拒绝服务类漏洞

拒绝服务攻击是目前比较流行的攻击方式，它并不取得服务器权限，而是使服务器崩溃或失去响应。对Linux的拒绝服务大多数都无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力，这种方式属于利用系统本身漏洞或其守护进程缺陷及不正确设置进行攻击。

另外一种情况，攻击者登录到Linux系统后，利用这类漏洞，也可以使系统本身或应用程序崩溃。这种漏洞主要由程序对意外情况的处理失误引起，如写临时文件之前不检查文件是否存在，盲目跟随链接等。

下面，我们简单描述一下Linux在处理intel IA386 CPU中的寄存器时发生错误而产生的拒绝服务漏洞。该漏洞是因为IA386多媒体指令使用的寄存器MXCSR的特性导致的。由于IA386 CPU规定MXCSR寄存器的高16位不能有任何位被置位，否则CPU就会报错导致系统崩溃。为了保证系统正常运转，在linux系统中有一段代码专门对MXCSR的这个特性作处理，而这一段代码在特定的情况下会出现错误，导致MXCSR中的高16位没有被清零，使系统崩溃。如果攻击者制造了这种“极限”的内存情况就会对系统产生DoS效果。

攻击者通过调用get_fpxregs函数可以读取多媒体寄存器至用户空间，这样用户就可以取得MXCSR寄存器的值。调用set_fpxregs函数可以使用用户空间提供的数据对MXCSR寄存器进行赋值。通过对MXCSR的高16位进行清0，就保证了IA386 CPU的这个特性。如果产生一种极限效果使程序跳过这一行，使MXCSR寄存器的高16位没有被清0，一旦MXCSR寄存器的高16位有任何位被置位，系统就会立即崩溃！

因为利用这个漏洞攻击者还需要登录到系统，这个漏洞也不能使攻击者提升权限，只能达到DoS的效果，所以这个漏洞的危害还是比较小的。但是分析这个漏洞就没有意义了吗？其实由分析这个漏洞可以看出：Linux内核开发成员对这种内存拷贝时出现错误的情况没有进行考虑，以至造成了这个漏洞，分析了解了这个漏洞后，在漏洞挖掘方面也出现了一种新的类型，使我们在以后的开发中可以尽量避免这种情况。

接下来让我们看一种Linux内核算法上出现的漏洞。先来简单介绍一下这个漏洞，当Linux系统接收到攻击者经过特殊构造的包后，会引起hash表产生冲突导致服务器资源被耗尽。这里所说的hash冲突就是指：许多数值经过某种hash算法运算以后得出的值相同，并且这些值都被储存在同一个hash槽内，这就使hash表变成了一个单向链表。而对此hash表的插入操作会从原来的复杂度O(n)变为O(n*n)。这样就会导致系统消耗巨大的cpu资源，从而产生了DoS攻击效果。我们先看一下在linux中使用的hash算法，这个算法用在对Linux route catch的索引与分片重组的操作中。在今年五月Rice University计算机科学系的Scott A. Crosby与Dan S. Wallach提出了一种新的低带宽的DoS攻击方法，即针对应用程序所使用的hash算法的脆弱性进行攻击。这种方法提出：如果应用程序使用的hash算法存在弱点，也就是说hash算法不能有效地把数据进行散列，攻击者就可以通过构造特殊的值使hash算法产生冲突引起DoS攻击。

202 
203 static __inline__ unsigned rt_hash_code(u32 daddr, u32 saddr, u8 tos) 
204 { 
205 unsigned hash = ((daddr & 0xF0F0F0F0) >> 4) │ 
206 ((daddr & 0x0F0F0F0F) << 4); 
207 hash ^= saddr ^ tos; 
208 hash ^= (hash >> 16); 
209 return (hash ^ (hash >> 8)) & rt_hash_mask; 
210 }

以上的代码就是Linux对ip包进行路由或者重组时使用的算法。此算法由于过于简单而不能把route缓存进行有效的散列，从而产生了DoS漏洞。下面我们来分析一下此函数。

