Fuzz方法在SPDK iSCSI的应用实例

最新推荐文章于 2023-07-03 13:31:42 发布

weixin_37097605

最新推荐文章于 2023-07-03 13:31:42 发布

阅读量346

点赞数

本文链接：https://blog.csdn.net/weixin_37097605/article/details/106678602

版权

点击上方蓝字关注我们

Fuzz方法在SPDK iSCSI的应用实例王海亮 | 英特尔SPDK测试工程师

一

Fuzz 简介

本文目的是介绍如何使用fuzz方法写出测试代码。首先了解一下fuzz的概念。

Fuzz Test 是什么

中文可翻译为模糊测试。就是用大量的测试用例一个一个试，尽可能多的找出有可能出问题的地方。第一个模糊测试工具，最初由Barton Miller于1989年在威斯康星大学开发。模糊测试是一种软件测试技术，它是一种安全测试。

在模糊测试中，用随机坏数据（也称做 fuzz）攻击一个程序，然后等待观察哪里遭到了破坏。模糊测试的技巧在于，它是不符合逻辑的。自动模糊测试不去猜测哪个数据会导致破坏（就像人工测试员那样），而是将尽可能多的杂乱数据投入程序中。经过这个测试验证过的失败模式通常对程序员来说是个彻底的震憾，因为任何按逻辑思考的人可能都不会想到这种失败。

为什么要进行模糊测试？

可能发现最严重的安全故障或缺陷。
当与Black Box测试、Beta测试和其他调试方法一起使用时，模糊测试可以提供更有效的结果。
模糊测试用于检查软件的漏洞。这是非常划算的测试技术。
模糊测试是黑盒测试技术之一。模糊测试是黑客用来发现系统漏洞的最常见方法之一。

模糊测试能检测到的错误类型

断言失败和内存泄漏
此方法广泛用于大型应用程序，其中的错误会影响内存的安全性，这是一个严重的漏洞。
输入无效
在模糊测试中，模糊器用于生成无效输入，用于测试错误处理例程，这对于不控制其输入的软件很重要。简单的模糊测试可以被称为自动化负面测试（Negative Testing）的一种方法。
正确的错误
模糊测试也可用于检测某些类型的“正确性”错误。如数据库损坏，搜索结果不佳等。

模糊测试实现过程

1) 找到一份待测试的可执行文件代码；

2) 生成大量的测试用例（Fuzzed数据）找到输入点，然后把随机数据丢进去；

3) 执行文件；

4) 观察破坏了什么；

5) 记录缺陷。

模糊测试的优缺点

好处

模糊测试改进了软件安全测试。
在模糊测试中发现的错误有时很严重，包括崩溃、内存泄漏、未处理的异常等。
如果由于时间和资源的限制，测试人员可能没有注意到的一些错误，那么在模糊测试中会发现。

缺点

仅靠模糊测试无法保证整体安全。
模糊测试在处理不会导致程序崩溃的安全威胁方面效果较差，例如某些病毒、蠕虫、特洛伊木马等。
模糊测试只能检测简单的故障或威胁。
要有效地执行，需要大量时间。
使用随机输入设置边界值条件是非常有问题的，但现在使用基于用户输入的确定性算法，大多数测试人员解决了这个问题。

二

SPDK iSCSI应用实例

被测对象

确定需要进行fuzz测试的文件代码。这里以spdk的lib/iscsi.c为被测对象。我们编写的fuzz app代码为spdk/test/app/fuzz/iscsi_fuzz/iscsi_fuzz.c。

了解iSCSI流程

iSCSI结构简介

iSCSI使用Client/Server模型。Target端即磁盘阵列或其他装有磁盘的主机。通过iSCSI Target工具将磁盘空间映射到网络上，initiator端就可以寻找发现并使用该磁盘。

Figure 1 给出了iSCSI结构里不同部分之间的关系。Figure 2 给出了iSCSI中数据传输的简单流程。

Figure 1：iSCSI结构

Figure 2：数据传输的简单流程

PDU（Protocol Data Units）是iSCSI交换数据最基本的单位，格式见Figure 3。

Figure 3：iSCSI PDU的格式

其中，基本报文头BHS（Basic Header Segment）的格式见Figure 4。

Figure 4：BHS的格式

接下来，我们要用大量的fuzz输入用例，来模拟填充PDU的主要数据结构，这里重点是填充BHS，以及其中的操作码（opcode）。各个操作码的意义见Figure5。

代码里对BHS操作码的定义：

1. enum iscsi_op {

2. /* Initiator opcodes */

3. ISCSI_OP_NOPOUT = 0x00,

4. ISCSI_OP_SCSI = 0x01,

5. ISCSI_OP_TASK = 0x02,

6. ISCSI_OP_LOGIN = 0x03,

7. ISCSI_OP_TEXT = 0x04,

8. ISCSI_OP_SCSI_DATAOUT = 0x05,

9. ISCSI_OP_LOGOUT = 0x06,

10. ISCSI_OP_SNACK = 0x10,

11. ISCSI_OP_VENDOR_1C = 0x1c,

12. ISCSI_OP_VENDOR_1D = 0x1d,

13. ISCSI_OP_VENDOR_1E = 0x1e,

14.

