بازديد : 204 مرتبه
تاريخ : دوشنبه 31 / 5 / 1390
قبل از شرح حمله باید چنتا نکته رو بدونیم :
1- لینوکس برای مدیریت فایروال از ابزاری به نام iptables استفاده می کنه.
2-iptables برای تنظیم قوانین فایروال جهت ورود و خروج packet ها از فریم ورکی به نام netfilter استفاده می کنه.
3-netfilter ، فریم ورک فیلتر کننده packet تو هسته لینوکسه که hook هایی رو تو قسمت های مختلف پشته ی شبکه تولید می کنه تا عملیاتی مثل فیلتر کردن packet ، بریدن آن و ترجمه آدرس شبکه رو انجام بدن. لازم به ذکره که این hook ها به ازای هر پروتکلی که تو شبکه پشتیبانی می شه ، تولید می شه.
4- اشاره گر مربوط به این hook ها تو جدولی به نام nf_hooks ذخیره می شه.(در واقع nf_hooks آرایه ای از اشاره گر هایی است که به handle های ثبت شده ، برای دستیابی به hook های پروتکل اشاره می کنه.)
شکل زیر hook هایی که فریم ورک netfilter برای پروتکل IP تعریف کرده رو نشون می ده:
خب حالا ببینیم این حمله چطوری همه چیزو به هم می ریزه :
این حمله بطور خاص ، hook متناظر با پروتکل IP رو تغییر می ده و اونو به کد ساختگی (آلوده) ریدایرکت می کند و باعث غیرفعال شدن فایروال می شود و از اون به بعد با اجرای دستور iptables (برای لیست کردن قوانین فایروال) همچنان همون قوانین اولیه و درست به کاربر نمایش داده می شه یعنی کاربر هیچ راهی برای فهمیدن این مسئله که فایروال غیرفعال شده ، نداره. تا زمانی هم که ماژول حمله بتونه همه packet ها رو بدون پاس کردن اونا به فایروال ، فیلتر کنه ، می تواند دستوراتی رو برای پذیرش packet ویژه حمله ( که از راه دور توسط مهاجم فرستاده می شه ) رو اجرا کنه.
آخرين مطالب
