Обрезка UDP-пакета

1

5

Есть тупая железка, которая шлёт клиентские запросы NTPv1 на 20 байт длиннее (68 вместо 48, 20 байт в конце просто забиты нулями), из-за чего chronyd сносит башку (он думает, что это аутентифицированные пакеты, видит неправильный Key-MAC и дропает их).

Хочу этой тупой железке попробовать сделать обрезание таких UDP-пакетов. Пока что с NFQUEUE не заморачивался, хочу чего-то попроще.

Вопрос: как? Пробовал tc-pedit:

#!/usr/bin/env bash

LAN=enp3s2

case "$1" in
        start)
                tc qdisc add dev ${LAN} handle ffff: ingress
                tc filter add dev ${LAN} parent ffff: protocol ip flower src_ip 192.168.1.55 ip_proto udp dst_port 123 action pedit munge offset 2 u16 set 0x30 pipe csum ip and udp
                ;;
        stop)
                tc qdisc del dev ${LAN} handle ffff: ingress
                ;;
esac

но сломал мозг (то, что я написал выше, не работает).

Железка подключена через сеть за enp3s2, пакеты идут через линуксовый роутер, на котором, собственно, и нужно провернуть трюк.

mky vel

Ссылка

←	Debian: ifdown выводит ошибки

Как изменить или убрать приветствие OpenSSH

→

А в udp кто будет длину пакета менять?

Я бы в udp заголовке только длину исправлял.

PS Никогда не пользовался pedit.

vel ★★★★★
(25.01.21 22:47:02 MSK)

Не уверен, что pedit может менять размер пакета, там же тогда нужно менять размер skbuf. Нужно код смотреть...

то, что я написал выше, не работает

Как именно не работает?

mky ★★★★★
(25.01.21 23:55:48 MSK)

Ответ на: комментарий от vel 25.01.21 22:47:02 MSK

А в udp кто будет длину пакета менять?

Об этом не подумал, думал, что csum будет делать magic. С другой стороны, я как бы и не знаю, на каком offset’е UDP, потому что могут быть опции IP.

Я бы в udp заголовке только длину исправлял.

А почему только в нём? Получается, по-хорошему, длину нужно трижды менять.

Блин, мне кажется, что проще написать маленький UDP proxy, который в юзерспейсе обрежет буфер и перешлёт серверу то, что нужно.

post-factum ★★★★★
(26.01.21 00:52:51 MSK) автор топика

Ответ на: комментарий от mky 25.01.21 23:55:48 MSK

Не уверен, что pedit может менять размер пакета, там же тогда нужно менять размер skbuf. Нужно код смотреть…

Я вот тоже не уверен ☹.

Как именно не работает?

Хиты по фильтру вижу, а дальше ничего не происходит.

post-factum ★★★★★
(26.01.21 00:53:31 MSK) автор топика

Ссылка

vel mky

Похоже, что вот так фурычит:

tc filter add dev ${LAN} parent ffff: protocol ip flower src_ip 192.168.1.55 ip_proto udp dst_port 123 action pedit munge offset 24 u16 set 0x38 pipe csum ip and udp

Если допустить, что опций IP нет, то длина UDP будет по offset’у 24.

Что думаете? Случайно заработало, или я правильно высчитал?

# tc -s filter ls dev enp3s2 ingress
filter parent ffff: protocol ip pref 49152 flower chain 0
filter parent ffff: protocol ip pref 49152 flower chain 0 handle 0x1
  eth_type ipv4
  ip_proto udp
  src_ip 192.168.1.55
  dst_port 123
  not_in_hw
        action order 1:  pedit action pipe keys 1
         index 1 ref 1 bind 1 installed 252 sec used 15 sec firstused 252 sec
         key #0  at 24: val 00380000 mask 0000ffff
        Action statistics:
        Sent 480 bytes 5 pkt (dropped 0, overlimits 0 requeues 0)
        backlog 0b 0p requeues 0

        action order 2: csum (iph, udp) action pass
        index 1 ref 1 bind 1 installed 252 sec used 15 sec firstused 252 sec
        Action statistics:
        Sent 480 bytes 5 pkt (dropped 0, overlimits 0 requeues 0)
        backlog 0b 0p requeues 0

post-factum ★★★★★
(26.01.21 01:01:03 MSK) автор топика
Последнее исправление: post-factum 26.01.21 01:03:19 MSK (всего исправлений: 1)

Обрезать пакет – это много чего сделать надо: и обрезать, и длину ip и tcp поменять, и чексуммы пересчитать. eBPF Вам в помощь. Хелперы bpf_skb_change_tail, bpf_l3_csum_replace и так далее.

Наговнокодить сейчас не в силах за неимением ума, памяти, воли, и условий для тестов.

i586 ★★★★★
(26.01.21 01:23:22 MSK)

Ответ на: комментарий от post-factum 26.01.21 00:52:51 MSK

Блин, мне кажется, что проще написать маленький UDP proxy, который в юзерспейсе обрежет буфер и перешлёт серверу то, что нужно.

