Gisteren gaven de twee Zweedse beveiligingsonderzoekers Robert Lee en Jack Louis hun langverwachte presentatie over het Denial of Service probleem waar het TCP/IP protocol mee te maken heeft. Via deze aanval is het mogelijk om met weinig middelen allerlei servers uit de lucht te halen, wat ernstige gevolgen voor allerlei bedrijven en instanties kan hebben. Er was lange tijd tussen onderzoekers een discussie gaande of het een geheel nieuw probleem betreft, of dat het tweetal een variant heeft gevonden. Het Cisco Product Security Incident Response Team (PSIRT) heeft gisteren bevestigd dat het om een "extensie" van een al lang bekend probleem binnen het TCP protocol gaat. Om de aanval uit te voeren moet de aanvaller eerst een TCP three-way handshake opzetten, wat het spoofen van de aanval een stuk lastiger maakt.

Volgens de netwerkgigant is het mogelijk om de problemen te voorkomen door alleen betrouwbare bronnen toegang tot TCP diensten te geven. Het advies is met name bedoeld voor apparaten die binnen kritieke delen van de infrastructuur worden gebruikt. Verder adviseert PSIRT om infrastructure access control lists (IACLs) en control plane policing (CoPP) toe te passen om de netwerkfunctionaliteit te beschermen. Cisco onderzoekt nog wat de verdere impact van de aanval op haar producten is. Ook het Finse CERT zegt dat er verder onderzoek zal plaatsvinden naar de gevolgen, wat betekent dat de details pas volgend jaar zullen verschijnen.

Terugkrabbelen
Sockstress criticus en Nmap auteur Fyodor Vaskovich deelt op zijn blog weer een steekje uit, aangezien de twee onderzoekers aan het terugkrabbelen zouden zijn. In dit interview zegt Lee dat ze tijdens de presentatie geen details zullen geven over hoe de aanval werkt, maar zullen bespreken wat de aanval niet is, om zo de vraagtekens bij het publiek weg te nemen.