科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道从Linux内核的漏洞角度考虑系统安全

从Linux内核的漏洞角度考虑系统安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

此漏洞的发现提出了一种新的漏洞概念,即通过扩展用户的内存空间到系统内核的内存空间来提升权限。攻击者通过调用get_fpxregs函数可以读取多媒体寄存器至用户空间,这样用户就可以取得MXCSR寄存器的值。

作者:51cto 2007年10月11日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

我们先看一下在linux中使用的hash算法,这个算法用在对Linux route catch的索引与分片重组的操作中。在今年五月Rice University计算机科学系的Scott A. Crosby与Dan S. Wallach提出了一种新的低带宽的DoS攻击方法,即针对应用程序所使用的hash算法的脆弱性进行攻击。这种方法提出:如果应用程序使用的hash算法存在弱点,也就是说hash算法不能有效地把数据进行散列,攻击者就可以通过构造特殊的值使hash算法产生冲突引起DoS攻击。
202203 static __inline__ unsigned rt_hash_code

(u32 daddr, u32 saddr, u8 tos)204 {205 unsigned hash = ((daddr & 0xF0F0F0F0) >> 4)

│206 ((daddr & 0x0F0F0F0F) << 4);207 hash ^= saddr ^ tos;

208 hash ^= (hash >> 16);209 return (hash ^ (hash >> 8)) & rt_hash_mask;210 }
以上的代码就是Linux对ip包进行路由或者重组时使用的算法。此算法由于过于简单而不能把route缓存进行有效的散列,从而产生了DoS漏洞。下面我们来分析一下此函数。

203行为此函数的函数名与入口参数,u32 daddr为32位的目的地址,而u32 saddr为32位的原地址,tos为协议。

205行-206行是把目标地址前后字节进行转换。

207行把原地址与tos进行异或后再与hash异或然后再赋值给hash.

208行把hash的值向右偏移16位然后与hash异或再赋值给hash.

209行是此函数返回hash与它本身向右偏移8位的值异或,然后再跟rt_hash_mask进行与操作的值。

这种攻击是一种较为少见的拒绝服务方式,因为它利用了系统本身的算法中的漏洞。该漏洞也代表了一种新的漏洞发掘的方向,就是针对应用软件或者系统使用的hash算法进行漏洞挖掘。因此,这种针对hash表攻击的方法对不仅对Linux,而且会对很多应用软件产生影响,比如说Perl5在这个perl的版本中使用的hash算法就容易使攻击者利用精心筛选的数据,使用perl5进行编程的应用程序使用的hash表产生hash冲突,包括一些代理服务器软件,甚至一些IDS软件,防火墙等,因使用的是Linux内核都会被此种攻击影响。

Linux内核中的整数溢出漏洞

Linux Kernel 2.4 NFSv3 XDR处理器例程远程拒绝服务漏洞在2003年7月29日公布,影响Linux Kernel 2.4.21以下的所有Linux内核版本。

该漏洞存在于XDR处理器例程中,相关内核源代码文件为nfs3xdr.c. 此漏洞是由于一个整形漏洞引起的(正数/负数不匹配)。攻击者可以构造一个特殊的XDR头(通过设置变量int size为负数)发送给Linux系统即可触发此漏洞。当Linux系统的NFSv3 XDR处理程序收到这个被特殊构造的包时,程序中的检测语句会错误地判断包的大小,从而在内核中拷贝巨大的内存,导致内核数据被破坏,致使Linux系统崩溃。

漏洞代码:
static inline u32 *decode_fh(u32 *p, 

struct svc_fh *fhp){int size;fh_init(fhp,

NFS3_FHSIZE);size = ntohl(*p++);

if (size > NFS3_FHSIZE)return NULL;

memcpy(&fhp->fh_handle.fh_base, p, size);

fhp->fh_handle.fh_size = size;return p + XDR_QUADLEN(size);}
因为此内存拷贝时在内核内存区域中进行,会破坏内核中的数据导致内核崩溃,所以此漏洞并没有证实可以用来远程获取权限,而且利用此漏洞时攻击者必须可以mount此系统上的目录,更为利用此漏洞增加了困难。

我们的目的在于通过这个漏洞的特点来寻找此种类型的漏洞并更好地修补它。大家可以看到,该漏洞是一个非常典型的整数溢出漏洞,如果在内核中存在这样的漏洞是非常危险的。所以Linux的内核开发人员对Linux内核中关于数据大小的变量都作了处理(使用了unsigned int),这样就避免了再次出现这种典型的整数溢出。通过对这种特别典型的漏洞原理进行分析,开发人员可以在以后的开发中避免出现这种漏洞。

IP地址欺骗类漏洞

由于tcp/ip本身的缺陷,导致很多操作系统都存在tcp/ip堆栈漏洞,使攻击者进行ip地址欺骗非常容易实现。Linux也不例外。虽然IP地址欺骗不会对Linux服务器本身造成很严重的影响,但是对很多利用Linux为操作系统的防火墙和IDS产品来说,这个漏洞却是致命的。

IP地址欺骗是很多攻击的基础,之所以使用这个方法,是因为IP自身的缺点。IP协议依据IP头中的目的地址项来发送IP数据包。如果目的地址是本地网络内的地址,该IP包就被直接发送到目的地。如果目的地址不在本地网络内,该IP包就会被发送到网关,再由网关决定将其发送到何处。这是IP路由IP包的方法。IP路由IP包时对IP头中提供的IP源地址不做任何检查,认为IP头中的IP源地址即为发送该包的机器的IP地址。当接收到该包的目的主机要与源主机进行通信时,它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址,来与源主机进行数据通信。IP的这种数据通信方式虽然非常简单和高效,但它同时也是IP的一个安全隐患,很多网络安全事故都是由IP的这个缺点而引发的。

黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的,还是外部的分组被包装得看起来像内部分组的种种迹象都已丧失殆尽。只要系统发现发送地址在自己的范围之内,就把该分组按内部通信对待并让其通过。

通常主机A与主机B的TCP连接是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN.具体分三个步骤。

主机A产生它的ISN,传送给主机B,请求建立连接;B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;A再将B传送来的ISN及应答信息ACK返回给B.至此,正常情况下,主机A与B的TCP连接就建立起来了。
B —— SYN ——> A
B <—— SYN+ACK —— A
B —— ACK ——> A
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章