хотел именно это написать

Harald ★★★★★
(26.01.21 01:58:17 MSK)

Ответ на: комментарий от i586 26.01.21 01:23:22 MSK

Да, как вариант, видел, что люди извращаются, только это ещё более нечеловечный способ.

Можно попробовать разве что с целью набить скиллы с bpf.

post-factum ★★★★★
(26.01.21 02:12:20 MSK) автор топика

Ссылка

Ответ на: комментарий от Harald 26.01.21 01:58:17 MSK

Я больше времени на это убью, чем реально стоит железка. А так хоть скиллы по tc-pedit прокачаю.

post-factum ★★★★★
(26.01.21 02:13:24 MSK) автор топика

Ответ на: комментарий от post-factum 26.01.21 02:13:24 MSK

можно ещё NTP сервер пропатчить, чтобы переваривал :)

Harald ★★★★★
(26.01.21 02:26:45 MSK)

Ответ на: комментарий от Harald 26.01.21 02:26:45 MSK

Геморно. Зачем мне держать ещё один пакет. Да ещё и несекурно наверняка.

post-factum ★★★★★
(26.01.21 02:32:55 MSK) автор топика
Последнее исправление: post-factum 26.01.21 02:33:06 MSK (всего исправлений: 1)

Ответ на: комментарий от post-factum 26.01.21 02:32:55 MSK

или железку исправить

Harald ★★★★★
(26.01.21 02:38:49 MSK)

Ссылка

Ответ на: комментарий от post-factum 26.01.21 01:01:03 MSK

Смещение высчитали правильно, получили ip-пакет, в котором часть данных не пренадлежат udp пакета. Я бы на месте ядра дропал бы такие подозрительные пакеты :)

Возможно нет смысла пересчитывать контрольную сумму ip, меняется ведь только udp-пакет.

mky ★★★★★
(26.01.21 04:29:32 MSK)

Ответ на: комментарий от post-factum 26.01.21 01:01:03 MSK

Если допустить, что опций IP нет

А доводилось видеть IPv4 пакеты с опциями?

frob ★★★★★
(26.01.21 08:09:15 MSK)

Ответ на: комментарий от mky 26.01.21 04:29:32 MSK

Я бы на месте ядра дропал бы такие подозрительные пакеты :)

Я бы тоже, только вот почему-то не дропает.

Возможно нет смысла пересчитывать контрольную сумму ip, меняется ведь только udp-пакет.

Да, скорее всего.

post-factum ★★★★★
(26.01.21 09:57:46 MSK) автор топика

Ссылка

Ответ на: комментарий от frob 26.01.21 08:09:15 MSK

Нет, наверное.

post-factum ★★★★★
(26.01.21 09:58:07 MSK) автор топика

Ссылка

Ответ на: комментарий от frob 26.01.21 08:09:15 MSK

Для icmp - да. «ping -R» такие умеет вызывать.

vel ★★★★★
(26.01.21 10:20:29 MSK)

Ответ на: комментарий от mky 26.01.21 04:29:32 MSK

Возможно нет смысла пересчитывать контрольную сумму ip, меняется ведь только udp-пакет.

Подтверждаю, что хватает csum udp.

post-factum ★★★★★
(26.01.21 10:32:41 MSK) автор топика
Последнее исправление: post-factum 26.01.21 10:32:49 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от mky 26.01.21 04:29:32 MSK

Смещение высчитали правильно, получили ip-пакет, в котором часть данных не пренадлежат udp пакета. Я бы на месте ядра дропал бы такие подозрительные пакеты :)

Похоже, что вот так тоже работает:

tc filter add dev ${LAN} parent ffff: protocol ip flower src_ip 192.168.1.55 ip_proto udp dst_port 123 action pedit munge offset 2 u16 set 0x4c pipe pedit munge offset 24 u16 set 0x38 pipe csum ip and udp

На skb, наверное, это всё равно не влияет.

post-factum ★★★★★
(26.01.21 10:38:41 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 26.01.21 10:20:29 MSK

«ping -R» такие умеет вызывать

Ну, «идея вопроса» (хаха) в том, что порядочный пакет опции на себя не нацепит.

Заложенная в протокол возможность расширения фактически оказалась востребована только для проверки реализаций протокола на вшивость и атаки на педикулёзные реализации.

Т.е. пост-фактумовское решение обобщается на аналогичные проблемы, а про опции можно не беспокоиться. Вероятность того, что какое-то работоспособное/полезное приложение не только шлёт «немножко неправильные» пакеты, но ещё и балуется опциями практически неотличима от нуля.

//Комментарий опубликован в рамках программы «Начни утро с капитанства»

frob ★★★★★
(26.01.21 17:26:36 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Debian: ifdown выводит ошибки

Admin

Как изменить или убрать приветствие OpenSSH

→

Похожие темы