我应该禁用 Kubernetes 的 TCP 时间戳吗？

Question

我们聘请了一名安全顾问对我们的应用程序的公共 IP（Kubernetes 负载均衡器）进行了渗透测试，并就我们的安全漏洞和避免这些漏洞所需的测量编写了一份报告。 他们的报告警告我们，我们启用了 TCP 时间戳，根据我所读到的有关该问题的信息，攻击者可以预测机器的启动时间，从而能够对其进行控制。

我还读到 TCP 时间戳对于 TCP 性能很重要，最重要的是，对于防止包装序列的保护。

But since we use Kubernetes over GKE with Nginx Ingress Controller being in front of it, I wonder if that TCP Timestamp thing really matters for that context. 我们甚至应该关心吗？ 如果是这样，它是否真的使我的网络因缺乏对包装序列的保护而易受攻击？

关于 TCP 时间戳的更多信息关于这个其他问题： TCP 时间戳赋予什么好处？

Answer 1

根据 RFC 1323（高性能 TCP 扩展）TCP 时间戳用于两种主要机制：

• PAWS（防止包裹序列）
• RTT（往返时间）

PAWS - 用于识别和拒绝以其他包装顺序到达的数据包的防御机制（数据完整性）。

往返时间- 数据包到达目的地并将确认发送回其发起设备的时间。

禁用 TCP 时间戳时会发生什么：

• 关闭 TCP 时间戳可能会导致性能问题，因为 RTT 将停止工作。
• 它将禁用PAWS 。
• 正如McAfee网站所说，禁用时间戳可以允许拒绝攻击。

如前所述，迈克菲的网站：

出于这些原因，McAfee 强烈建议保持启用此功能并将漏洞视为低漏洞。

—— 迈克菲

来自另一个网站的引用：

TCP 时间戳检索中的漏洞是一种低风险漏洞，它是全球网络上最常见的漏洞之一。 这个问题至少从 1990 年就已经存在，但事实证明要么难以发现、难以解决，要么容易被完全忽视。

-- 超越安全

我鼓励您观看此视频： HIP15-TALK:Exploiting TCP Timestamps 。

GKE呢

获取有关启动时间（在本例中为正常运行时间）的信息可以了解哪些安全补丁未应用于集群。 它可能导致利用那些未修补的漏洞。

解决此问题的最佳方法是定期更新现有集群。 GKE 实现了两种方法：

• 手动方式
• 自动方式

即使攻击者知道您机器的启动时间，它也将毫无用处，因为系统是最新的并且所有安全补丁都已应用。 Kubernetes 引擎安全公告有专门的站点： 安全公告