Linux内核TCP和谈多个SACK职能回绝服务缝隙分析

颁布功夫 2019-06-21

缝隙布景

2019年6月18日，Redhat颁布安全布告，Linux内核TCP/IP和谈栈存在3个安全缝隙（CVE-2019-11477/CVE-2019-11478/CVE-2019-11479），这些缝隙与最大分段大��！！（MSS）和TCP选择性确认（SACK）职能有关，允许远程攻击者进行回绝服务攻击�！！�

关键概念

数据包重传确认机制

TCP数据包传输过程中，来自滑动窗口的数据包迷失可能对TCP吞吐量产生影响�！！CP使用累积确认（ACK）规划解决该问题，其中不接管不在滑动窗口左边缘的接管段，这会强制发送方期待往返功夫以找出每个迷失的数据包，或者不用腹地重新传输已正确接管的段，从而降低整体吞吐量�！！�

选择性确认（SACK）是一种在多个抛弃的段的情况下解决此行为的战术�！！Ｍü≡裥匀啡�，数据接管方能够向发送方通知已成功达到的所有段，因而发送方只需重新传输现实迷失的段�！！＞咛逖≡裥匀啡瞎�，如下图所示�！！�

OG东方厅·(中国大陆)

最大分段大��！！（Maximum Segment Size）

MSS（Maximum Segment Size，最大报文段大��！！）的概念是指TCP层所可能接管的最大分段巨细，该值只蕴含TCP段的数据部门，不蕴含Option部门�！！１鸬�，在TCP首部有一个MSS选项，在三次握手过程中，TCP发送端使用该选项通知对方自己所能接受的最大分段巨细�！！�

TSO（TCP Segmentation Offload）

TSO是一种利用网卡来对大数据包进行自动分段，降低CPU负载的技术�！！Ｆ渲匾茄映し侄��！！�

GSO(Generic Segmentation Offload)

GSO是和谈栈是否推迟分段，在发送到网卡之前判断网卡是否支持TSO，若是网卡支持TSO则让网卡分段，不然和谈栈分完段再交给驱动�！！Ｈ羰荰SO开启，GSO会自动开启�！！�

缝隙道理

CVE-2019-11477

凭据补丁可知，该缝隙是由一个16bit无符号数溢出导致的，该无符号数存在如下结构体中�！！�

OG东方厅·(中国大陆)

该tcp_skb_cb结构体存放着TCP每个数据包的节制信息，凭据注解可知，tcp_gso_segs/size只用于写队列过程中�！！�

Linux内核TCP/IP和谈栈实现中，每个数据缓冲区是由一个sk_buff结构体统一治理的�！！Ｔ谝桓銎肴氖莼撼迩衧kb_end后面紧随着一个skb_shared_info结构体数据，skb_shared_info结构体如下所示：：

OG东方厅·(中国大陆)

结构体最后一个成员是frags[MAX_SKB_FRAGS]数据�！！AX_SKB_FRAGS申明如下所示：：

OG东方厅·(中国大陆)

PAGE_SIZE为4KB情况下（即一个内存页面为4KB大��！！），MAX_SKB_FRAGS取值为65536/4096 + 1即17，因而一个skb中最多包容17个数据分片�！！６杂趚86系统，每个数据分片最多能够纪录32KB数据的巨细�！！�
数据分片skb_frag_struct结构体如下所示：：

OG东方厅·(中国大陆)

在整个和谈栈操作过程中，数据包既要进行IP被分片的，又要进行TCP分段�！！４涫菔�，和谈栈会凭据GSO值，MSS值以及滑动窗口三者之间的巨细关系判断是否进行分片�！！２⑼ü齮cp_set_skb_tso_segs()函数设置GSO，具体实现如下图所示：：

OG东方厅·(中国大陆)

若是skb->len大于mss_now，行1207，将tcp_gso_segs设置为skb->len/mss_now�！！Ｐ�1208，将tcp_gso_size设置为mss_now�！！�

若是启用了SACK，在产生丢包后，接管端会返回SACK块，SACK块中纪录沉迷失包的序列编号�！！７⑺投嘶峤馕鯯ACK块中纪录的迷失包序列编号，并重新传输，并且在一个滑动窗口中可能蕴含多个SACK块，SACK块中也可能蕴含多个skb队列�！！Ｔ赥CP重传数据包过程中，能够将多个skb队列归并到一个skb队列中进行重传�！！�

tcp_shift_skb_data()函数实现这个职能�！！３⑹越庠蕉喔鰏kb的SACK块折叠为一个skb�！！９丶肴缦�：：

OG东方厅·(中国大陆)

skb_shift()和tcp_shifted_skb()两个函数重要实现该职能�！！Ｖ卮讨卸喔鰏kb队列归并到一个skb队列中，若是填充17个分片到最大容量， 17*32*1024/8=69632，已经大于65535，导致无符号整数溢出�！！�

