Сетевой стек протокола и TCP хакинг
Шямитх, перевод Алексей Антипов
Сетевой стек протоколов, формирующий конвейеризацию и передачу данных между хостами, разработан для наилучшего взаимодействия между различными сетевыми уровнями. В этой статье мы попытаемся описать перемещение данных через расположенные в стеке уровни и попробуем внедрить модуль ядра Linux, помогающий нам захватывать и отображать данные, проходящие через уровень TCP. Так как обсуждение всех видов сетевых соединений выходит за рамки данной статьи, то мы остановимся на TCP/IP соединениях.
Сетевой стек протоколов
Сетевые устройства формируют базовый уровень стека протоколов. Для связи с другими устройствами и приема-передачи трафика они используют протокол канала передачи данных (обычно Ethernet). Интерфейс, организуемый драйверами сетевых устройств, копирует пакеты с физической среды, выполняя некоторые проверки ошибок, после чего помещает пакеты в сетевой уровень. Интерфейсы вывода принимают пакеты из сетевого уровня, выполняют некоторые проверки ошибок и пересылают их в физическую среду. Мы будем обсуждать IP (протокол Интернет) являющийся стандартным протоколом сетевого уровня. Главными функциями IP являются маршрутизация, проверка входящих пакетов, определяющая направлены ли эти пакеты на данный хост или они нуждаются в дальнейшей пересылке. При этом, в случае необходимости, пакеты дефрагментируются и доставляются на транспортные протоколы. Такие протоколы имеют динамическую базу данных маршрутов для исходящих пакетов, адресуют и фрагментируют их перед посылкой на уровень связи.
TCP и UDP являются наиболее часто используемыми протоколами транспортного уровня. UDP создает структуру для адресации пакетов в пределах хоста, в то время как TCP поддерживает более комплексные операции подключения типа восстановления потерянных пакетов и управления трафиком.
Продвигаясь по транспортному уровню, мы можем найти INET уровень, формирующий промежуточный уровень между транспортным уровнем и сокетами приложений. С помощью INET уровня поддерживаются принадлежащие приложениям сокеты. В этом уровне осуществлены все специфические операции сокетов.
BSD - абстрактная структура данных, содержащая INET сокеты. Запрос приложения на подключение, чтение или запись через сокет, преобразовывается в INET операции с помощью BSD.
Общая структура пакетов. Данные заключаются в общую структуру данных, называемую sk_buff. Все уровни используют эту структуру данных. Сразу после копирования данных из пространства пользователя в пространство ядра, они помещаются в sk_buff и перемещаются на различные уровни. В свою очередь уровень добавляют к этой структуре свои заголовки. Sk_buff содержит ссылки на всю информацию о пакете, его сокете, устройстве, маршруте, расположении данных и т.д.
Сетевые функции Linux
Для нормального сетевого программиста, интерфейсная часть сетевых служб доступна с помощью следующих подпрограмм библиотеки С.
socket(), bind(), listen(), connect(), accept(), send(), sendto(), recv(), recvfrom(), getsockopt(), and setsockopt().
Функция socket() используется для создания нового сокета. Все операции с различными протоколами происходят с помощью сокетов. Поскольку функция socket() возвращает значение дескриптора файла, то к нему могут обращаться стандартные операции работы с файлами типа read(), write().
Фунция bind() используется для связи созданного сокета с портом. Порт, наряду с IP адресом сетевого интерфейса, используется для уникальной идентификации сокета.
Функция listen() используется для программирования сервера. После создания сокета и связи его с портом функция listen() устанавливает сокет в состояние прослушивания. Это означает, что сокет ожидает подключения со стороны других хостов.
При вызове на сервере функции accept() происходит непрерывный опрос сокета происходящий до получения запроса на подключение от другого хоста. После установления соединения серверная программа пробуждается и дает процессу возможность обрабатывать запрос от чужого хоста. Со стороны клиента используется функция connect(), показывающая серверу, что клиент желает открыть подключение на сокете и послать запрос.
