zoukankan      html  css  js  c++  java
  • Fuzz方法在SPDK iSCSI的应用实例

    一  Fuzz 简介

    本文目的是介绍如何使用fuzz方法写出测试代码。首先了解一下fuzz的概念。

      

    1  Fuzz Test 是什么

    中文可翻译为模糊测试。就是用大量的测试用例一个一个试,尽可能多的找出有可能出问题的地方。第一个模糊测试工具,最初由Barton Miller于1989年在威斯康星大学开发。模糊测试是一种软件测试技术,它是一种安全测试。

    在模糊测试中,用随机坏数据(也称做 fuzz)攻击一个程序,然后等待观察哪里遭到了破坏。模糊测试的技巧在于,它是不符合逻辑的。自动模糊测试不去猜测哪个数据会导致破坏(就像人工测试员那样),而是将尽可能多的杂乱数据投入程序中。经过这个测试验证过的失败模式通常对程序员来说是个彻底的震憾,因为任何按逻辑思考的人可能都不会想到这种失败。

    2  为什么要进行模糊测试?

    • 可能发现最严重的安全故障或缺陷。

    • 当与Black Box测试、Beta测试和其他调试方法一起使用时,模糊测试可以提供更有效的结果。

    • 模糊测试用于检查软件的漏洞。这是非常划算的测试技术。

    • 模糊测试是黑盒测试技术之一。模糊测试是黑客用来发现系统漏洞的最常见方法之一。 

    3  模糊测试能检测到的错误类型

    • 断言失败和内存泄漏

      此方法广泛用于大型应用程序,其中的错误会影响内存的安全性,这是一个严重的漏洞。

    • 输入无效

      在模糊测试中,模糊器用于生成无效输入,用于测试错误处理例程,这对于不控制其输入的软件很重要。简单的模糊测试可以被称为自动化负面测试(Negative Testing)的一种方法。

    • 正确的错误

      模糊测试也可用于检测某些类型的“正确性”错误。如数据库损坏,搜索结果不佳等。

    4  模糊测试实现过程

    1) 找到一份待测试的可执行文件代码;2) 生成大量的测试用例(Fuzzed数据)找到输入点,然后把随机数据丢进去;3) 执行文件;4) 观察破坏了什么;5) 记录缺陷。

     

      

    5  模糊测试的优缺点

    好处

    • 模糊测试改进了软件安全测试。

    • 在模糊测试中发现的错误有时很严重,包括崩溃、内存泄漏、未处理的异常等。

    • 如果由于时间和资源的限制,测试人员可能没有注意到的一些错误,那么在模糊测试中会发现。

    缺点

    • 仅靠模糊测试无法保证整体安全。

    • 模糊测试在处理不会导致程序崩溃的安全威胁方面效果较差,例如某些病毒、蠕虫、特洛伊木马等。

    • 模糊测试只能检测简单的故障或威胁。

    • 要有效地执行,需要大量时间。

    • 使用随机输入设置边界值条件是非常有问题的,但现在使用基于用户输入的确定性算法,大多数测试人员解决了这个问题。

    二  SPDK iSCSI应用实例

    1  被测对象

    确定需要进行fuzz测试的文件代码。这里以spdk的lib/iscsi.c为被测对象。我们编写的fuzz app代码为spdk/test/app/fuzz/iscsi_fuzz/iscsi_fuzz.c。

    2  了解iSCSI流程

    iSCSI结构简介

    iSCSI使用Client/Server模型。Target端即磁盘阵列或其他装有磁盘的主机。通过iSCSI Target工具将磁盘空间映射到网络上,initiator端就可以寻找发现并使用该磁盘。

    Figure 1 给出了iSCSI结构里不同部分之间的关系。Figure 2 给出了iSCSI中数据传输的简单流程。

      Figure 1:iSCSI结构

     

      Figure 2:数据传输的简单流程

      

    PDU(Protocol Data Units)是iSCSI交换数据最基本的单位,格式见Figure 3。

       Figure 3:iSCSI PDU的格式

    其中,基本报文头BHS(Basic Header Segment)的格式见Figure 4。

      Figure 4:BHS的格式

    接下来,我们要用大量的fuzz输入用例,来模拟填充PDU的主要数据结构,这里重点是填充BHS,以及其中的操作码(opcode)。各个操作码的意义见Figure5。

     代码里对BHS操作码的定义:

