Linux内核漏洞浅析(3)

上接：Linux内核漏洞浅析(2)

    我们的目的在于通过这个漏洞的特点来寻找此种类型的漏洞并更好地修补它。大家可以看到，该漏洞是一个非常典型的整数溢出 漏洞，如果在内核中存在这样的漏洞是非常危险的。所以Linux的内核开发人员对Linux内核中关于数据大小的变量都作了处理（使用了unsigned int），这样就避免了再次出现这种典型的整数溢出。通过对这种特别典型的漏洞原理进行分析，开发人员可以在以后的开发中避免出现这种 漏洞。

    IP地址欺骗类漏洞

    由于tcp/ip本身的缺陷，导致很多操作系统都存在tcp/ip堆栈漏洞，使攻击者进行ip地址欺骗非常容易实现。Linux也不例外。虽然IP地址欺骗不会对Linux 服务器本身造成很严重的影响，但是对很多利用Linux为操作系统的 防火墙和IDS产品来说，这个漏洞却是致命的。

    IP地址欺骗是很多攻击的基础，之所以使用这个方法，是因为IP自身的缺点。IP协议依据IP头中的目的地址项来发送IP数据包。如果目的地址是本地网络内的地址，该IP包就被直接发送到目的地。如果目的地址不在本地网络内，该IP包就会被发送到网关，再由网关决定将其发送到何处。这是IP路由IP包的方法。IP路由IP包时对IP头中提供的IP源地址不做任何检查，认为IP头中的IP源地址即为发送该包的机器的IP地址。当接收到该包的目的主机要与源主机进行通信时，它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址，来与源主机进行数据通信。IP的这种数据通信方式虽然非常简单和高效，但它同时也是IP的一个安全隐患，很多网络安全事故都是由IP的这个缺点而引发的。

    黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的，还是外部的分组被包装得看起来像内部分组的种种迹象都已丧失殆尽。只要系统发现发送地址在自己的范围之内，就把该分组按内部通信对待并让其通过。

    通常主机A与主机B的TCP连接是通过主机A向主机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。具体分三个步骤。

    主机A产生它的ISN，传送给主机B，请求建立连接；B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A；A再将B传送来的ISN及应答信息ACK返回给B。至此，正常情况下，主机A与B的TCP连接就建立起来了。

B ---- SYN ----> A

B <---- SYN+ACK ---- A

B ---- ACK ----> A

    假设C企图攻击A，因为A和B是相互信任的，如果C已经知道了被A信任的B，那么就要想办法使得B的网络功能瘫痪，防止别的东西干扰自己的 攻击。在这里普遍使用的是SYN flood。攻击者向被攻击主机发送许多TCP- SYN包。这些TCP-SYN包的源地址并不是攻击者所在主机的IP地址，而是攻击者自己填入的IP地址。当被 攻击主机接收到攻击者发送来的TCP-SYN包后，会为一个TCP连接分配一定的资源，并且会以接收到的数据包中的源地址（即攻击者自己伪造的IP地址）为目的地址向目的主机发送TCP-（SYN+ACK）应答包。由于 攻击者自己伪造的IP地址一定是精心选择的不存在的地址，所以被攻击主机永远也不可能收到它发送出去的TCP-（SYN+ACK）包的应答包，因而被攻击主机的TCP状态机处于等待状态。如果被 攻击主机的TCP状态机有超时控制的话，直到超时，为该连接分配的资源才会被回收。因此如果攻击者向被攻击主机发送足够多的TCP-SYN包，并且足够快，被攻击主机的TCP模块肯定会因为无法为新的TCP连接分配到系统资源而处于 服务拒绝状态。即使被攻击主机所在网络的管理员监听到了攻击者的数据包也无法依据IP头的源地址信息判定攻击者是谁。

    当B的网络功能暂时瘫痪时， C必须想方设法确定A当前的ISN。首先连向25端口，因为SMTP是没有安全校验机制的，与前面类似，不过这次需要记录A的ISN，以及C到A的大致的RTT(round trip time)。这个步骤要重复多次以便求出RTT的平均值。一旦C知道了A的ISN基值和增加规律，就可以计算出从C到A需要RTT/2 的时间。然后立即进入 攻击，否则在这之间有其他主机与A连接，ISN将比预料的多。

    C向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B。A向B回送SYN+ACK数据段，B已经无法响应，B的TCP层只是简单地丢弃A的回送数据段。这个时候C需要暂停一小会儿，让A有足够时间发送SYN+ACK，因为C看不到这个包。然后C再次伪装成B向A发送ACK，此时发送的数据段带有C预测的A的ISN+1。如果预测准确，连接建立，数据传送开始。问题在于即使连接建立，A仍然会向B发送数据，而不是C，C仍然无法看到A发往B的数据段，C必须蒙着头按照 协议标准假冒B向A发送命令，于是攻击完成。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，C只有从头再来。随着不断地纠正预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式， 攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就可以完全控制整个网络。

 C(B) ---- SYN ----> A

B <---- SYN+ACK ---- A

C(B) ---- ACK ----> A

C(B) ---- PSH ----> A

    IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，攻击最困难的地方在于预测A的ISN。攻击难度比较大，但成功的可能性也很大。C必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求 攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。

    总 结

    通过分析上面的几个漏洞大家也可以看到Linux并不是完美的，还有很多的地方需要完善。有些漏洞极大地影响了Linux的推广和使用，例如上面那个Linux hash表冲突的漏洞，因为一些IDS厂商和 防火墙厂商就是基于Linux内核来开发自己的产品，如果还是使用的Linux本身的hash算法就会受到这种漏洞的影响，极易被攻击者进行DoS 攻击。因为 防火墙、IDS本身就是安全产品，如果它们被攻击就会使用户产生极大的损失，所以我们需要对这些漏洞进行跟踪分析，并通过了解它们的特性以避免在系统中再次产生这些类型的 漏洞，通过对这些类型的漏洞进行预测挖掘，使我们能积极地防御黑客的攻击破坏。