Необходимые структуры данных
socket:
Эта структура является основой для выполнения интерфейса BSD сокетов. Установка и инициализация этой структуры происходит при помощи системного вызова socket().
sk_buff:
Эта структура управляет индивидуальными пакетами соединений приходящими и отсылаемыми с хоста. При этом происходит буферизация ввода-вывода.
INET:
Эта структура управляет различными частями сокетов, зависящими от конкретной сети. Она необходима для TCP, UDP и RAW сокетов.
Proto:
Эта структура содержит ряд операций, одинаковых для всех протоколов.
Sockaddr (sockaddr_in):
Такая структура необходима для поддержки различных форматов адресов.
Модули ядра Linux
Ядра Linux ядра состоят из модулей. Некоторые части ядра находятся в памяти постоянно (типа планировщика), а некоторые загружаются при необходимости. Например, файловая система VFAT для чтения дисков, загружается только при необходимости. Такая особенность linux ядра позволяет пространству ядра занимать немного места.
Таким образом, существенным является проектирование вашего протокола, драйверов и любых видов программного обеспечения ядра как модулей ядра и вставлять их в ядро из пространства пользователя. После вставки, модуль становиться неперемещаемым до его удаления из пространства ядра. Единственно вы должны быть привилегированным пользователем, чтобы вставлять или удалять модули. Это является общим форматом записи модуля ядра.
#define MODULE
#include
/* ... other required header files ... */
/*
* ... module declarations and functions ...
*/
int init_module() {
/* code kernel will call when installing module */
}
void cleanup_module() {
/* code kernel will call when removing module */}
Проект хакерского модуля для TCP протокола.
Наш модуль ядра является очень простым, он виртуально размещен между интерфейсом операций сокетов для пересылки TCP пакетов и TCP уровнем. Теперь все пакеты данных, проходящие через сокет, зарегистрированный с TCP протоколом, будут перехвачены нашим модулем ядра. Эти данные будут переданы в /proc/TCPdata.
Используемые структуры данных
tcp_prot -> Содержит указатели на все осуществленные TCP операции
struct msghdr -> Содержит данные, посылаемые приложением, а также другими полями для идентификации адреса сокета
Struct msg_iov -> находится в msghdr, в нем содержатся указатели на данные
/Proc
Перед началом кодирования давайте поймем значение файловой системы /proc. Файловая система proc называется так, из-за того что она находиться в каталоге /proc на большинстве Linux машин. Система является мощным инструментом, часто используемым приложениями. Это часть механизма при помощи которого ядро связывается с пространством пользователя и наоборот. Хотя она разработана как файловая система со структурой каталогов и inodes, в тоже время это фактически компонент зарегистрированных функций, обеспечивающих информацией важные переменные.
При создании файла в /proc, он сразу регистрируется с набором функций, сообщающих ядру, что необходимо делать при открытии этого файла или записи в него. Большинство файлов поддерживают только чтение, и лишь некоторые поддерживают запись.
Теперь мы начнем кодирование
/* tcpdata.c.
Ниже представлена программа, показывающая как установить новый элемент в
файловой системе proc. И что наиболее важно, эта программа взламывает TCP
протокол, отслеживает все данные, проходящие через tcp уровень, и отображает
их в /proc/TCPdata.
*/
#define MODULE
#define __KERNEL__ /*we are doing kernel work*/
#include
#include
#include /*for registering proc entry*/
#include
#include
#include
#include
#include
#include
#include
static struct proc_dir_entry *test_entry;
struct msghdr *msg_moniter;
struct iovec *iovec_moniter;
static char *tcp="Tcp monitered data";
int (*orginalSend)(struct sock *, struct msghdr *,int );
/*
show_tcp_stats
This function is what the /proc FS will call when anything tries to read
/proc/TCPstat you could see last 200 bytes move out of the sockets through
tcp connections
*/
static int show_tcp_stats(char *buf,char **start,off_t offset,int len,int unused) {
len += sprintf(buf+len,"%s\n",tcp);
return len;
}
/*
Это функция обработчика, захватывающая tcp sendmsg запросы
*/
int moniter_tcp(struct sock *sk, struct msghdr *msg,int len)
{
int size;
char *temp;
printk("I am dangerously monitoring your tcp data \n");
msg_moniter=(struct msghdr *)kmalloc(sizeof(struct msghdr),GFP_KERNEL);
memcpy(msg_moniter,msg,sizeof(struct msghdr));
orginalSend(sk,msg,len);
iovec_moniter=msg_moniter->msg_iov;
size=sizeof(tcp);
printk("sizeof of TCPdat is %d \n",size);
(sizeiov_base):strcpy(tcp,"Tcp monitered data");
kfree(msg_moniter);
return len;
}
/*
init_module
Данная функция устанавливает модуль; она просто регистрирует новый каталог
в /proc и создает указатель.
