Как исправить “Прогноз Последовательности TCP/IP Слепой Спуфинг Сброса DoS”
Я вставил бы его /etc/fstab где все в масштабе всей системы монтирование определяются.
Теперь это исправлено в последних ядрах. Исправление ядра ссылается на RFC 5961 раздел 3 , который касается той же проблемы.
Краткий ответ: нет.
Это относится к CVE-2004-0230 и в первую очередь является проблемой для машин с очень долгоживущими TCP-соединениями ( Маршрутизаторы BGP являются ярким примером этого, поскольку сеансы BGP обычно остаются активными в течение нескольких месяцев). По сути, это атака типа «отказ в обслуживании», и притом невероятно трудная.
Единственное, что вы можете сделать для смягчения - это использовать окна меньшего размера (это увеличивает пул вероятных целей RST, которые должны быть рассматривается), но с рандомизацией начальной последовательности и требованием, чтобы злоумышленник знал IP-адреса источника и назначения и порты, не стоит прилагать к этому никаких усилий.
Страница с рекомендациями Red Hat есть хорошая разбивка, если вам интересно.