26.04.2004

Сетевой стек протокола и TCP хакинг

Сетевой стек протоколов, формирующий конвейеризацию и передачу данных между хостами, разработан для наилучшего взаимодействия между различными сетевыми уровнями. В этой статье мы попытаемся описать перемещение данных через расположенные в стеке уровни и попробуем внедрить модуль ядра Linux, помогающий нам захватывать и отображать данные, проходящие через уровень TCP. Ниже представлена программа, показывающая как установить новый элемент в файловой системе proc. И что наиболее важно, эта программа взламывает TCP протокол, отслеживает все данные, проходящие через tcp уровень, и отображает их в /proc/TCPdata.

Шямитх, перевод Алексей Антипов

Сетевой стек протоколов, формирующий конвейеризацию и передачу данных между хостами, разработан для наилучшего взаимодействия между различными сетевыми уровнями. В этой статье мы попытаемся описать перемещение данных через расположенные в стеке уровни и попробуем внедрить модуль ядра Linux, помогающий нам захватывать и отображать данные, проходящие через уровень TCP. Так как обсуждение всех видов сетевых соединений выходит за рамки данной статьи, то мы остановимся на TCP/IP соединениях.

Сетевой стек протоколов

Сетевые устройства формируют базовый уровень стека протоколов. Для связи с другими устройствами и приема-передачи трафика они используют протокол канала передачи данных (обычно Ethernet). Интерфейс, организуемый драйверами сетевых устройств, копирует пакеты с физической среды, выполняя некоторые проверки ошибок, после чего помещает пакеты в сетевой уровень. Интерфейсы вывода принимают пакеты из сетевого уровня, выполняют некоторые проверки ошибок и пересылают их в физическую среду. Мы будем обсуждать IP (протокол Интернет) являющийся стандартным протоколом сетевого уровня. Главными функциями IP являются маршрутизация, проверка входящих пакетов, определяющая направлены ли эти пакеты на данный хост или они нуждаются в дальнейшей пересылке. При этом, в случае необходимости, пакеты дефрагментируются и доставляются на транспортные протоколы. Такие протоколы имеют динамическую базу данных маршрутов для исходящих пакетов, адресуют и фрагментируют их перед посылкой на уровень связи.

TCP и UDP являются наиболее часто используемыми протоколами транспортного уровня. UDP создает структуру для адресации пакетов в пределах хоста, в то время как TCP поддерживает более комплексные операции подключения типа восстановления потерянных пакетов и управления трафиком.

Продвигаясь по транспортному уровню, мы можем найти INET уровень, формирующий промежуточный уровень между транспортным уровнем и сокетами приложений. С помощью INET уровня поддерживаются принадлежащие приложениям сокеты. В этом уровне осуществлены все специфические операции сокетов.

BSD - абстрактная структура данных, содержащая INET сокеты. Запрос приложения на подключение, чтение или запись через сокет, преобразовывается в INET операции с помощью BSD.

Общая структура пакетов. Данные заключаются в общую структуру данных, называемую sk_buff. Все уровни используют эту структуру данных. Сразу после копирования данных из пространства пользователя в пространство ядра, они помещаются в sk_buff и перемещаются на различные уровни. В свою очередь уровень добавляют к этой структуре свои заголовки. Sk_buff содержит ссылки на всю информацию о пакете, его сокете, устройстве, маршруте, расположении данных и т.д.

Сетевые функции Linux

Для нормального сетевого программиста, интерфейсная часть сетевых служб доступна с помощью следующих подпрограмм библиотеки С.

socket(), bind(), listen(), connect(), accept(), send(), sendto(), recv(), recvfrom(), getsockopt(), and setsockopt().

Функция socket() используется для создания нового сокета. Все операции с различными протоколами происходят с помощью сокетов. Поскольку функция socket() возвращает значение дескриптора файла, то к нему могут обращаться стандартные операции работы с файлами типа read(), write().

