微软建议禁用数据包reassembly

微软发布了一份关于拒绝服务漏洞的安全公告，该漏洞可能导致多个版本的Windows完全没有响应，并且没有缓解措施。

该漏洞会影响Windows 7到10（包括8.1 RT），Server 2008,2012,2016和Core Installations的所有版本，这些版本没有最新的安全更新集。

漏洞标识号为CVE-2018-5391，该错误收到了名字片段FragmentSmack，因为它响应IP分片，这是一个调整数据包大小以适应接收端最大传输单元（MTU）的过程。

IP分段攻击是一种已知的拒绝服务形式，其中受害计算机接收多个较小大小的IP分组，这些分组预期在目的地被重新组装成其原始形式。

FragmentSmack是一种TCP碎片类型的攻击，也称为Teardrop攻击，可防止在接收方端重新组装数据包。该漏洞与Windows 3.1和95一样旧，它影响了操作系统，但它也出现在最新的Windows 7中。

“攻击者可以发送许多带有随机起始偏移量的8字节大小的IP片段，但是在重新组装IP片段时会保留最后一个片段并利用链接列表的最坏情况复杂性，”微软公司对该漏洞的建议说。

结果是机器的CPU达到最大利用率水平并使操作系统无响应。一旦数据包齐射停止，CPU就会恢复正常使用状态并恢复系统。

Microsoft建议禁用数据包重组

如果环境不允许立即应用安全更新，Microsoft建议使用以下命令禁用数据包重组，作为FragmentSmack拒绝服务错误的解决方法：

Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0

他们将丢弃任何无序的数据包，增加了损失的可能性。为避免任何问题，不应有超过50个无序数据包。

CheckPoint的一些安全产品也受到FragmentSmack的影响，该公司建议禁用片段作为一种直接的解决方法。

Linux也经历了这个，并解决了该问题

FragmentSmack 首先在Linux上被发现，还有另一个被称为SegmentSmack（CVE-2018-5390）的DoS漏洞，它影响了在内核版本3.9及更高版本上运行的设备。它已在主要发行版中修补。

最初发现FagmentedSmack和SegmentSmack的是Juha-Matti Tilli，他是诺基亚实验室和芬兰阿尔托大学通信与网络系的研究员。