*/
int init_module() {
test_entry=create_proc_entry( "TCPdata",S_IRUGO,NULL);
test_entry->read_proc=show_tcp_stats;
orginalSend=tcp_prot.sendmsg;
/*
printk("the address of send send mes is %x \n",tcp_prot.sendmsg);
printk("the address of hack mes is %x \n",orginalSend);
*/
tcp_prot.sendmsg=moniter_tcp;
/*
printk("the address of send send mes after hacking %x \n",tcp_prot.sendmsg);
printk("the address of send send mes after hacking %x \n",moniter_tcp);
*/
return 0;
}
/* init_module */
/*
cleanup_module
Данная функция удаляет модуль; Она удаляет регистрацию записи
директории из /proc FS
*/
void cleanup_module() {
/* put the pointer back to tcp's orginal message sender */
tcp_prot.sendmsg=orginalSend;
/* unregister the function from the proc FS */
remove_proc_entry("TCPdata",NULL);
}
/* cleanup_module */
MODULE_AUTHOR("shyamjithe.c.s "); /*macros*/
MODULE_DESCRIPTION("moniter tcp data");
MODULE_LICENSE("GPL");
Данная программа была протестирована на ядре 2.4, так что вы можете откомпилировать её используя:
gcc -O6 -Wall -c tcpdata.c -I /usr/src/linux-2.4.20-8/include/
this will produce tcpdata.o
now insmod tcpdata.o
open some tcp applications
cat /proc/TCPdata
to remove the module use rmmod tcpdata
Теперь для того, чтобы понять этот код, я дам некоторые пояснения. Вся программа - это только хитрый путь для использования функциональных указателей. Но необходимо быть внимательным при использовании ваших собственных обработчиков, потому что неправильное размещение функционального указателя может привести к зависанию системы. Как было сказано, это является минимальным путем для взлома TCP. Вы можете сформировать новый уровень над уровнем TCP подобно этому, который будет вмешиваться во все типы заданий, сделанных TCP. Тоже может быть проделано и с UDP.
Заключение
Наиболее важным выводом, получаемым их описанной выше программы, является то, что не всегда необходимо изменять исходный код ядра, когда мы проделываем любую связанную с протоколом модификацию. Это объектно-ориентированная реализация Linux ядра, позволяющая нам манипулировать объектами данных внутри ядра.
 |
 |
 |
 |
Дмитровский Форум V2
(18+) Во времена всеобщей лжи говорить правду — это экстремизм
Сетевой стек протокола и TCP хакинг
Сообщений: 3
• Страница 1 из 1
Сетевой стек протокола и TCP хакинг
xxxx1 » Чт апр 29, 2004 18:04 pm
-
xxxx1 - Xxx...
- Сообщения: 723
- Зарегистрирован: Чт мар 04, 2004 9:36 am
xxxx1 » Чт апр 29, 2004 18:09 pm
Уязвимость в большинстве реализаций TCP стека позволяет удаленному атакующему вызвать отказ в обслуживании
Уязвимость обнаружена в большинстве реализаций TCP стека. Удаленный пользователь может вызвать отказ в обслуживании, используя TCP reset нападение.