Фунция bind() используется для связи созданного сокета с портом. Порт, наряду с IP адресом сетевого интерфейса, используется для уникальной идентификации сокета.

Функция listen() используется для программирования сервера. После создания сокета и связи его с портом функция listen() устанавливает сокет в состояние прослушивания. Это означает, что сокет ожидает подключения со стороны других хостов.

При вызове на сервере функции accept() происходит непрерывный опрос сокета происходящий до получения запроса на подключение от другого хоста. После установления соединения серверная программа пробуждается и дает процессу возможность обрабатывать запрос от чужого хоста. Со стороны клиента используется функция connect(), показывающая серверу, что клиент желает открыть подключение на сокете и послать запрос.

Необходимые структуры данных

socket:

Эта структура является основой для выполнения интерфейса BSD сокетов. Установка и инициализация этой структуры происходит при помощи системного вызова socket().

sk_buff:

Эта структура управляет индивидуальными пакетами соединений приходящими и отсылаемыми с хоста. При этом происходит буферизация ввода-вывода.

INET:

Эта структура управляет различными частями сокетов, зависящими от конкретной сети. Она необходима для TCP, UDP и RAW сокетов.

Proto:

Эта структура содержит ряд операций, одинаковых для всех протоколов.

Sockaddr (sockaddr_in):

Такая структура необходима для поддержки различных форматов адресов.

Модули ядра Linux

Ядра Linux ядра состоят из модулей. Некоторые части ядра находятся в памяти постоянно (типа планировщика), а некоторые загружаются при необходимости. Например, файловая система VFAT для чтения дисков, загружается только при необходимости. Такая особенность linux ядра позволяет пространству ядра занимать немного места.

Таким образом, существенным является проектирование вашего протокола, драйверов и любых видов программного обеспечения ядра как модулей ядра и вставлять их в ядро из пространства пользователя. После вставки, модуль становиться неперемещаемым до его удаления из пространства ядра. Единственно вы должны быть привилегированным пользователем, чтобы вставлять или удалять модули. Это является общим форматом записи модуля ядра.

#define MODULE

#include 

/* ... other required header files ... */


/*
* ... module declarations and functions ...
*/


int init_module() {

/* code kernel will call when installing module */

}

void cleanup_module() {

/* code kernel will call when removing module */}

Проект хакерского модуля для TCP протокола.

Наш модуль ядра является очень простым, он виртуально размещен между интерфейсом операций сокетов для пересылки TCP пакетов и TCP уровнем. Теперь все пакеты данных, проходящие через сокет, зарегистрированный с TCP протоколом, будут перехвачены нашим модулем ядра. Эти данные будут переданы в /proc/TCPdata.

Используемые структуры данных

tcp_prot -> Содержит указатели на все осуществленные TCP операции

struct msghdr -> Содержит данные, посылаемые приложением, а также другими полями для идентификации адреса сокета

Struct msg_iov -> находится в msghdr, в нем содержатся указатели на данные

/Proc

Перед началом кодирования давайте поймем значение файловой системы /proc. Файловая система proc называется так, из-за того что она находиться в каталоге /proc на большинстве Linux машин. Система является мощным инструментом, часто используемым приложениями. Это часть механизма при помощи которого ядро связывается с пространством пользователя и наоборот. Хотя она разработана как файловая система со структурой каталогов и inodes, в тоже время это фактически компонент зарегистрированных функций, обеспечивающих информацией важные переменные.

При создании файла в /proc, он сразу регистрируется с набором функций, сообщающих ядру, что необходимо делать при открытии этого файла или записи в него. Большинство файлов поддерживают только чтение, и лишь некоторые поддерживают запись.