203行为此函数的函数名与入口参数，u32 daddr为32位的目的地址，而u32 saddr为32位的原地址，tos为协议。

205行-206行是把目标地址前后字节进行转换。

207行把原地址与tos进行异或后再与hash异或然后再赋值给hash。

208行把hash的值向右偏移16位然后与hash异或再赋值给hash。

209行是此函数返回hash与它本身向右偏移8位的值异或，然后再跟rt_hash_mask进行与操作的值。

这种攻击是一种较为少见的拒绝服务方式，因为它利用了系统本身的算法中的漏洞。该漏洞也代表了一种新的漏洞发掘的方向，就是针对应用软件或者系统使用的hash算法进行漏洞挖掘。因此，这种针对hash表攻击的方法对不仅对Linux，而且会对很多应用软件产生影响，比如说Perl5在这个perl的版本中使用的hash算法就容易使攻击者利用精心筛选的数据，使用perl5进行编程的应用程序使用的hash表产生hash冲突，包括一些代理服务器软件，甚至一些IDS软件，防火墙等，因使用的是Linux内核都会被此种攻击影响。

Linux内核中的整数溢出漏洞

Linux Kernel 2.4 NFSv3 XDR处理器例程远程拒绝服务漏洞在2003年7月29日公布,影响Linux Kernel 2.4.21以下的所有Linux内核版本。

该漏洞存在于XDR处理器例程中，相关内核源代码文件为nfs3xdr.c. 此漏洞是由于一个整形漏洞引起的（正数/负数不匹配）。攻击者可以构造一个特殊的XDR头（通过设置变量int size为负数）发送给Linux系统即可触发此漏洞。当Linux系统的NFSv3 XDR处理程序收到这个被特殊构造的包时，程序中的检测语句会错误地判断包的大小，从而在内核中拷贝巨大的内存，导致内核数据被破坏，致使Linux系统崩溃。

漏洞代码：

static inline u32 * 
decode_fh(u32 *p, struct svc_fh *fhp) 
{ 
int size; 
fh_init(fhp, NFS3_FHSIZE); 
size = ntohl(*p++); 
if (size > NFS3_FHSIZE) 
return NULL; 
memcpy(&fhp->fh_handle.fh_base, p, size); fhp->fh_handle.fh_size = size; 
return p + XDR_QUADLEN(size); 
}

因为此内存拷贝时在内核内存区域中进行，会破坏内核中的数据导致内核崩溃，所以此漏洞并没有证实可以用来远程获取权限，而且利用此漏洞时攻击者必须可以mount此系统上的目录，更为利用此漏洞增加了困难。

我们的目的在于通过这个漏洞的特点来寻找此种类型的漏洞并更好地修补它。大家可以看到，该漏洞是一个非常典型的整数溢出漏洞，如果在内核中存在这样的漏洞是非常危险的。所以Linux的内核开发人员对Linux内核中关于数据大小的变量都作了处理（使用了unsigned int），这样就避免了再次出现这种典型的整数溢出。通过对这种特别典型的漏洞原理进行分析，开发人员可以在以后的开发中避免出现这种漏洞。

IP地址欺骗类漏洞

由于tcp/ip本身的缺陷，导致很多操作系统都存在tcp/ip堆栈漏洞，使攻击者进行ip地址欺骗非常容易实现。Linux也不例外。虽然IP地址欺骗不会对Linux服务器本身造成很严重的影响，但是对很多利用Linux为操作系统的防火墙和IDS产品来说，这个漏洞却是致命的。

IP地址欺骗是很多攻击的基础，之所以使用这个方法，是因为IP自身的缺点。IP协议依据IP头中的目的地址项来发送IP数据包。如果目的地址是本地网络内的地址，该IP包就被直接发送到目的地。如果目的地址不在本地网络内，该IP包就会被发送到网关，再由网关决定将其发送到何处。这是IP路由IP包的方法。IP路由IP包时对IP头中提供的IP源地址不做任何检查，认为IP头中的IP源地址即为发送该包的机器的IP地址。当接收到该包的目的主机要与源主机进行通信时，它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址，来与源主机进行数据通信。IP的这种数据通信方式虽然非常简单和高效，但它同时也是IP的一个安全隐患，很多网络安全事故都是由IP的这个缺点而引发的。

黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的，还是外部的分组被包装得看起来像内部分组的种种迹象都已丧失殆尽。只要系统发现发送地址在自己的范围之内，就把该分组按内部通信对待并让其通过

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=12286&categ_code=10041003