202 203 static __inline__ unsigned rt_hash_code(u32 daddr, u32 saddr, u8 tos) 204 { 205 unsigned hash = ((daddr & 0xF0F0F0F0) >> 4) │ 206 ((daddr & 0x0F0F0F0F) << 4); 207 hash ^= saddr ^ tos; 208 hash ^= (hash >> 16); 209 return (hash ^ (hash >> 8)) & rt_hash_mask; 210 } |
以上的代码就是Linux对ip包进行路由或者重组时使用的算法。此算法由于过于简单而不能把route缓存进行有效的散列,从而产生了DoS漏洞。下面我们来分析一下此函数。
203行为此函数的函数名与入口参数,u32 daddr为32位的目的地址,而u32 saddr为32位的原地址,tos为协议。
205行-206行是把目标地址前后字节进行转换。
207行把原地址与tos进行异或后再与hash异或然后再赋值给hash. 208行把hash的值向右偏移16位然后与hash异或再赋值给hash. 209行是此函数返回hash与它本身向右偏移8位的值异或,然后再跟rt_hash_mask进行与操作的值。
这种攻击是一种较为少见的拒绝服务方式,因为它利用了系统本身的算法中的漏洞。该漏洞也代表了一种新的漏洞发掘的方向,就是针对应用软件或者系统使用的hash算法进行漏洞挖掘。因此,这种针对hash表攻击的方法对不仅对Linux,
而且会对很多应用软件产生影响,比如说Perl5在这个perl的版本中使用的hash算法就容易使攻击者利用精心筛选的数据,使用perl5进行编程的应用程序使用的hash表产生hash冲突,包括一些代理服务器软件,甚至一些IDS软件,防火墙等,因使用的是Linux内核都会被此种攻击影响。
Linux内核中的整数溢出漏洞
Linux Kernel 2.4 NFSv3 XDR处理器例程远程拒绝服务漏洞在2003年7月29日公布,影响Linux Kernel 2.4.21以下的所有Linux内核版本。
该漏洞存在于XDR处理器例程中,相关内核源代码文件为nfs3xdr.c. 此漏洞是由于一个整形漏洞引起的(正数/负数不匹配)。攻击者可以构造一个特殊的XDR头(通过设置变量int size为负数)发送给Linux系统即可触发此漏洞。当Linux系统的NFSv3 XDR处理程序收到这个被特殊构造的包时,程序中的检测语句会错误地判断包的大小,从而在内核中拷贝巨大的内存,导致内核数据被破坏,致使Linux系统崩溃。
漏洞代码:
static inline u32 * decode_fh(u32 *p, struct svc_fh *fhp) { int size; fh_init(fhp, NFS3_FHSIZE); size = ntohl(*p++); if (size > NFS3_FHSIZE) return NULL; memcpy(&fhp->fh_handle.fh_base, p, size); fhp->fh_handle.fh_size = size; return p + XDR_QUADLEN(size); } |
因为此内存拷贝时在内核内存区域中进行,会破坏内核中的数据导致内核崩溃,所以此漏洞并没有证实可以用来远程获取权限,而且利用此漏洞时攻击者必须可以mount此系统上的目录,更为利用此漏洞增加了困难。
我们的目的在于通过这个漏洞的特点来寻找此种类型的漏洞并更好地修补它。大家可以看到,该漏洞是一个非常典型的整数溢出漏洞,如果在内核中存在这样的漏洞是非常危险的。所以Linux的内核开发人员对Linux内核中关于数据大小的变量都作了处理(使用了unsigned int),这样就避免了再次出现这种典型的整数溢出。通过对这种特别典型的漏洞原理进行分析,开发人员可以在以后的开发中避免出现这种漏洞。