科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道从Linux内核的漏洞角度考虑系统安全 (2)

从Linux内核的漏洞角度考虑系统安全 (2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

拒绝服务攻击是目前比较流行的攻击方式,它并不取得服务器权限,而是使服务器崩溃或失去响应。

作者:linuxaid 来源:linuxaid 2007年10月19日

关键字: 安全 漏洞 内核 Linux

  • 评论
  • 分享微博
  • 分享邮件

拒绝服务类漏洞

拒绝服务攻击是目前比较流行的攻击方式,它并不取得服务器权限,而是使服务器崩溃或失去响应。对Linux的拒绝服务大多数都无须登录即可对系统发起拒绝服务攻击,使系统或相关的应用程序崩溃或失去响应能力,这种方式属于利用系统本身漏洞或其守护进程缺陷及不正确设置进行攻击。

另外一种情况,攻击者登录到Linux系统后,利用这类漏洞,也可以使系统本身或应用程序崩溃。这种漏洞主要由程序对意外情况的处理失误引起,如写临时文件之前不检查文件是否存在,盲目跟随链接等。

下面,我们简单描述一下Linux在处理intel IA386 CPU中的寄存器时发生错误而产生的拒绝服务漏洞。该漏洞是因为IA386多媒体指令使用的寄存器MXCSR的特性导致的。由于IA386 CPU规定MXCSR寄存器的高16位不能有任何位被置位,否则CPU就会报错导致系统崩溃。为了保证系统正常运转,在linux系统中有一段代码专门对MXCSR的这个特性作处理,而这一段代码在特定的情况下会出现错误,导致MXCSR中的高16位没有被清零,使系统崩溃。如果攻击者制造了这种“极限”的内存情况就会对系统产生DoS效果。

攻击者通过调用get_fpxregs函数可以读取多媒体寄存器至用户空间,这样用户就可以取得MXCSR寄存器的值。调用set_fpxregs函数可以使用用户空间提供的数据对MXCSR寄存器进行赋值。通过对MXCSR的高16位进行清0,就保证了IA386 CPU的这个特性。如果产生一种极限效果使程序跳过这一行,使MXCSR寄存器的高16位没有被清0,一旦MXCSR寄存器的高16位有任何位被置位,系统就会立即崩溃!

因为利用这个漏洞攻击者还需要登录到系统,这个漏洞也不能使攻击者提升权限,只能达到DoS的效果,所以这个漏洞的危害还是比较小的。但是分析这个漏洞就没有意义了吗?其实由分析这个漏洞可以看出:Linux内核开发成员对这种内存拷贝时出现错误的情况没有进行考虑,以至造成了这个漏洞,分析了解了这个漏洞后,在漏洞挖掘方面也出现了一种新的类型,使我们在以后的开发中可以尽量避免这种情况。

接下来让我们看一种Linux内核算法上出现的漏洞。先来简单介绍一下这个漏洞,当Linux系统接收到攻击者经过特殊构造的包后,会引起hash表产生冲突导致服务器资源被耗尽。这里所说的hash冲突就是指:许多数值经过某种hash算法运算以后得出的值相同,并且这些值都被储存在同一个hash槽内,这就使hash表变成了一个单向链表。而对此hash表的插入操作会从原来的复杂度O(n)变为O(n*n)。这样就会导致系统消耗巨大的cpu资源,从而产生了DoS攻击效果。

我们先看一下在linux中使用的hash算法,这个算法用在对Linux route catch的索引与分片重组的操作中。在今年五月Rice University计算机科学系的Scott A. Crosby与Dan S. Wallach提出了一种新的低带宽的DoS攻击方法,即针对应用程序所使用的hash算法的脆弱性进行攻击。这种方法提出:如果应用程序使用的hash算法存在弱点,也就是说hash算法不能有效地把数据进行散列,攻击者就可以通过构造特殊的值使hash算法产生冲突引起DoS攻击。

202
  
  203 static __inline__ unsigned rt_hash_code(u32 daddr, u32 saddr, u8 tos)
  
  204 {
  
  205 unsigned hash = ((daddr & 0xF0F0F0F0) >> 4) │
  
  206 ((daddr & 0x0F0F0F0F) << 4);
  
  207 hash ^= saddr ^ tos;
  
  208 hash ^= (hash >> 16);
  
  209 return (hash ^ (hash >> 8)) & rt_hash_mask;
  
  210 }
  
  

以上的代码就是Linux对ip包进行路由或者重组时使用的算法。此算法由于过于简单而不能把route缓存进行有效的散列,从而产生了DoS漏洞。下面我们来分析一下此函数。

203行为此函数的函数名与入口参数,u32 daddr为32位的目的地址,而u32 saddr为32位的原地址,tos为协议。

205行-206行是把目标地址前后字节进行转换。

207行把原地址与tos进行异或后再与hash异或然后再赋值给hash。

208行把hash的值向右偏移16位然后与hash异或再赋值给hash。

209行是此函数返回hash与它本身向右偏移8位的值异或,然后再跟rt_hash_mask进行与操作的值。

这种攻击是一种较为少见的拒绝服务方式,因为它利用了系统本身的算法中的漏洞。该漏洞也代表了一种新的漏洞发掘的方向,就是针对应用软件或者系统使用的hash算法进行漏洞挖掘。因此,这种针对hash表攻击的方法对不仅对Linux,而且会对很多应用软件产生影响,比如说Perl5在这个perl的版本中使用的hash算法就容易使攻击者利用精心筛选的数据,使用perl5进行编程的应用程序使用的hash表产生hash冲突,包括一些代理服务器软件,甚至一些IDS软件,防火墙等,因使用的是Linux内核都会被此种攻击影响。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章