Теперь мы начнем кодирование

/* tcpdata.c.
Ниже представлена программа, показывающая как установить новый элемент в
    файловой системе proc. И что наиболее важно, эта программа взламывает TCP
    протокол, отслеживает все данные, проходящие через tcp уровень,  и отображает
    их в /proc/TCPdata.
	*/

#define MODULE
#define __KERNEL__ /*we are doing kernel work*/
#include 
#include 
#include  /*for registering proc entry*/
#include 
#include 
#include 
#include 
#include 
#include 
#include 

static struct proc_dir_entry *test_entry;
struct msghdr *msg_moniter;
struct iovec *iovec_moniter;
static char *tcp="Tcp monitered data";

int (*orginalSend)(struct sock *, struct msghdr *,int );

/*
show_tcp_stats
This function is what the /proc FS will call when anything tries to read
/proc/TCPstat you could see last 200 bytes move out of the sockets through
tcp connections

*/

static int show_tcp_stats(char *buf,char **start,off_t offset,int len,int unused) {
len += sprintf(buf+len,"%s\n",tcp);
return len;

}
/*
Это функция обработчика, захватывающая tcp sendmsg запросы
*/
int moniter_tcp(struct sock *sk, struct msghdr *msg,int len)
{
int size;
char *temp;
printk("I am dangerously monitoring your tcp data \n");
msg_moniter=(struct msghdr *)kmalloc(sizeof(struct msghdr),GFP_KERNEL);
memcpy(msg_moniter,msg,sizeof(struct msghdr));
orginalSend(sk,msg,len);
iovec_moniter=msg_moniter->msg_iov;
size=sizeof(tcp);
printk("sizeof of TCPdat is %d \n",size);

(sizeiov_base):strcpy(tcp,"Tcp monitered data");

kfree(msg_moniter);
return len;
}

/* 
init_module
Данная функция устанавливает модуль; она просто регистрирует новый каталог
   в /proc и создает указатель.
*/
	int init_module() {
test_entry=create_proc_entry( "TCPdata",S_IRUGO,NULL);
test_entry->read_proc=show_tcp_stats;
orginalSend=tcp_prot.sendmsg;

/* 
printk("the address of send send mes is %x \n",tcp_prot.sendmsg);
printk("the address of hack mes is %x \n",orginalSend);
*/

tcp_prot.sendmsg=moniter_tcp;

/*
printk("the address of send send mes after hacking %x \n",tcp_prot.sendmsg);
printk("the address of send send mes after hacking %x \n",moniter_tcp);
*/

return 0;

} 

/* init_module */





/*

cleanup_module

Данная функция удаляет модуль; Она удаляет регистрацию записи
 директории из /proc FS


*/

void cleanup_module() {

/* put the pointer back to tcp's orginal message sender */

tcp_prot.sendmsg=orginalSend;

/* unregister the function from the proc FS */

remove_proc_entry("TCPdata",NULL);

} 

/* cleanup_module */

MODULE_AUTHOR("shyamjithe.c.s "); /*macros*/
MODULE_DESCRIPTION("moniter tcp data");
MODULE_LICENSE("GPL");

Данная программа была протестирована на ядре 2.4, так что вы можете откомпилировать её используя:

	gcc -O6 -Wall -c tcpdata.c -I /usr/src/linux-2.4.20-8/include/


this will produce tcpdata.o
now insmod tcpdata.o
open some tcp applications
cat /proc/TCPdata
to remove the module use rmmod tcpdata 
	
Теперь для того, чтобы понять этот код, я дам некоторые пояснения. Вся программа - это только хитрый путь для использования функциональных указателей. Но необходимо быть внимательным при использовании ваших собственных обработчиков, потому что неправильное размещение функционального указателя может привести к зависанию системы. Как было сказано, это является минимальным путем для взлома TCP. Вы можете сформировать новый уровень над уровнем TCP подобно этому, который будет вмешиваться во все типы заданий, сделанных TCP. Тоже может быть проделано и с UDP.

Заключение

Наиболее важным выводом, получаемым их описанной выше программы, является то, что не всегда необходимо изменять исходный код ядра, когда мы проделываем любую связанную с протоколом модификацию. Это объектно-ориентированная реализация Linux ядра, позволяющая нам манипулировать объектами данных внутри ядра.

или введите имя

CAPTCHA