    1.    enum iscsi_op {  
    2.        /* Initiator opcodes */  
    3.        ISCSI_OP_NOPOUT         = 0x00,  
    4.        ISCSI_OP_SCSI           = 0x01,  
    5.        ISCSI_OP_TASK           = 0x02,  
    6.        ISCSI_OP_LOGIN          = 0x03,  
    7.        ISCSI_OP_TEXT           = 0x04,  
    8.        ISCSI_OP_SCSI_DATAOUT   = 0x05,  
    9.        ISCSI_OP_LOGOUT         = 0x06,  
    10.        ISCSI_OP_SNACK          = 0x10,  
    11.        ISCSI_OP_VENDOR_1C      = 0x1c,  
    12.        ISCSI_OP_VENDOR_1D      = 0x1d,  
    13.        ISCSI_OP_VENDOR_1E      = 0x1e,  
    14.      
    15.        /* Target opcodes */  
    16.        ISCSI_OP_NOPIN          = 0x20,  
    17.        ISCSI_OP_SCSI_RSP       = 0x21,  
    18.        ISCSI_OP_TASK_RSP       = 0x22,  
    19.        ISCSI_OP_LOGIN_RSP      = 0x23,  
    20.        ISCSI_OP_TEXT_RSP       = 0x24,  
    21.        ISCSI_OP_SCSI_DATAIN    = 0x25,  
    22.        ISCSI_OP_LOGOUT_RSP     = 0x26,  
    23.        ISCSI_OP_R2T            = 0x31,  
    24.        ISCSI_OP_ASYNC          = 0x32,  
    25.        ISCSI_OP_VENDOR_3C      = 0x3c,  
    26.        ISCSI_OP_VENDOR_3D      = 0x3d,  
    27.        ISCSI_OP_VENDOR_3E      = 0x3e,  
    28.        ISCSI_OP_REJECT         = 0x3f,  
    29.    };  

      Figure 5:操作码的意义

    3  生成fuzz数据

    iSCSI主要的数据处理流程包括iscsi_pdu_hdr_handle( )和iscsi_pdu_payload_handle( )这两个函数。

    iscsi_pdu_hdr_handle( )代码如下:

    1.    static int  
    2.    iscsi_pdu_hdr_handle(struct spdk_iscsi_conn *conn, struct spdk_iscsi_pdu *pdu)  
    3.    {  
    4.      
    5.        if (opcode == ISCSI_OP_LOGIN) {  
    6.            return iscsi_pdu_hdr_op_login(conn, pdu);  
    7.        }  
    8.      
    9.        switch (opcode) {  
    10.        case ISCSI_OP_NOPOUT:  
    11.            rc = iscsi_pdu_hdr_op_nopout(conn, pdu);  
    12.        case ISCSI_OP_SCSI:  
    13.            rc = iscsi_pdu_hdr_op_scsi(conn, pdu);  
    14.        case ISCSI_OP_TASK:  
    15.            rc = iscsi_pdu_hdr_op_task(conn, pdu);  
    16.        case ISCSI_OP_TEXT:  
    17.            rc = iscsi_pdu_hdr_op_text(conn, pdu);  
    18.        case ISCSI_OP_LOGOUT:  
    19.            rc = iscsi_pdu_hdr_op_logout(conn, pdu);  
    20.        case ISCSI_OP_SCSI_DATAOUT:  
    21.            rc = iscsi_pdu_hdr_op_data(conn, pdu);  
    22.        case ISCSI_OP_SNACK:  
    23.            rc = iscsi_pdu_hdr_op_snack(conn, pdu);  
    24.        default:  
    25.            return iscsi_reject(conn, pdu, ISCSI_REASON_PROTOCOL_ERROR);  
    26.        }  

     Fuzz的任务,就是来填充包含opcode的整个BHS结构体。

    1.    struct iscsi_bhs {  
    2.        uint8_t opcode      : 6;
    3.        uint8_t immediate   : 1;  
    4.        uint8_t reserved    : 1;  
    5.        uint8_t flags;  
    6.        uint8_t rsv[2];  
    7.        uint8_t total_ahs_len;  
    8.        uint8_t data_segment_len[3];  
    9.        uint64_t lun;  
    10.        uint32_t itt;  
    11.        uint32_t ttt;  
    12.        uint32_t stat_sn;  
    13.        uint32_t exp_stat_sn;  
    14.        uint32_t max_stat_sn;  
    15.        uint8_t res3[12];  
    16.    };  

    Request消息,根据自身BHS的opcode来进入iscsi_pdu_hdr_handle( )不同的处理分支。

    填充BHS的函数是prep_iscsi_pdu_bhs_opcode_cmd(),

    1.    static void  
    2.    prep_iscsi_pdu_bhs_opcode_cmd(struct fuzz_iscsi_dev_ctx *dev_ctx, struct fuzz_iscsi_io_ctx *io_ctx)  
    3.    {  
    4.        io_ctx->iov_ctx.iov_req.iov_len = sizeof(struct iscsi_bhs);  
    5.        fuzz_fill_random_bytes((char *)io_ctx->req.bhs, sizeof(struct iscsi_bhs),  
    6.                       &dev_ctx->random_seed);  
    7.    }  

