我应该为 Kubernetes 禁用 TCP 时间戳吗？

Question

我们聘请了一名安全顾问对我们应用程序的 public IP (Kubernetes Loadbalancer) 进行渗透测试，并撰写一份关于我们的安全漏洞和避免这些漏洞所需措施的报告。他们的报告警告我们，我们启用了 TCP 时间戳，从我读到的有关该问题的内容来看，这将允许攻击者预测机器的启动时间，从而能够授予对其的控制权。

我还读到 TCP 时间戳对于 TCP 性能很重要，最重要的是，对于防止包装序列。

但是由于我们在 GKE 上使用 Kubernetes，而 Nginx Ingress Controller 位于它的前面，我想知道 TCP Timestamp 这件事对于那个上下文是否真的很重要。我们应该关心吗？如果是这样，它是否真的会因为缺少反包装保护序列而使我的网络容易受到攻击？

有关此其他问题的 TCP 时间戳的更多信息： What benefit is conferred by TCP timestamp?

Answer 1

根据 RFC 1323（高性能的 TCP 扩展），TCP 时间戳用于两种主要机制：

• PAWS（防止包装序列）
• RTT（往返时间）

PAWS - 识别和拒绝以其他包装序列（数据完整性）到达的数据包的防御机制。

往返时间 - 数据包到达目的地并将确认发送回其发起设备的时间。

禁用 TCP 时间戳会发生什么情况：

• 关闭 TCP 时间戳可能会导致性能问题，因为 RTT 将停止工作。
• 它将禁用 PAWS。
• 正如 McAfee 网站所说，禁用时间戳可能允许拒绝攻击。

如前所述，McAfee 的网站：

For these reasons, McAfee strongly recommends keeping this feature enabled and considers the vulnerability as low..

-- McAfee

来自另一个站点的引用：

Vulnerabilities in TCP Timestamps Retrieval is a Low risk vulnerability that is one of the most frequently found on networks around the world. This issue has been around since at least 1990 but has proven either difficult to detect, difficult to resolve or prone to being overlooked entirely.

-- Beyond Security

我鼓励您观看此视频：HIP15-TALK:Exploiting TCP Timestamps。

GKE呢

获取有关启动时间（在本例中为正常运行时间）的信息可以了解哪些安全补丁未应用于集群。它可能导致利用那些未修补的漏洞。

最好的方法是定期更新 现有集群。 GKE 实现了两种方式：

• Manual way
• Automatic way

即使攻击者知道您机器的启动时间也没有用，因为系统是最新的并且应用了所有安全补丁。 Kubernetes 引擎安全公告有专门的站点：Security bulletins