UK National Infrastructure Security Co-Ordination Centre (NISCC) сообщает, что несколько реализаций Transmission Control Protocol (TCP) уязвимы к нападению с использованием TCP RST флажка. Удаленный пользователь может преждевременно закончить TCP сеанс, тем самым, вызывая отказ в обслуживании.
Воздействие на приложение, которое использует TCP, зависит от механизмов, встроенных в приложение, которые обрабатывают преждевременное завершение TCP сеанса.
Согласно NISCC, одним из уязвимым приложением является Border Gateway Protocol (BGP), так как он использует постоянный TCP сеанс между парой BGP объектов. Преждевременное завершение TCP сеанса может заставить устройство реконструировать таблицу маршрутизации, что может привести к “колебанию маршрута” ("route flapping"). В случае BGP, уязвимость можно смягчить, используя TCP MD5 сигнатуры и меры антиспуфинга.
Могут быть уязвимы другие приложения, типа Domain Name System (DNS) и (Secure Sockets Layer) приложений, но с меньшей степенью опасности.
Удаленный пользователь может послать TCP пакет с установленным RST (reset) флажком (или SYN флажком) с поддельным IP адресом источника и адресата и TCP портами, чтобы оборвать TCP сессию. Обычно, вероятность подбора правильного “sequence number” равна 1 из 2^32. Однако в действительности, удаленный пользователь может предположить соответствующий “sequence number” с наиболее большей вероятностью, потому что большинство TCP выполнений примут любой “sequence number” в пределах некоторого диапазона, заданного величиной окна. Как сообщается, правильный “sequence number” может быть подобран менее чем за 4 попытки.
На сегодняшний день уязвимы следующие производители:
Cray Inc. UNICOS, UNICOS/mk и UNICOS/mp системы.
Check Point в последних версиях for VPN-1/FireWall-1 (R55 HFA-03)
Internet Initiative Japan, Inc (IIJ)
InterNiche NicheStack и NicheLite
Juniper Networks
Большинство продуктов от CISCO, включая IOS и не IOS устройства.
Решение:Установите соответствующее исправление от производителя уязвимых программ.
Уязвимость обнаружена в большинстве реализаций TCP стека. Удаленный пользователь может вызвать отказ в обслуживании, используя TCP reset нападение.
UK National Infrastructure Security Co-Ordination Centre (NISCC) сообщает, что несколько реализаций Transmission Control Protocol (TCP) уязвимы к нападению с использованием TCP RST флажка. Удаленный пользователь может преждевременно закончить TCP сеанс, тем самым, вызывая отказ в обслуживании.
Воздействие на приложение, которое использует TCP, зависит от механизмов, встроенных в приложение, которые обрабатывают преждевременное завершение TCP сеанса.
Согласно NISCC, одним из уязвимым приложением является Border Gateway Protocol (BGP), так как он использует постоянный TCP сеанс между парой BGP объектов. Преждевременное завершение TCP сеанса может заставить устройство реконструировать таблицу маршрутизации, что может привести к “колебанию маршрута” ("route flapping"). В случае BGP, уязвимость можно смягчить, используя TCP MD5 сигнатуры и меры антиспуфинга.
Могут быть уязвимы другие приложения, типа Domain Name System (DNS) и (Secure Sockets Layer) приложений, но с меньшей степенью опасности.
Удаленный пользователь может послать TCP пакет с установленным RST (reset) флажком (или SYN флажком) с поддельным IP адресом источника и адресата и TCP портами, чтобы оборвать TCP сессию. Обычно, вероятность подбора правильного “sequence number” равна 1 из 2^32. Однако в действительности, удаленный пользователь может предположить соответствующий “sequence number” с наиболее большей вероятностью, потому что большинство TCP выполнений примут любой “sequence number” в пределах некоторого диапазона, заданного величиной окна. Как сообщается, правильный “sequence number” может быть подобран менее чем за 4 попытки.
На сегодняшний день уязвимы следующие производители:
Cray Inc. UNICOS, UNICOS/mk и UNICOS/mp системы.