    其中函数fuzz_fill_random_bytes( ),用来生成随机数据,填充BHS各个字段。

    1.    static void  
    2.    fuzz_fill_random_bytes(char *character_repr, size_t len, unsigned int *rand_seed)  
    3.    {  
    4.        size_t i;  
    5.      
    6.        for (i = 0; i < len; i++) {  
    7.            character_repr[i] = rand_r(rand_seed) % UINT8_MAX;  //生成随机数据
    8.        }  
    9.    } 

    不仅要填充bhs,还需要填充适量的PDU的数据结构。

    1.    struct spdk_iscsi_pdu {  
    2.        struct iscsi_bhs bhs;  
    3.        struct spdk_mobj *mobj;  
    4.        bool is_rejected;  
    5.        uint8_t *data_buf;  
    6.        uint8_t *data;  
    7.        uint8_t header_digest[ISCSI_DIGEST_LEN];  
    8.        uint8_t data_digest[ISCSI_DIGEST_LEN];  
    9.        size_t data_segment_len;  
    10.    ......  

     因为包处理是以PDU为对象的,缺少参数会导致意外的错误,第一步验证条件就被挡住了。所以,为了能深入尽可能多的分支,需要填充一些基本的PDU参数。

    例如这样,

    1.    req_pdu->writev_offset = 0;  
    2.    req_pdu->hdigest_valid_bytes = 0;  
    3.    req_pdu->ahs_valid_bytes = 0;  
    4.    req_pdu->data_buf_len = 0;  

     同样是为了能深入尽可能多的分支,还需要重新指定一些基本的BHS参数。并且,需要对login这一特殊的的PDU进行单独地处理。

    1.    if (opcode == ISCSI_OP_LOGIN) {  
    2.        return iscsi_pdu_hdr_op_login(conn, pdu);  
    3.    }  
    4.    req_pdu->bhs.immediate = 1;  
    5.    req_pdu->bhs.reserved = 0;  
    6.    req_pdu->bhs_valid_bytes = ISCSI_BHS_LEN;  
    7.    req_pdu->bhs.total_ahs_len = 0;  
    8.    req_pdu->bhs.stat_sn = 0;  

    4  执行结果

    最开始的时候,initiator端发送的第一个包是login request,用以跟target端建立connection。成功后,从第二个开始就可以都是随机包了。如果没有建立connection的话,target端不会处理任何一个来自initiator的PDU包。

    Received payload_handle response opcode from Target is 0x23.(这是target回过来的第一个response包,LOGIN_RSP)

     

       

    无效包的处理,target端返回REJECT包。

    例如:发出请求0x1e(无效包),返回响应0x3f(REJECT包)

       

    有效包的处理,target端返回相应的response包。

    例如:发出请求0x2(TASK),返回响应0x24(TASK_RSP)

     可以看出,结果是符合预期的。这里测试时间设定30秒。完成时,fuzz app模拟的initiator端一共向target端发送了17447个合法随机包,161259个非法随机包。

      具体执行参数,请参考shell脚本spdk/test/iscsi_tgt/fuzz/fuzz.sh。

    5  通过fuzz发现的一个issue

    例如在iscsi_reject()函数里,要把pdu->ahs指向的数据拷贝到data + data_len的地址。原先的代码没有考虑到多条路径过来的验证越界问题。即如果(4 * total_ahs_len)大于ISCSI_AHS_LEN时,源数据长度超过目标缓冲区长度,返回地址乱了,会导致Segmentation Fault的错误。

     Fuzz随机生成了一个比较狂野的bhs.total_ahs_len的值,超过了ISCSI_AHS_LEN的范围,暴露了这个问题。代码见Figure 6,绿底是修改后的。

     Figure 6:lib/iscsi.c

    。。。。。。(省略1千字)

    完整文章请看公众号该文原版:

  • 相关阅读:
    阿里云标准-Docker安全基线检查
    阿里云标准-Redis安全基线检查
    阿里云标准-Nginx安全基线检查
    python中urllib.request和requests的使用和区别
    python爬百度首页
    进行base64编码
    python基础入门 文件操作
    python面向对象编程: 搬家具案例
    在vi或vim上查找字符串
    浅析数据一致性
  • 原文地址:https://www.cnblogs.com/whl320124/p/13094949.html
Copyright © 2011-2022 走看看