在skb_shift ()函数中，tcp_gso_segs溢出后，进入tcp_shifted_skb()函数后，如下所示：：

OG东方厅·(中国大陆)

行1299，判断tcp_gso_segs和pcount的巨细，若是tcp_gas_segs小于pcount，BUG_ON断言触发导致内核崩溃�！！�

凭据补丁可知，skb_shift()被tcp_skb_shift()包办，只是加了两个判断，如下所示：：

OG东方厅·(中国大陆)

补丁平别离判断了skb->len+shift_len不能大于65535*8字节和tcp_skb_pcount(to) + pcount不能大于65535�！！５谝桓雠卸�，skb->len是暗示sk_buff结构体中暗示payload长度，shift_len暗示要归并到skb中的payload�！！�

CVE-2019-11478

该缝隙也是整数溢出，在数据包重新传输过程中，将传输队列分段为多个细小的skbs，膨胀skb中写队列内存产生溢出�！！Ｔ诖χ肧ACK块中蕴含的skb并将其归并后，凭据GSO判断进行是否分片，若是必要，挪用tcp_fragement()函数进行分片�！！Ｆ揪莶苟】芍�：：

OG东方厅·(中国大陆)

补丁在tcp_fragment()函数中参与了最小空间判断�！！k是sock结构体类型，每一个tcp链接对应一个�！！Ｋ运幸⑺偷膕kb数据巨细都要累加到sk->sk_wmem_queued中，sk->sk_wmem_queued暗示为该套接字TCP写队列缓冲区巨细�！！ＭǔＴ谑褂檬背奖匾卸细弥凳欠窆挥��！！Ｈ缦滤�：：

OG东方厅·(中国大陆)

凭据注解可知，判断最新列队skb包所需的最小可写空间�！！２苟≈�，判断渣滓发送缓存为大于等于当前发送队列占用空间的一半，即还有1/3以上的空余空间时，并且小于sk->sk_sndbuf发奉上限能力够正常发送，不然就判定TCP写队列太大�！！�

CVE-2019-11479

该缝隙由于过度亏损资源导致回绝服务�！！Ｈ羰嵌褚馐莅玀SS选项设置成较小值，这将迫使和谈栈破费极度高的网络或CPU资源发送数据包开销�！！inux内核中将MSS_NOW硬编码为48�！！Ｆ揪莶苟】芍�：：

OG东方厅·(中国大陆)

进行了max最大值判断，而不再是固定硬编码�！！Ｕ饫锏膕ysctl_tcp_min_snd_mss被设置为65535，如下所示：：

OG东方厅·(中国大陆)

预防了攻击者使用极小MSS值�！！�

影响版本及补丁修复

实时更新最新补丁或禁用SACK和过滤极小MSS的数据包�！！�

CVE-2019-11477

影响版本：：

Linux 2.6.29 ~ 4.19.13（stable kernel releases 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11之外）
RHEL 8 (kernel, kernel-rt)，RHEL 7 (kernel, kernel-rt)，RHEL 6

禁用sack：：

sudo sysctl -w net.ipv4.tcp_sack=0

补��！！：：

https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=3b4929f65b0d8249f19a50245cd88ed1a2f78cff

CVE-2019-11478

影响版本：：

Linux 2.6.29 ~ 4.19.13（stable kernel releases 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11之外）
RHEL 8 (kernel, kernel-rt)，RHEL 7 (kernel, kernel-rt)，RHEL 6，RHEL 5

禁用sack：：

sudo sysctl -w net.ipv4.tcp_sack=0

补��！！：：

https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=f070ef2ac66716357066b683fb0baf55f8191a2e

CVE-2019-11479

影响版本：：

Linux 2.6.29 ~ 4.19.13（stable kernel releases 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11之外）
RHEL 8 (kernel, kernel-rt)，RHEL 7 (kernel, kernel-rt)，RHEL 6，RHEL 5

过滤号令：：

sudo iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

关闭tcp_mtu_probing：：

sysctl net.ipv4.tcp_mtu_probing

补��！！：：

https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=5f3e2bf008c2221478101ee72f5cb4654b9fc363
https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=967c05aee439e6e5d7d805e195b3a20ef5c433d6

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研

Linux内核TCP和谈多个SACK职能回绝服务缝隙分析

关于OG东方厅

解决规划

安全钻研

联系OG东方厅

7*24小时服务热线