Check Point в последних версиях for VPN-1/FireWall-1 (R55 HFA-03)
Internet Initiative Japan, Inc (IIJ)
InterNiche NicheStack и NicheLite
Juniper Networks
Большинство продуктов от CISCO, включая IOS и не IOS устройства.
Решение:Установите соответствующее исправление от производителя уязвимых программ.
-
xxxx1 - Xxx...
- Сообщения: 723
- Зарегистрирован: Чт мар 04, 2004 9:36 am
xxxx1 » Пт май 07, 2004 9:19 am
Уязвимость в TCP, подробное описание
Источник: http://www.uniras.gov.uk/vuls/2004/236929/index.htm
На что воздействует?
Уязвимость, описанная в данном уведомлении, затрагивает реализацию TCP протокола, описанную группой проектирования Internet в технической документации (RFC) для TCP, включая RFC 793 и RFC 1323.
TCP - базовый сетевой протокол, в настоящее время используемый в большинстве сетевых компьютерных систем. Многие производители включают поддержку этого протокола в свои программы, которые могут быть в различной степени уязвимы. Кроме того, любые сетевые службы или приложения, опирающиеся на TCP подключения, тоже подвержены нападениям, причем опасность нападения зависит, прежде всего, от продолжительности TCP сеанса.
Степень опасности
Влияние этой уязвимости зависит от производителя и от приложения, но в некоторых случаях оно оценивается как критическое. Для более полной информации см. раздел информации производителей. Дополнительно свяжитесь с производителем вашего программного обеспечения для получения более детальной информации о вашем продукте.
При эксплуатации уязвимости у злоумышленника появляется возможность создания условий для отказа в обслуживании (DDoS) существующим TCP подключениям, что приводит к преждевременному завершению сеанса. Завершения сеанса воздействует на уровне приложения, а характер и степень опасности зависят от протокола приложения.
Пограничный межсетевой протокол (BGP), оценивают как потенциально наиболее подверженный этой уязвимости.
BGP основывается на устойчивом TCP сеансе между двумя сетевыми узлами. Сброс подключения может привести к недоступности узла в течение времени, необходимого для восстановления таблиц маршрутизации и перестройки маршрута. Перестройка маршрута может привести к недоступности маршрута, если он происходит слишком часто в течение короткого промежутка времени. Однако даже при успешной атаке, воздействие на BGP, вероятно, будет уменьшено в случае использования TCP MD5 сигнатур и антиспуфинговых мероприятий, поскольку они успешно смягчают воздействие уязвимости.
Имеется потенциальная опасность воздействия уязвимости на другие протоколы приложений типа DNS и SSL в случае зональных передач и транзакций электронной коммерции соответственно, но продолжительность таких сеансов относительно небольшая, и они могут быть без проблем перезапущены. В случае с SSL может быть затруднение с определением исходного IP адреса.
Возможна также инъекция данных, но это не демонстрировалось и кажется довольно проблематичным.
Резюме
Проблема, описанная в этом уведомлении - возможность сброса установленного TCP подключения с помощью посылки соответствующих TCP пакетов с набором флагов RST или SYN.
Пакеты должны иметь IP адреса источника и назначения, соответствующие установленному подключению и те же самые TCP порты источника и назначения.
Хотя DDoS атака, использующая обработанные TCP пакеты является известным слабым местом в TCP протоколе, но до недавнего времени она считалась практически неосуществимой. Причиной этого является проверка порядкового номера RST или SYN пакета (32-разрядное число), а вероятность правильного определения этого номера равна 1/2^32.
Исследователем осуществления RST атаки был Пауль Ватсон. Он заметил, что вероятность правильного определения нужного порядкового номера пакета гораздо выше, чем 1/2^32. Это происходит из-за того, что протокол принимает любой порядковый номер в некотором диапазоне (TCP window size) от требуемого числа, что делает реальным выполнение такого вида нападения.
Любой протокол приложения, основывающийся на долговременном TCP соединении и для которого известны TCP порты и IP адреса источника и назначения будет уязвим, по крайней мере, к DDoS атаке.
