2.2.x内核IP伪装存在安全漏洞
时间:2007-02-17 来源:PHP爱好者
Linux系统2.2.x内核的IP伪装实现中存在严重安全漏洞。在相关的核心代码中对连接情况缺乏认真的检查。攻击者可以重写核心中UDP伪装表项,使攻击者的UDP包可以被路由进内部机器。
当一个内部IP要访问外部网络的DNS服务器时,当发送的UDP包经过IP伪装网关时,内核会添加一个表项来记录这个连接。比如从内部主机A的1035端口连往外部主机C的53端口的一个UDP包,内核将这个包的源地址替换成伪装网关(B)的IP,源端口设置成网关上为此连接分配的一个端口,缺省是从61000端口到65096端口,因此理论上可以核心同时处理4096个TCP/UDP伪装连接。
Host A:1035 -> GW B:63767 -> Host C:53
当外部网络发送一个UDP包到伪装网关时,Linux IP伪装只根据目标端口来决定是否应该将这个UDP包转发到内部网络。如果目标端口在已经建立的伪装连接表中有对应表项,它就会将此包中的源ip和源端口更新相应表项的远程主机ip和端口。攻击者只要判断伪装网关的的端口就可能用自己的ip和端口来重写伪装连接表。伪装网关用来为伪装连接服务的端口范围通常是从61000到65096,因此外部攻击者很容易判断哪些端口已经被用来建立连接。攻击者可以向伪装网关的这些端口发送UDP检测包,然后检查端口的ICMP应答包的IP ID。每个主机每发一个包,它的TCP/IP栈中的IP ID会递增一。因此对于用于ip伪装的端口所发会的ICMP应答中将会有内部主机的IP ID.
这个ID通常会与网关主机的当前IP ID相差很多,通常都在1000以上。下面的例子就显示了利用弱点进行攻击的过程:
主机 A 是内部主机 (192.168.1.100)
主机 B 是伪装网关 (192.168.1.1 / 10.0.0.1)
主机 C 是一台外部DNS服务器 (10.0.0.25)
主机 X 是外部攻击者的IP (10.10.187.13)
进行检测之前,在伪装网关上执行命令:ipchains -L -M -n 来显示当前伪装连接表的情况:
> UDP 03:39.21 192.168.1.100 10.0.0.25 1035 (63767) -> 53
目前是从192.168.1.100的1035端口发往10.0.0.25的53端口的连接,伪装端口是63767
[ 从攻击者的机器上进行tcpdump得到的结果]
(为了更容易的看清楚问题,这里我们设置所有检测用的包的源端口为12345 )
[ 我们的检测将从61000端口开始,我们略掉了前面的一些结果 ]
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63762 unreachable [tos 0xd8] (ttl 245, id 13135)
10.10.187.13.12345 > 10.0.0.1.63763: udp 0 (DF) [tos 0x18] (ttl 254, id 23069)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63763 unreachable [tos 0xd8] (ttl 245, id 13136)
10.10.187.13.12345 > 10.0.0.1.63764: udp 0 (DF) [tos 0x18] (ttl 254, id 23070)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63764 unreachable [tos 0xd8] (ttl 245, id 13137)
10.10.187.13.12345 > 10.0.0.1.63765: udp 0 (DF) [tos 0x18] (ttl 254, id 23071)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63765 unreachable [tos 0xd8] (ttl 245, id 13138)
10.10.187.13.12345 > 10.0.0.1.63766: udp 0 (DF) [tos 0x18] (ttl 254, id 23074)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63766 unreachable [tos 0xd8] (ttl 245, id 13139)
10.10.187.13.12345 > 10.0.0.1.63767: udp 0 (DF) [tos 0x18] (ttl 254, id 23083)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63767 unreachable [tos 0xd8] (ttl 244, id 17205)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
上面这个包的ID是17205,它与13139相差已经超过4000了,这就是说,我们发现了一个经过伪装的连接。!!!
10.10.187.13.12345 > 10.0.0.1.63768: udp 0 (DF) [tos 0x18] (ttl 254, id 23084)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63768 unreachable [tos 0xd8] (ttl 245, id 13140)
10.10.187.13.12345 > 10.0.0.1.63769: udp 0 (DF) [tos 0x18] (ttl 254, id 23088)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63769 unreachable [tos 0xd8] (ttl 245, id 13141)
10.10.187.13.12345 > 10.0.0.1.63770: udp 0 (DF) [tos 0x18] (ttl 254, id 23090)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63770 unreachable [tos 0xd8] (ttl 245, id 13142)
10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23091)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63771 unreachable [tos 0xd8] (ttl 245, id 13143)
10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23092)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63772 unreachable [tos 0xd8] (ttl 245, id 13144)
[ 我们的检测到65096端口结束,我们省略了一些结果 ]
现在我们再来检查一下伪装网关的伪装连接表的情况:
ipchains -L -M -n
> UDP 04:35.12 192.168.1.100 10.10.187.13 1035 (63767) -> 12345
可以看到,现在远程主机已经换成了攻击者的ip:10.10.187.13,目标端口也换成了攻击者检测用的源端口:12345
现在攻击者就可以从12345源端口发送UDP数据给内部主机的1035端口了。
<* 来源:H D Moore *>
--------------------------------------------------------------------------------
建议:
对于访问外部DNS的问题,一个可能的解决办法是在伪装网关上设置一个缓存域名服务器,然后禁止UDP包的伪装。
非常全面的一个php技术网站,php 爱好者站 http://www.phpfans.net 有相当丰富的文章和源代码.
