TCP 连接重置漏洞 - CVE-2004-0230讲解

TCP 连接重置漏洞 - CVE-2004-0230：

IPv6 实施中存在一个拒绝服务漏洞，该漏洞可能允许攻击者向受影响系统发送特制的 TCP 消息。 成功利用此漏洞的攻击者可能会导致受影响系统重置现有的 TCP 连接。

TCP 连接重置漏洞 (CVE-2004-0230) 的缓解因素：

• 攻击者必须能够预测或发现现有 TCP 网络连接的源和目标的 IP 地址和端口信息。 攻击者还应当预测或了解某个较困难的 TCP 网络数据包详细信息。 保持长会话或具有可预测 TCP/IP 信息的协议或程序出现此问题的风险较高。
• 默认情况下，Windows XP Service Pack 1 和 Windows XP Service Pack 2、Windows Server 2003 和 Windows Server 2003 Service Pack 1 中不安装 IPv6 支持。
• 攻击者的系统所属的 IPv6 网络必须与目标系统相同。
• 采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。 允许指向 Internet 的 TCP 连接的受影响系统容易受到此问题的攻击。
• 这种攻击必须在每个 TCP 连接上执行，以使其被重置。 许多应用程序将自动还原被重置的连接。

TCP 连接重置漏洞 (CVE-2004-0230) 的变通办法：

Microsoft 已测试以下变通办法。 尽管这些变通办法不能从根本上消除此漏洞，但它们有助于阻止已知的攻击媒介。 如果某种变通办法导致功能下降，下一节中将进行说明。

• 卸载 IPv6。

对于用于带 SP2 的 Windows XP、带 SP1 的 Windows XP 或 Windows Server 2003 的 IPv6 协议，执行以下操作：

1. 使用有权更改网络配置的用户帐户登录到计算机。
2. 单击“开始”，单击“控制面板”，然后双击“网络连接”。
3. 单击“Microsoft TCP/IP 版本 6”（对于带 SP2 的 Windows XP 或 Windows Server 2003）或“Microsoft IPv6 Developer Edition”（对于带 SP1 的 Windows XP），然后单击“卸载”。
4. 提示确认删除 Microsoft IPv6 Developer Edition 或 Microsoft TCP/IP 版本 6 协议时，单击“确定”。

或者，从 Windows XP 或 Windows Server 2003 桌面执行下列操作：

1. 单击“开始”，依次指向“程序”、“附件”。
2. 单击“命令提示符”
3. 在命令提示符下，键入 netsh interface ipv6 uninstall。

变通办法的影响： 卸载 IPv6 将导致系统不能与配置了 IPv6 的网络上的其他主机进行通信。

TCP 连接重置漏洞 (CVE-2004-0230) 的常见问题解答：

此漏洞的影响范围有多大？ 

        拒绝服务漏洞的存在，让攻击者可由此向受影响系统发送特制的 TCP 消息。 成功利用此漏洞的攻击者可能会导致受影响系统重置现有的 TCP 连接。 这样就不得不重新创建那些连接以继续正常通信。 请注意，攻击者无法利用拒绝服务漏洞来执行代码或提升他们的用户权限

造成漏洞的原因是什么？ 

        在允许攻击者发送可能导致现有连接重置的格式错误 TCP 数据包的某些情况下，受影响消息没有被忽略。

攻击者可能利用此漏洞执行什么操作？ 

        利用此漏洞的攻击者可能会导致受影响系统重置 TCP 连接。

哪些人可能会利用此漏洞？ 

        任何可向受影响系统发送特制消息及可以了解或预测必需的 TCP 详细信息的匿名用户均可以尝试利用此漏洞。 攻击者的系统所属的 IPv6 网络必须与目标系统相同。

攻击者能够如何利用此漏洞？ 

        攻击者可以通过创建特制的消息并将其发送到受影响的系统来利用此漏洞。 这些消息可能导致受影响系统重置 TCP 连接。