Подробности
TCP - протокол транспортного уровня, предназначенный для передачи IP пакетов. Для этого TCP использует наборы флагов, указывающих состояние и порядковые номера для определения порядка реассемблирования пакетов.
В TCP протоколе также используется число, называемое номером подтверждения и используемое для указания порядкового номера следующего ожидаемого пакета. Пакеты реассемблируются только в том случае, если разброс их порядковых номеров происходит в пределах диапазона номера подтверждения. Номер подтверждения не используется в RST пакете, потому что при сбросе не ожидается возвратный пакет. (Если быть более точными, то последнее утверждение правильно только для RST пакетов без флага ACK, используемых для указания на закрытие TCP порта. RST/ACK пакет используется для приостановления активного соединения в случае ошибки, и в нем заключен номер подтверждения)
Размеры TCP window определяются в процессе синхронизации соединения и при этом обычно устанавливаются наиболее высокие значения TCP window, что в некоторых случаях, обеспечивает улучшение производительности. Значения установленные производителем по умолчанию тоже влияют на выборку. В любом случае, чем больше размер TCP window, тем выше вероятность, что случайно выбранный порядковый номер TCP будет лежать в пределах области TCP window. Это и является основой для атаки.
TCP подключение определяется IP адресами и портами источника и назначения. Злоумышленник пытающийся разорвать существующее соединение должен правильно подобрать все эти значения. И хотя порт источника меняется, однако в представленном исследовании показано, что процесс выбора исходного порта включает в себя предсказуемые элементы, поэтому атака становиться реально осуществимой.
Протоколы прикладных программ, на которые оказывается критическое воздействие:
Зависящие от долговременных TCP подключений
Имеющие известные или легко определяемые IP адреса назначения
Имеющие простой для предположения TCP порт источника
Как было отмечено выше, BGP использует долговременные TCP подключения, а IP адрес источника и порт источника иногда доступны в BGP зеркале или в ресурсных записях DNS. Использование команды "trace route“ может предоставить информацию об IP адресах сетевых узлов. Таким образом, данная уязвимость имеет критическое воздействие на BGP.
Такие DDoS атаки могут быть выполнены как с одной машины, так и множественными системами (для формирования распределенной DDoS атаки).
Смягчение последствий
Ниже представлены следующие шаги необходимые при отсутствии исправлений у производителя:
Внедрение IP защиты (IPSEC), шифрующей трафик на сетевом уровне (при этом становится недоступной TCP информация)
Уменьшение размера TCP window (хотя это увеличивает потери трафика и последовательную ретрансляцию)
Запрет оглашения информации о TCP порте источника
Необходимо отметить, что IPSEC предоставляет секретность информации и службы аутентификации на сетевом уровне и может поддерживать проверку подлинности конечных точек соединения также как и шифрование трафика между ними. Однако в нашем случае IPSEC будет отклонять RST и SYN пакеты, которые не являются частью безопасного потока IP пакетов.
Для изменения заданного по умолчанию значения размера TCP window в некоторых Unix системах, вы можете использовать программу “sysctl”. В случае Microsoft Windows NT /2000/XP/2003, заданный по умолчанию размер TCP window может быть изменен, путем модификации значения ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.
Как было отмечено выше, следует с осторожностью изменять значение TCP window, т.к. это может привести к большой потере производительности. Ниже приведены действия, которые помогут смягчить проблему в случае с BGP:
Выполнить входную и выходную фильтрацию. Это необходимо для проверки того, что входящий и исходящий трафик имеет IP адрес источника, ожидаемый на интерфейсе маршрутизатора / брандмауэра принимающего трафик.
Выполнить TCP MD5 Signature Option для подсчета контрольной суммы TCP пакетов, несущих данные BGP приложения. (См. RFC 2385).
Ограничить количество информации доступной через BGP зеркала и ресурсные записи DNS.
Информация производителей
Ниже представлен список производителей, предоставивших информацию о воздействии данной уязвимости на их продукты:
Certicom
Check Point
Cisco
Cray Inc
Hitachi
Innovaphone
Internet Initiative Japan, Inc
InterNiche
Internet Initiative Japan, Inc
InterNiche
Juniper Networks
Mitel Networks
MRLG
MRLG
NEC
Yamaha
Источник: http://www.uniras.gov.uk/vuls/2004/236929/index.htm
На что воздействует?