15. /* Target opcodes */

16. ISCSI_OP_NOPIN = 0x20,

17. ISCSI_OP_SCSI_RSP = 0x21,

18. ISCSI_OP_TASK_RSP = 0x22,

19. ISCSI_OP_LOGIN_RSP = 0x23,

20. ISCSI_OP_TEXT_RSP = 0x24,

21. ISCSI_OP_SCSI_DATAIN = 0x25,

22. ISCSI_OP_LOGOUT_RSP = 0x26,

23. ISCSI_OP_R2T = 0x31,

24. ISCSI_OP_ASYNC = 0x32,

25. ISCSI_OP_VENDOR_3C = 0x3c,

26. ISCSI_OP_VENDOR_3D = 0x3d,

27. ISCSI_OP_VENDOR_3E = 0x3e,

28. ISCSI_OP_REJECT = 0x3f,

29.};

Figure 5：操作码的意义

生成fuzz数据

iSCSI主要的数据处理流程包括iscsi_pdu_hdr_handle( )和iscsi_pdu_payload_handle( )这两个函数。

iscsi_pdu_hdr_handle( )代码如下：

1. static int

2. iscsi_pdu_hdr_handle(struct spdk_iscsi_conn *conn, struct spdk_iscsi_pdu *pdu)

3. {

5. if (opcode == ISCSI_OP_LOGIN) {

6. return iscsi_pdu_hdr_op_login(conn, pdu);

7. }

9. switch (opcode) {

10. case ISCSI_OP_NOPOUT:

11. rc = iscsi_pdu_hdr_op_nopout(conn, pdu);

12. case ISCSI_OP_SCSI:

13. rc = iscsi_pdu_hdr_op_scsi(conn, pdu);

14. case ISCSI_OP_TASK:

15. rc = iscsi_pdu_hdr_op_task(conn, pdu);

16. case ISCSI_OP_TEXT:

17. rc = iscsi_pdu_hdr_op_text(conn, pdu);

18. case ISCSI_OP_LOGOUT:

19. rc = iscsi_pdu_hdr_op_logout(conn, pdu);

20. case ISCSI_OP_SCSI_DATAOUT:

21. rc = iscsi_pdu_hdr_op_data(conn, pdu);

22. case ISCSI_OP_SNACK:

23. rc = iscsi_pdu_hdr_op_snack(conn, pdu);

24. default:

25. return iscsi_reject(conn, pdu, ISCSI_REASON_PROTOCOL_ERROR);

26. }

Fuzz的任务，就是来填充包含opcode的整个BHS结构体。

1. struct iscsi_bhs {

2. uint8_t opcode : 6

3. uint8_t immediate : 1;

4. uint8_t reserved : 1;

5. uint8_t flags;

6. uint8_t rsv[2];

7. uint8_t total_ahs_len;

8. uint8_t data_segment_len[3];

9. uint64_t lun;

10. uint32_t itt;

11. uint32_t ttt;

12. uint32_t stat_sn;

13. uint32_t exp_stat_sn;

14. uint32_t max_stat_sn;

15. uint8_t res3[12];

16. };

Request消息，根据自身BHS的opcode来进入iscsi_pdu_hdr_handle( )不同的处理分支。

填充BHS的函数是prep_iscsi_pdu_bhs_opcode_cmd()，

1. static void

2. prep_iscsi_pdu_bhs_opcode_cmd(struct fuzz_iscsi_dev_ctx *dev_ctx, struct fuzz_iscsi_io_ctx *io_ctx)

3. {

4. io_ctx->iov_ctx.iov_req.iov_len = sizeof(struct iscsi_bhs);

5. fuzz_fill_random_bytes((char *)io_ctx->req.bhs, sizeof(struct iscsi_bhs),

6. &dev_ctx->random_seed);

7. }

其中函数fuzz_fill_random_bytes( )，用来生成随机数据，填充BHS各个字段。

1. static void

2. fuzz_fill_random_bytes(char *character_repr, size_t len, unsigned int *rand_seed)

3. {

4. size_t i;

6. for (i = 0; i < len; i++) {

7. character_repr[i] = rand_r(rand_seed) % UINT8_MAX; //生成随机数据

8. }

9. }

不仅要填充bhs，还需要填充适量的PDU的数据结构。

1. struct spdk_iscsi_pdu {

2. struct iscsi_bhs bhs;

3. struct spdk_mobj *mobj;

4. bool is_rejected;

5. uint8_t *data_buf;

6. uint8_t *data;

7. uint8_t header_digest[ISCSI_DIGEST_LEN];

8. uint8_t data_digest[ISCSI_DIGEST_LEN];

9. size_t data_segment_len;

10.......

