Xen基础架构安全性分析 云朋 Email: cbns888@163.com.

Slides:



Advertisements
Similar presentations
定 格 入 格 破 格 —— 新诗仿写复习训练 仿照下列句子,再把 “ 人生 ” 比喻成 “ 大海 ”“ 天空 ” , 造两个句子。 如果说人生是一首优美的乐曲,那么痛苦则 是其中一个不可或缺的音符。 参考答案: 1 、如果说人生是一望无际的大海,那么挫折则 是其中一个骤然翻起的浪花。 2 、如果说人生是一片湛蓝的天空,那么失意则.
Advertisements

《微型计算机技术 及应用》 ( 第 4 版) —— 戴梅萼 史嘉权. 目标 深刻理解 牢固掌握 灵活应用.
第 3 章操作系统基础 3.1 操作系统概述 3.2 操作系统的功能模块 3.3 典型操作系统概述.
1 I/O 设备访问方式和类型. 2 Overview n The two main jobs of a computer: l I/O (Input/Output) l processing n The control of devices connneted to the computer is.
大学生创业实践.
2007/10/30 謝裕偉 研發顧問工程師 IBM 台灣系統與科技研發中心(IBM TSTL)
2014口号“千万别将就,喜欢就表白。” ——超级光棍节全民脱“光”大行动
青少年違規案例法律常識搜尋 學生篇.
第1单元 操作系统概论 第一节 绪论 操作系统定义.
校园信息管理系统 河北科技大学网络中心 2000/4/10.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第二章 项目一:企业厂区与车间平面设计 1.
徵收苗栗市福全段147、1588及文心段10、11地號等4筆土地之
Network Storage and System Virtualization Technology
员工保险 雇主责任险 概要 员工发生工伤事故后产生的一系列赔偿责任
第2章:企業組織 張緯良 世新大學資訊管理系.
讲 义 大家好!根据局领导的指示,在局会计科和各业务科室的安排下,我给各位简要介绍支付中心的工作职能和集中支付的业务流程。这样使我们之间沟通更融洽,便于我们为预算单位提供更优质的服务。 下面我主要从三方面介绍集中支付业务,一是网上支付系统,二是集中支付业务流程及规定等,
第6章 计算机网络基础.
操作系统结构.
中国人民公安大学经费管理办法(试行) 第一章总则 第四条:“一支笔” “一支笔”--仅指单位主要负责人。负责对本 单位的经费进行审核审批。
Windows Server 2003操作系统相关配置
第8章 机床操作 主讲:臧红彬 博士.
Department of Electrical Engineering National Cheng Kung University
第四章 存储体系.
LAN网络快车2004年小区推广计划. LAN网络快车2004年小区推广计划 内容 活动主题 活动目的 活动背景 活动意义 活动对象 2004年度推广主体构成 智力大赛概述 推广预算.
计算机与信息技术应用基础 徐东雨 计算机中心
電子商務行銷實論 (從嬰孕社群網站經營切入電子商務論述)
科學科 污染 空氣 成因 的 : 題目 及 減少空氣污染的方法 陳玉玲 (4) 姓名 : 去到目錄.
“服务器服务于Internet”报告会 倪光南 1999年7月6日
Chapter 13 輸入/輸出系統 (I/O Systems)
也許你很疑惑: 最近升官的同事,專業能力又沒你強! 情場得意的朋友,長的又沒你帥或美! 小曹要交新朋友,為什麼就是比較簡單!