当一个内部IP要访问外部网络的DNS服务器时,当发送的UDP包经过IP伪装网关时,内核会添加一个表项来记录这个连接。比如从内部主机A的1035端口连往外部主机C的53端口的一个UDP包,内核将这个包的源地址替换成伪装网关(B)的IP,源端口设置成网关上为此连接分配的一个端口,缺省是从61000端口到65096端口,因此理论上可以核心同时处理4096个TCP/UDP伪装连接。
Host A:1035 -> GW B:63767 -> Host C:53
当外部网络发送一个UDP包到伪装网关时,Linux IP伪装只根据目标端口来决定是否应该将这个UDP包转发到内部网络。如果目标端口在已经建立的伪装连接表中有对应表项,它就会将此包中的源ip和源端口更新相应表项的远程主机ip和端口。攻击者只要判断伪装网关的的端口就可能用自己的ip和端口来重写伪装连接表。伪装网关用来为伪装连接服务的端口范围通常是从61000到65096,因此外部攻击者很容易判断哪些端口已经被用来建立连接。攻击者可以向伪装网关的这些端口发送UDP检测包,然后检查端口的ICMP应答包的IP ID。每个主机每发一个包,它的TCP/IP栈中的IP ID会递增一。因此对于用于ip伪装的端口所发会的ICMP应答中将会有内部主机的IP ID.
这个ID通常会与网关主机的当前IP ID相差很多,通常都在1000以上。下面的例子就显示了利用弱点进行攻击的过程:
主机 A 是内部主机 (192.168.1.100)
主机 B 是伪装网关 (192.168.1.1 / 10.0.0.1)
主机 C 是一台外部DNS服务器 (10.0.0.25)
主机 X 是外部攻击者的IP (10.10.187.13)
进行检测之前,在伪装网关上执行命令:ipchains -L -M -n 来显示当前伪装连接表的情况:
> UDP 03:39.21 192.168.1.100 10.0.0.25 1035 (63767) -> 53
目前是从192.168.1.100的1035端口发往10.0.0.25的53端口的连接,伪装端口是63767
[ 从攻击者的机器上进行tcpdump得到的结果]
(为了更容易的看清楚问题,这里我们设置所有检测用的包的源端口为12345 )
[ 我们的检测将从61000端口开始,我们略掉了前面的一些结果 ]
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63762 unreachable [tos 0xd8] (ttl 245, id 13135)
10.10.187.13.12345 > 10.0.0.1.63763: udp 0 (DF) [tos 0x18] (ttl 254, id 23069)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63763 unreachable [tos 0xd8] (ttl 245, id 13136)
10.10.187.13.12345 > 10.0.0.1.63764: udp 0 (DF) [tos 0x18] (ttl 254, id 23070)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63764 unreachable [tos 0xd8] (ttl 245, id 13137)
10.10.187.13.12345 > 10.0.0.1.63765: udp 0 (DF) [tos 0x18] (ttl 254, id 23071)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63765 unreachable [tos 0xd8] (ttl 245, id 13138)
10.10.187.13.12345 > 10.0.0.1.63766: udp 0 (DF) [tos 0x18] (ttl 254, id 23074)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63766 unreachable [tos 0xd8] (ttl 245, id 13139)
10.10.187.13.12345 > 10.0.0.1.63767: udp 0 (DF) [tos 0x18] (ttl 254, id 23083)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63767 unreachable [tos 0xd8] (ttl 244, id 17205)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
上面这个包的ID是17205,它与13139相差已经超过4000了,这就是说,我们发现了一个经过伪装的连接。!!!
10.10.187.13.12345 > 10.0.0.1.63768: udp 0 (DF) [tos 0x18] (ttl 254, id 23084)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63768 unreachable [tos 0xd8] (ttl 245, id 13140)
10.10.187.13.12345 > 10.0.0.1.63769: udp 0 (DF) [tos 0x18] (ttl 254, id 23088)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63769 unreachable [tos 0xd8] (ttl 245, id 13141)
10.10.187.13.12345 > 10.0.0.1.63770: udp 0 (DF) [tos 0x18] (ttl 254, id 23090)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63770 unreachable [tos 0xd8] (ttl 245, id 13142)
10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23091)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63771 unreachable [tos 0xd8] (ttl 245, id 13143)
10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23092)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63772 unreachable [tos 0xd8] (ttl 245, id 13144)
[ 我们的检测到65096端口结束,我们省略了一些结果 ]
现在我们再来检查一下伪装网关的伪装连接表的情况:
ipchains -L -M -n
> UDP 04:35.12 192.168.1.100 10.10.187.13 1035 (63767) -> 12345
可以看到,现在远程主机已经换成了攻击者的ip:10.10.187.13,目标端口也换成了攻击者检测用的源端口:12345
现在攻击者就可以从12345源端口发送UDP数据给内部主机的1035端口了。
<* 来源:H D Moore *>
--------------------------------------------------------------------------------
建议:
对于访问外部DNS的问题,一个可能的解决办法是在伪装网关上设置一个缓存域名服务器,然后禁止UDP包的伪装。
非常全面的一个php技术网站,php 爱好者站 http://www.phpfans.net 有相当丰富的文章和源代码.
相关阅读 更多 +