因为包处理是以PDU为对象的，缺少参数会导致意外的错误，第一步验证条件就被挡住了。所以，为了能深入尽可能多的分支，需要填充一些基本的PDU参数。

例如这样，

1. req_pdu->writev_offset = 0;

2. req_pdu->hdigest_valid_bytes = 0;

3. req_pdu->ahs_valid_bytes = 0;

4. req_pdu->data_buf_len = 0;

同样是为了能深入尽可能多的分支，还需要重新指定一些基本的BHS参数。并且，需要对login这一特殊的的PDU进行单独地处理。

1. if (opcode == ISCSI_OP_LOGIN) {

2. return iscsi_pdu_hdr_op_login(conn, pdu);

3. }

4. req_pdu->bhs.immediate = 1;

5. req_pdu->bhs.reserved = 0;

6. req_pdu->bhs_valid_bytes = ISCSI_BHS_LEN;

7. req_pdu->bhs.total_ahs_len = 0;

8. req_pdu->bhs.stat_sn = 0;

执行结果

最开始的时候，initiator端发送的第一个包是login request，用以跟target端建立connection。成功后，从第二个开始就可以都是随机包了。如果没有建立connection的话，target端不会处理任何一个来自initiator的PDU包。

Received payload_handle response opcode from Target is 0x23.（这是target回过来的第一个response包，LOGIN_RSP）

无效包的处理，target端返回REJECT包。

例如：发出请求0x1e（无效包），返回响应0x3f（REJECT包）

Random request bhs.opcode of Initiator is 0x1e.（随机生成的无效包）

Dumping this request bhs contents now.

"bhs": {

"opcode": 30, （0x1e十进制）

"immediate": 1,

"reserved": 0,

"total_ahs_len":0,

"data_segment_len": "AAAA",

"itt":1658750280,

"exp_stat_sn":4117834500

}

Sent an invalid opcode PDU.（这是一个非法包）

Received rejected hdr_handle response opcode(0x3f) from Target.

Received payload_handle response opcode from Target is 0x3f.（REJECT包）

有效包的处理，target端返回相应的response包。

例如：发出请求0x2（TASK），返回响应0x24（TASK_RSP）

Random request bhs.opcode of Initiator is 0x4.（随机生成的TASK包）

Dumping this request bhs contents now.

"bhs": {

"opcode": 4,

"immediate": 1,

"reserved": 0,

"total_ahs_len":0,

"data_segment_len": "AAAA",

"itt": 0,

"exp_stat_sn":4138086897

}

Sent a valid opcode PDU.（这是一个合法包）

Received hdr_handle response opcode from Target is 0x24. （target返回正确的response）

Received payload_handle response opcode from Target is 0x24.

可以看出，结果是符合预期的。这里测试时间设定30秒。完成时，fuzz app模拟的initiator端一共向target端发送了17447个合法随机包，161259个非法随机包。

Fuzzing completed. Shutting down the fuzz application.

device 0x1efc200 stats: Sent 17447 valid opcode PDUs, 161259invalid opcode PDUs.

具体执行参数，请参考shell脚本spdk/test/iscsi_tgt/fuzz/fuzz.sh。

通过fuzz发现的一个issue

例如在iscsi_reject()函数里，要把pdu->ahs指向的数据拷贝到data + data_len的地址。原先的代码没有考虑到多条路径过来的验证越界问题。即如果(4 * total_ahs_len)大于ISCSI_AHS_LEN时，源数据长度超过目标缓冲区长度，返回地址乱了，会导致Segmentation Fault的错误。

Fuzz随机生成了一个比较狂野的bhs.total_ahs_len的值，超过了ISCSI_AHS_LEN的范围，暴露了这个问题。代码见Figure 6，绿底是修改后的。

Figure 6：lib/iscsi.c

写在最后，如果仅仅用fuzz来模拟bhs->opcode，作用会非常有限。Iscsi.c代码里iscsi_pdu_hdr_handle( )函数的switch (opcode)部分代码已经对各种opcode做了处理。但是用fuzz来模拟填充各种BHS结构体的字段内容，就能进入更多的其他代码分支，就能发现更多潜在的问题。同样地，可以再扩大fuzz的范围，来模拟填充更多PDU结构体的字段，这样会覆盖更多的代码分支。