CVE-2016-5696

В начале июня этого года стало известно о уязвимости в tcp/ip стеке ядра linux версия от 2.6 до 4.7 (в 4.7 пофиксили). Суть уязвимости в возможности удаленно сбрасывать tcp сессию, подбирать номер пакета в tcp последовательности. Исследователи обнаружившие уязвимость сообщают о возможности проведения атака типа mitm.

Для Debian/Ubuntu заплатка выпущена, обновленные пакеты уже в репозитории.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5696

Если под ваш дистрибутив нет патча, есть еще вот такой вариант:

This RFC 5961 has allegedly only been implemented on Linux, not Windows or Mac OS.

The fix allegedly is to enter the following in your sysctl.conf (mine is in /etc)

#—————————————————————
# Fix RFC RFC 5961 problem
#—————————————————————

net.ipv4.tcp_challenge_ack_limit = 999999999

The (as root) run sysctl -p (or reboot)

Отсюда: https://www.linkedin.com/groups/49301/49301-6169443184947519488

Тонкая Настройка TCP

Слишком часто разработчики винят недостаточную производительность сети, хотя на самом деле зачастую причина в неправильно настроенном программном обеспечении. В этой статье описаны некоторые утилиты для анализа и настройки сети, которые позволяют разработчикам оптимизировать свои приложения для оптимизации сетевых возможностей.

Автор Brian Tierney
Перевод Войновича Андрея

Как-то раз мой друг Боб пришел ко мне с вопросом. Он написал программу на Java, которая копировала 100 МБ файлы с его компьютера под управлением Windows XP в его офисе на Linux-сервер в региональный офис компании. В обоих офисах используются 100Мбит сети Ethernet, соединенные через 155Mbps VPN канал. Однако он был очень неприятно удивлен тем, что измеренная скорость передачи была ниже 4Мбит, и попросил меня объяснить причину такого поведения. Читать