如何保護我的系統免受 Linux 中的 Off-path TCP 攻擊？

根據cve.mitre.org的說法，4.7 之前的 Linux 核心容易受到“Off-path” TCP 漏洞的攻擊

描述

4.7之前的Linux核心中的net/ipv4/tcp_input.c不能正確確定挑戰ACK段的速率，這使得中間人攻擊者更容易通過盲窗攻擊劫持TCP會話。

這個漏洞被認為是危險的，因為攻擊者只需要一個 IP 地址來執行攻擊。

將 Linux 核心升級到最新的穩定版本，是否4.7.1成為保護我的系統的唯一方法？

根據LWN，當您沒有修補核心時，可以使用一種緩解措施：

tcp_challenge_ack_limit sysctl旋鈕形式有緩解措施 。將該值設置為巨大的值（例如999999999）將使攻擊者更難利用該漏洞。

您應該通過在其中創建一個文件/etc/sysctl.d然後使用sysctl -a. 打開一個終端（按Ctrl+ Alt+ T），然後執行：

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

順便說一句，您可以在安全跟踪器中跟踪 Debian 上此漏洞的狀態。

引用自：https://unix.stackexchange.com/questions/304663