Benjamin Armstrong 高级项目经理 微软
雲端運算虛擬主機技術的發展.
NEC Express5800 Fault Tolerant Server Introduction
第7章 中斷系統.
C H A P T E R 11 体系结构对操作系统的支持.
Rootkit惡意軟體之隱藏及偵測技術 大葉大學資訊管理學系 曹偉駿 副教授 2008/03/07.
作 業 系 統 第三組 楊育翰 顏瑞霖.
基于硬件辅助的内核漏洞挖掘框架 闫广禄.
虛擬化基本概念.
Ch 9: Input/Output System 输入/输出系统
CH.8 硬體管理.
… 第一节 外设的定时方式与信息交换 一、外围设备的定时方式 CPU 1、速度极慢或简单的外围设备 2、慢速或中速的外围设备
第2章 Linux概述 2.1 操作系统的功能和分类 2.2 Linux操作系统概述 2.3 Linux的应用现状与前景
伺服器探索營 Day 1 指導老師: 張啟中 (JohnAxer) 教學助理:
作業系統 (Operating System)
詩文的形成 有意義的字詞 句子 段落 一首詩文的形成,是由有意義的字詞組成句子,再由句子組成段落。
校 園 雲端輸出管理系統 新印科技股份有限公司 聯絡人:伍宏一 電 話: /
Ch9 Communicating with Hardware
Operating System Principles 作業系統原理
7.1.1 设备管理的功能(P95) 分配设备:按设备的不同类型和操作系统选用的算法分配。包括分配相应的通道、设备控制器以及对未分配到的任务或怍业进行排队等; 控制和实现真正的输入输出操作。包括通道程序控制、启动设备、及时响应及处理中断讯号等; 对输入输出缓冲区进行管理。例如逻辑名的管理,多个缓冲区的分时以及串并行操作,同类多个外部设备的均衡工作,避免“忙的忙”和“闲的闲”;
作業系統 第三章 作業系統結構.
雲端虛擬化 Cloud Virtualization
Introduction to C Programming
Real-Time System Software Group Lab 408 Wireless Networking and Embedded Systems Laboratory Virtualization, Parallelization, Service 實驗室主要是以系統軟體設計為主,
Chapter 7 掌控記憶體.
嵌入式Linux开发流程 成都研究所操作系统团队.
计算机系统结构(2012年春) ----存储层次: Cache基本概念
第七章  事业单位支出的核算      §第一节  支出概述     §第二节  拨出款项     §第三节  各项支出     §第四节  成本费用.
2.3 平面与回转体表面相交 回转体截切的基本形式 截平面 截平面 截交线 截交线.
作業系統 第十四章 輸出輸入系統.
微信商城系统操作说明 色卡会智能门店.
2.1 高職與私立學校註冊操作說明 (2015/9/15上線)
第五章 输入/输出系统 本章讨论: 接口的基本概念 总线的基本概念 中断方式及其接口组成 中断方式及其接口组成 DMA方式及其接口组成
Chapter 7 掌控記憶體.
实验三 键盘软加锁实验 2019/5/9.
虛擬團隊與業務技巧 ─創新築夢,有夢最美─ 行銷業務人才訓練課程 主講人:王廷興 博士 主辦單位:中華民國工程技術管理協會
虚拟化技术 VMware ESXI 南京市玄武中等专业学校 胡刚强.
大綱 一.受試者之禮券/禮品所得稅規範 二.範例介紹 三.自主管理 四.財務室提醒.
2.1 试验: 探究小车速度随时间变化的规律.
Presentation transcript:

Xen基础架构安全性分析 云朋 Email: cbns888@163.com

Xen虚拟化介绍 Hardware Hypervisor Domain0 Domain U HVM … Domain U PV Network backend Driver Network Driver Block Backend Driver Xen virtual firmware Qemu-dm Block Driver Xen 是一个基于Hypervisor 和虚拟化的开源虚拟机监视器,由剑桥大学的lan Pratt 教授领导发起 Xen Hypervisor,运行在硬件层之上的“元”操作系统,用于协调硬件资源(CPU、内存)、各虚拟机之间进行环境隔离; Domain 0,一个运行上Hyerpvisro上修改过Linux Kernel的独特虚拟机,控制硬件IO资源,与Domain U交互。 Domain U 运行在Hypervisor上的虚拟机,分为PV和HVM

Xen安全 溢出到Hypervisor,造成DOS 溢出到Domain0,拥有管理员权限,可以攻击本机其他虚拟机或者攻击其他主机 Guest Hardware Hypervisor Domain0 Guest OS Domain U … 嗅探同一主机的其他虚拟机 Host xx

主机内的虚拟机间的攻击 Dom0 Ghost OS GhostOS GhostOS CPU Memory NIC Hypervisor 当Ghost OS被发现时,流量从一个虚拟机到另外一个虚拟机,不经过物理网卡,而是直接在Hypervisor的网桥转发,检测变的非常因验 基于Xen架构的另一种情况: 当虚拟机共享或者重新分配硬件资源时会造成很多的安全风险。信息可能会在虚拟机之间被泄露。 例如,如果虚拟机占用了额外的内存,然而在释放的时候没有重置这些区域,分配在这块内存上的新的虚拟机就可以读取到敏感信息。 Dom0 Ghost OS GhostOS GhostOS Hypervisor 伪物理地址到机器地址映射表 CPU Memory NIC 在Xen 的内存管理架构中,虚拟机监视器为每个虚拟机分配初始地址为0 的连续的伪物理地址。为了可以直接读取页面,Xen 将伪物理地址到机器地址的映射表存储在每台虚拟机的地址空间里。同时,Xen 还维护机器地址到伪物理地址的映射表。所有对这些映射表的写操作都由虚拟机监视器截获或生效以达到存取控制。

对Hypervisor 的攻击 Dom0 Ghost OS GhostOS GhostOS DOS API CPU Memory NIC 对Hypervisor的攻击主要来自于DOS攻击(CVE20122625)。从Ghost OS上直接造成Hypervisor崩溃,使这台主机上的所有虚拟机都停止运行 API接口为攻击者提供了更多的攻击路径以及更大的攻击平面。(典型的API包括了libvirt API,以及由硬件以及带有hypervisor能够处理的参数的处理器指令所产生的中断)(CVE20111898)。 Dom0 Ghost OS GhostOS GhostOS DOS API Hypervisor CPU Memory NIC virConnectPtr virConnectOpenReadOnly (const char * name) 在使用时首先应调用这个函数,获得hypervisor的链接 int virConnectListDomains (virConnectPtr conn, int * ids, int maxids)  获得hypervisor下所有域的ID  const char * virDomainGetName (virDomainPtr domain) 得到域的名字 DOS攻击对Xen所承载的业务系统的脆弱性提出了严重挑战

Xen的公开漏洞(1) CVE-2012-2625 漏洞发布时间:2012-05-22  影响系统 :Xen 4.x  危害: 本地攻击者可以利用漏洞可使系统崩溃。  攻击所需条件: 攻击者必须构建恶意内核映像,诱使程序解析。   漏洞信息 当解压缩内核时PyGrub存在一个错误,通过超大的内核映像,诱使应用程序解析,Guest虚拟机中的本地用户可导致Hypervisor层崩溃。   例如:CVE(CAN) ID: CVE-2007-4993 ,Xen对虚拟机镜像的加载使用pygrub命令,因为在命令执行中对启动镜像时的配置文件未做过虑,导制dom0在启动guest OS时,可以执行grub.conf文件中写入的特权指令。

