对linux系统下端口复用技术的.pptVIP

对linux系统下端口复用技术的一些理解和认识 noble_shi@21 1．涉及到的内容 本文涉及到的内容有：内存管理、系统调用、进程调度、文件系统、socket内核结构、协议栈的内核实现、ELF文件结构、ELF文件装载过程。 2.设计方案 1） 过滤驱动 对linux系统的网卡驱动进行过滤，这种技术设计到可安装内核模块技术、网卡驱动原理和中断技术等，实现起来较为复杂，而且对内核版本要求较高，如果长期运行，还可能造成系统内核的不稳定。 同时还设计到拆包、组包过程，如果要对大文件进行传输或要保证客户－服务器双方的可靠通信，要付出很大代价。 2.设计方案 2） 过滤协议栈 可以对TCP/IP协议栈进行过滤，而且linux系统也提供内核钩子，支持对内核的过滤。这样实现难度较小，造成系统不稳定的可能性比方案1要小的多。 2.设计方案 3） 过滤系统调用 这种方法是典型的LKMs后门程序的实现原理，对用于网络通信的系统调用进行过滤。 这种方法不用深入协议栈，实现起来简洁有效，后面有详细介绍。 2.设计方案 4） 修改sock结构 先在用户空间任意创建一个处于连接状态的socket对，然后修改内核的sock结构，如：socksock.daddr，sock.dport，sock.sport等。这样，就相当于和远端主机建立了一个正常的TCP或UDP连接。 这种方法不用我们自己构造sock结构，只需修改已有的sock结构，减少了工作量。 2.设计方案 5） UNIX编程中的其他技术 在用户空间调用访问协议栈的函数，如BPF、SOCK_PACKET类型的套节口、libcap抓包库、DLPI等，这样在应用层就可以实现对协议栈的过滤。这样技术不用深入内核，稳定性好。 2.设计方案 6）感染ELF静态文件 这种技术是的基本原理是在原来的ELF文件中插入自己的二进制代码，当检测到特征字符串以后，就复制套接口结构，并关闭原有的套接口，从而达到端口复用的目的。 这是在应用层进行实现的，相对来说比较稳定。缺点是采用了病毒技术，利用linux自带的一些工具（如objdump）可以发现 2.设计方案 7） 运行期间感染技术 这种方法需要深入到已经运行服务程序的进程空间内部，如采用运行期间共享库注射技术，通过共享其file结构，增加引用记数，来共享其dentry,inode,sock,socket等结构。 这种方法是在应用层设计的，对内核版本要求不高，不过如果对80等非超级用户运行的进程所开的端口进行复用时，所获得的权限也是普通用户权限，不能满足普遍需求。同时也很难实现对任意端口进行复用。 3．通过过滤系统调用实现端口复用－基础知识介绍 1.基础知识介绍 (1)首先对kernle_thread()进行分析。 int kernel_thread (int (*fn)(void *), void * arg, unsigned long flags) { long retval, d0; __asm__ __volatile__( movl %%esp,%%esi\n\t int $0x80\n\t cmpl %%esp,%%esi\n\t je 1f\n\t movl %4,%%eax\n\t 3．通过过滤系统调用实现端口复用－基础知识介绍 pushl %%eax\n\t call *%5\n\t movl %3,%0\n\t int $0x80\n 1:\t :=a (retval), =S (d0) :0 (__NR_clone), i (__NR_exit), r (arg), r (fn), b (flags | CLONE_VM) : memory); return retval; } 3．通过过滤系统调用实现端口复用－基础知识介绍 (2)对execve()系统调用进行分析。 由于其源码较长，这里只描述其执行过程，如下： 拷贝用户空间的数据到内核,相应的函数是getname()。 调用函数do_execve()，这是系统调用execve()的主体函数。 3．通过过滤系统调用实现端口复用－基础知识介绍 下面对函数do_execve()进行分析： a）调用open_exec()返回一个file结构。 b）内核为可执行程序的装入定义一个数据结构struct linux_binprm。 c）将文件的前128字节读到linux_binprm的buf中。 d）参数和环境变量从用户空间拷贝到linux_binprm结构中。 e）装载运行；过程是用formates队列中的每个成员尝试运行这个文件。 3．通过过滤系统调用实现端口