIP15-TALK:Exploiting TCP Timestamps 。
获取有关启动时间(在本例中为正常运行时间)的信息可以了解哪些安全补丁未应用于集群。它可能会导致那些未修补的漏洞被利用。
解决这个问题的最佳方法是定期更新现有集群。GKE 实现了两种方法:
即使攻击者知道您计算机的启动时间,它也是无用的,因为系统是最新的并且所有安全补丁都已应用。有专门的 Kubernetes 引擎安全公告站点:Security bulletins
关于security - 我应该为 Kubernetes 禁用 TCP 时间戳吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58996638/
26
4
0
给定一个带有多个 date_time 戳的字符串,我想 提取第一个戳及其前面的文本 候选字符串可以有一个或多个时间戳 后续的 date_time 戳记将被 sep="-" 隔开 后续date_time
是否可以合并从相机拍摄的文本和照片?我想在照片上标记日期和时间,但我在 Google 上找不到任何内容。 最佳答案 使用下面的代码来实现你所需要的。 Bitmap src = Bitm
有没有办法通过 Graph API 戳另一个用户?基于this post ,并使用 Graph Explorer ,我发布到“/USERID/pokes”,我已经授予它(Graph API 应用程序和
我有两个向左浮动的元素。一个是 body 的第一个 child ,另一个是容器的第一个 child ,容器是 body 的第二个 child 。 ...
我是一名优秀的程序员,十分优秀!