Уязвимость, описанная в данном уведомлении, затрагивает реализацию TCP протокола, описанную группой проектирования Internet в технической документации (RFC) для TCP, включая RFC 793 и RFC 1323.
TCP - базовый сетевой протокол, в настоящее время используемый в большинстве сетевых компьютерных систем. Многие производители включают поддержку этого протокола в свои программы, которые могут быть в различной степени уязвимы. Кроме того, любые сетевые службы или приложения, опирающиеся на TCP подключения, тоже подвержены нападениям, причем опасность нападения зависит, прежде всего, от продолжительности TCP сеанса.
Степень опасности
Влияние этой уязвимости зависит от производителя и от приложения, но в некоторых случаях оно оценивается как критическое. Для более полной информации см. раздел информации производителей. Дополнительно свяжитесь с производителем вашего программного обеспечения для получения более детальной информации о вашем продукте.
При эксплуатации уязвимости у злоумышленника появляется возможность создания условий для отказа в обслуживании (DDoS) существующим TCP подключениям, что приводит к преждевременному завершению сеанса. Завершения сеанса воздействует на уровне приложения, а характер и степень опасности зависят от протокола приложения.
Пограничный межсетевой протокол (BGP), оценивают как потенциально наиболее подверженный этой уязвимости.
BGP основывается на устойчивом TCP сеансе между двумя сетевыми узлами. Сброс подключения может привести к недоступности узла в течение времени, необходимого для восстановления таблиц маршрутизации и перестройки маршрута. Перестройка маршрута может привести к недоступности маршрута, если он происходит слишком часто в течение короткого промежутка времени. Однако даже при успешной атаке, воздействие на BGP, вероятно, будет уменьшено в случае использования TCP MD5 сигнатур и антиспуфинговых мероприятий, поскольку они успешно смягчают воздействие уязвимости.
Имеется потенциальная опасность воздействия уязвимости на другие протоколы приложений типа DNS и SSL в случае зональных передач и транзакций электронной коммерции соответственно, но продолжительность таких сеансов относительно небольшая, и они могут быть без проблем перезапущены. В случае с SSL может быть затруднение с определением исходного IP адреса.
Возможна также инъекция данных, но это не демонстрировалось и кажется довольно проблематичным.
Резюме
Проблема, описанная в этом уведомлении - возможность сброса установленного TCP подключения с помощью посылки соответствующих TCP пакетов с набором флагов RST или SYN.
Пакеты должны иметь IP адреса источника и назначения, соответствующие установленному подключению и те же самые TCP порты источника и назначения.
Хотя DDoS атака, использующая обработанные TCP пакеты является известным слабым местом в TCP протоколе, но до недавнего времени она считалась практически неосуществимой. Причиной этого является проверка порядкового номера RST или SYN пакета (32-разрядное число), а вероятность правильного определения этого номера равна 1/2^32.
Исследователем осуществления RST атаки был Пауль Ватсон. Он заметил, что вероятность правильного определения нужного порядкового номера пакета гораздо выше, чем 1/2^32. Это происходит из-за того, что протокол принимает любой порядковый номер в некотором диапазоне (TCP window size) от требуемого числа, что делает реальным выполнение такого вида нападения.
Любой протокол приложения, основывающийся на долговременном TCP соединении и для которого известны TCP порты и IP адреса источника и назначения будет уязвим, по крайней мере, к DDoS атаке.
Подробности
TCP - протокол транспортного уровня, предназначенный для передачи IP пакетов. Для этого TCP использует наборы флагов, указывающих состояние и порядковые номера для определения порядка реассемблирования пакетов.