Xen的公开漏洞(2) CVE-2011-1898 Description Xen 4.1 & 4.0, when using PCI passthrough on Intel VT-d chipsets that do not have interrupt remapping, allows guest OS users to gain host OS privileges by "using DMA to generate MSI interrupts by writing to the interrupt injection registers." 有些hypervisor运行在只读存储上,同时重启hypervisor会是一个比较明确的入侵信息,所以运行时修改hypervisor的价值很大。 Xen 4.1和4.0版本,在使用PCI转移到不能中断重映射的Intel VT-d芯片组时存在权限许可和访问控制漏洞。本地用户可通过使用PCI设备驱动,通过使用DMA操作写入中断注入寄存器来生成MSI中断,获得主机操作系统权限。 Intel VT-d技术是一种基于North Bridge北桥芯片的硬件辅助虚拟化技术,通过在北桥中内置提供DMA虚拟化和IRQ虚拟化硬件,实现了新型的I/O虚拟化方式,由于需要在DMA请求内嵌入目标内存地址,因此这个架构须要完全访问所有的内存地址,并不能实现中断隔离。VT-d为此实现了新的中断重映射(interrupt-remapping)架构,通过重新定义MSI的格式来解决这个问题,新的MSI仍然是一个DMA写 请求的形式,不过并不嵌入目标内存地址,取而代之的是一个消息ID,通过维护一个表结构,硬件可以通过不同的消息ID辨认不同的虚拟机区域。 当“中断重新映射”没有在芯片组中启用时,Intel VT-d芯片组会允许带有PCI设备的客户端使用DMA通过写入中断注入寄存器生成MSI中断。(安装一个HDD驱动,使用HDD驱动引起一个PCI设备操作过程,我们可以在HDD驱动中完成中断的执行过程,而内存为所有虚拟机所共用)注入陷阱就可以通过这种方法实现。) Xen未对DMA传输做限制。 因此具备DMA能力的设备可以覆盖和写入到系统的任意内存地址,即便是Xen的内存空间。

Xen的其它公开漏洞(DOS) 公开的CVE漏洞,造成Hypervisor拒绝服务 CVE-2010-4255 XEN 4.0.1和早期的64bit版本,允许guest OS通过构造的特殊内存访问导致DOS CVE-2010-4247 XEN 3.4.0之前版本,通过无限循环和消耗CPU的操作,可能允许guest OS造成DOS  CVE-2010-3699 XEN 3.x的后端驱动允许guest OS把自己挂起造成DOS

对Domain0的攻击 通常提供云计算资源的主机需要用防火墙限制从外部来的访问,因此对Domain0的攻击更多的是从内部发起的。 OS OS OS Hypervisor CPU Memory NIC 例如:通过对管理平台的渗透,很容易发起对Xen接口的攻击,如果渗透能成功,很可能会发现与Domain0通讯的接口、身份验证方式、命令执行过程。甚至用户权限

对Hypervisor逃逸攻击 最新版本中上未发现有公开的虚拟机逃逸漏洞,但不意味着将来不会有,无法预测。一旦出现这种漏洞,危害是巨大的,攻击者可以直接进入主机系统,进而入侵内部网络,威胁整个云的安全 Dom0 OS OS OS Hypervisor CPU Memory NIC 精明的攻击者能够突破虚拟机,获得管理程序并控制在主机上运行的其他虚拟机

对虚拟机逃逸的防范 我们无法从技术上杜绝这种攻击,因此我们需要对这种攻击做出防范 攻击监控和报警 物理主机隔离 Guest OS隔离 虚拟机快照,捕捉攻击现场

虚拟机热迁移的安全 虚拟机热迁移时数据在网络间明文传输 虚拟机内存中的信息会被嗅探 内存数据传输时存在中间人攻击的可能,系统或数据会被篡改 XenMotion:是指在一个Pool中的XenServer之间,可以对Running Guest OS进行在两个节点中,不中断Guest OS服务(不停机)的情况下来回迁移。 使用XenMotion协议带来的问题

更玄的方式? 隐蔽通道 同一hypervisor上的虚拟机可以通过CPU的负载传输隐蔽信息,这种通信是无法被监控的,但对于企业威胁性仅存在于理论上。因为与其使用这么复杂的传输方式,还不如使用其他rootkit。 CPU和资源虚拟化可能暴露时间、内存和计算速度等信息,攻击者可利用这些信息建立隐蔽通道。

制造一个封闭的Xen 服务变轻 权限变小 不可逆的虚拟资源发现 更多的使用自动化 针对存储,比如数据卷的挂接,不能被同一权限的人发现,不能通过突破Xen后,找到数据来源。找到管理平台的通道信息,找到与Xen相关的管理信息。在内存中加密

谢谢!