TCP时间戳有什么好处？

Question

我有一个安全扫描查找指示我禁用TCP时间戳。我理解这个建议的原因:时间戳可以用来计算服务器的正常运行时间，这对攻击者很有帮助(在http://www.silby.com/eurobsdcon05/eurobsdcon_silbersack.pdf的标题"TCP timestamp“下有很好的解释)。

然而，据我所知，TCP时间戳旨在增强TCP性能。当然，在成本/收益分析中，性能下降是一个很大的成本，可能太大了。我很难理解，如果有的话，性能成本可能是多少。hivemind中有节点可以提供帮助吗？

Answer 1

答案在RFC 1323 - Round-Trip Measurement中表达得最为简洁……RFC的介绍还提供了一些相关的历史背景...

   Introduction

   The introduction of fiber optics is resulting in ever-higher
   transmission speeds, and the fastest paths are moving out of the
   domain for which TCP was originally engineered.  This memo defines a
   set of modest extensions to TCP to extend the domain of its
   application to match this increasing network capability.  It is based
   upon and obsoletes RFC-1072 [Jacobson88b] and RFC-1185 [Jacobson90b].


  (3)  Round-Trip Measurement

       TCP implements reliable data delivery by retransmitting
       segments that are not acknowledged within some retransmission
       timeout (RTO) interval.  Accurate dynamic determination of an
       appropriate RTO is essential to TCP performance.  RTO is
       determined by estimating the mean and variance of the
       measured round-trip time (RTT), i.e., the time interval
       between sending a segment and receiving an acknowledgment for
       it [Jacobson88a].

       Section 4 introduces a new TCP option, "Timestamps", and then
       defines a mechanism using this option that allows nearly
       every segment, including retransmissions, to be timed at
       negligible computational cost.  We use the mnemonic RTTM
       (Round Trip Time Measurement) for this mechanism, to
       distinguish it from other uses of the Timestamps option.

由于禁用时间戳而导致的特定性能损失取决于您特定的服务器操作系统以及如何做到这一点(例如，请参阅此PSC doc on performance tuning)。某些操作系统要求您一次启用或禁用所有RFC1323选项...其他选项允许您有选择地启用RFC 1323选项。

如果你的数据传输被你的虚拟服务器以某种方式限制了(也许你只是买了便宜的vhost套餐)，那么也许你无论如何都不可能使用更高的性能……也许值得把它们关掉去尝试一下。如果您这样做了，请确保从几个不同的位置对前后的性能进行基准测试，如果可能的话。

Answer 2

为什么安全人员要您禁用时间戳？时间戳可能代表什么威胁？我打赌NTP工作人员会对此不满意;^)

启用TCP时间戳后，您可以猜测目标系统的正常运行时间(nmap v -O。了解系统已启动多长时间将使您能够确定是否已应用需要重新启动的安全补丁。

Answer 3

致Daniel和其他需要澄清的人：

http://www.forensicswiki.org/wiki/TCP_timestamps

"TCP时间戳用于提供对包装序列号的保护。可以通过分析TCP时间戳(见下文)来计算系统正常运行时间(和启动时间)。这些计算出的正常运行时间(和启动时间)有助于检测隐藏的启用网络的操作系统(请参阅TrueCrypt)，将欺骗的IP和MAC地址链接在一起，将IP地址与点对点无线AP链接，等等。“

这是一个低风险的漏洞，用PCI遵从性来表示。