В TCP протоколе также используется число, называемое номером подтверждения и используемое для указания порядкового номера следующего ожидаемого пакета. Пакеты реассемблируются только в том случае, если разброс их порядковых номеров происходит в пределах диапазона номера подтверждения. Номер подтверждения не используется в RST пакете, потому что при сбросе не ожидается возвратный пакет. (Если быть более точными, то последнее утверждение правильно только для RST пакетов без флага ACK, используемых для указания на закрытие TCP порта. RST/ACK пакет используется для приостановления активного соединения в случае ошибки, и в нем заключен номер подтверждения)
Размеры TCP window определяются в процессе синхронизации соединения и при этом обычно устанавливаются наиболее высокие значения TCP window, что в некоторых случаях, обеспечивает улучшение производительности. Значения установленные производителем по умолчанию тоже влияют на выборку. В любом случае, чем больше размер TCP window, тем выше вероятность, что случайно выбранный порядковый номер TCP будет лежать в пределах области TCP window. Это и является основой для атаки.
TCP подключение определяется IP адресами и портами источника и назначения. Злоумышленник пытающийся разорвать существующее соединение должен правильно подобрать все эти значения. И хотя порт источника меняется, однако в представленном исследовании показано, что процесс выбора исходного порта включает в себя предсказуемые элементы, поэтому атака становиться реально осуществимой.
Протоколы прикладных программ, на которые оказывается критическое воздействие:
Зависящие от долговременных TCP подключений
Имеющие известные или легко определяемые IP адреса назначения
Имеющие простой для предположения TCP порт источника
Как было отмечено выше, BGP использует долговременные TCP подключения, а IP адрес источника и порт источника иногда доступны в BGP зеркале или в ресурсных записях DNS. Использование команды "trace route“ может предоставить информацию об IP адресах сетевых узлов. Таким образом, данная уязвимость имеет критическое воздействие на BGP.
Такие DDoS атаки могут быть выполнены как с одной машины, так и множественными системами (для формирования распределенной DDoS атаки).
Смягчение последствий
Ниже представлены следующие шаги необходимые при отсутствии исправлений у производителя:
Внедрение IP защиты (IPSEC), шифрующей трафик на сетевом уровне (при этом становится недоступной TCP информация)
Уменьшение размера TCP window (хотя это увеличивает потери трафика и последовательную ретрансляцию)
Запрет оглашения информации о TCP порте источника
Необходимо отметить, что IPSEC предоставляет секретность информации и службы аутентификации на сетевом уровне и может поддерживать проверку подлинности конечных точек соединения также как и шифрование трафика между ними. Однако в нашем случае IPSEC будет отклонять RST и SYN пакеты, которые не являются частью безопасного потока IP пакетов.
Для изменения заданного по умолчанию значения размера TCP window в некоторых Unix системах, вы можете использовать программу “sysctl”. В случае Microsoft Windows NT /2000/XP/2003, заданный по умолчанию размер TCP window может быть изменен, путем модификации значения ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.
Как было отмечено выше, следует с осторожностью изменять значение TCP window, т.к. это может привести к большой потере производительности. Ниже приведены действия, которые помогут смягчить проблему в случае с BGP:
Выполнить входную и выходную фильтрацию. Это необходимо для проверки того, что входящий и исходящий трафик имеет IP адрес источника, ожидаемый на интерфейсе маршрутизатора / брандмауэра принимающего трафик.
Выполнить TCP MD5 Signature Option для подсчета контрольной суммы TCP пакетов, несущих данные BGP приложения. (См. RFC 2385).
Ограничить количество информации доступной через BGP зеркала и ресурсные записи DNS.
Информация производителей
Ниже представлен список производителей, предоставивших информацию о воздействии данной уязвимости на их продукты:
Certicom
Check Point
Cisco
Cray Inc
Hitachi
Innovaphone
Internet Initiative Japan, Inc
InterNiche
Internet Initiative Japan, Inc
InterNiche
Juniper Networks
Mitel Networks
MRLG
MRLG
NEC
Yamaha
-
xxxx1 - Xxx...
- Сообщения: 723
- Зарегистрирован: Чт мар 04, 2004 9:36 am
Сообщений: 3
• Страница 1 из 1
Вернуться в Полезная информация
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8