Kernel Bug-Vulnerability-Comment library

sisi8408

1. 
   
2. part-2，IRT entry programming
   
3. 
   
4. static struct IO_APIC_route_entry  ioapic_read_entry(int apic, int pin);
   
5. /*
   
6. * basic IRTE read/write, indexed by pin,
   
7. * but how is mapped to irq, then to vector??
   
8. */
   
9. static void ioapic_write_entry (int apic, int pin,
   
10.                 struct IO_APIC_route_entry e);
    
11. 
    
12. /* shutup IRQ mapped by pin */
    
13. static void ioapic_mask_entry (int apic, int pin);
    
14. 
    
15. /*
    
16. * IRQ<-->pin mapping table is irq_2_pin[]
    
17. *
    
18. * but where irq come from??
    
19. */
    
20. static void add_pin_to_irq (unsigned int irq, int apic, int pin)
    
21. {
    
22.         static int first_free_entry = NR_IRQS;
    
23.         struct irq_pin_list *entry = irq_2_pin + irq;
    
24. 
    
25.         while (entry->next)
    
26.                 entry = irq_2_pin + entry->next;
    
27. 
    
28.         if (entry->pin != -1) {
    
29.                 /*
    
30.                  * in case IRQ is shared
    
31.                  */
    
32.                 entry->next = first_free_entry;
    
33.                 entry = irq_2_pin + entry->next;
    
34.                
    
35.                 if (++first_free_entry >= PIN_MAP_SIZE)
    
36.                         panic("io_apic.c: whoops");
    
37.         }
    
38.         entry->apic = apic;
    
39.         entry->pin  = pin;
    
40. }
    
41. 
    
42. /*
    
43. * Reroute an IRQ to a different pin
    
44. *
    
45. * or, cfg pin to use IRQ
    
46. */
    
47. static void __init replace_pin_at_irq(unsigned int irq,
    
48.                                       int oldapic, int oldpin,
    
49.                                       int newapic, int newpin);
    
50. /*
    
51. * core programing method,
    
52. * first read, then write.
    
53. */
    
54. static void __modify_IO_APIC_irq (unsigned int irq,
    
55.                                   unsigned long enable,
    
56.                                   unsigned long disable)
    
57. 
    
58. static void clear_IO_APIC_pin (unsigned int apic, unsigned int pin)
    
59. {
    
60. /*
    
61. * in chip of ioapic, pin is represented by route entry
    
62. */
    
63.         struct IO_APIC_route_entry entry;
    
64.        
    
65.         /* Check delivery_mode to be sure we're not clearing an SMI pin */
    
66.         entry = ioapic_read_entry(apic, pin);
    
67.         if (entry.delivery_mode == dest_SMI)
    
68.                 return;
    
69.         /*
    
70.          * Disable it in the IO-APIC irq-routing table:
    
71.          */
    
72.         ioapic_mask_entry(apic, pin);
    
73. }
    

复制代码

sisi8408

1. 
   
2. part-3 irq affinity/balance
   
3. 
   
4. 非常高兴，关于balance在CU已经看见 思一克 漂亮的工作，
   
5. 这里八哥就不费心了。
   
6. 
   

复制代码

[ 本帖最后由 sisi8408 于 2007-12-15 11:29 编辑 ]

sisi8408

1. 
   
2. part-4 麻烦来了，MADT/MPS
   
3. 
   
4. /*
   
5. * Find the IRQ entry number of a certain pin
   
6. */
   
7. static int find_irq_entry (int apic, int pin, int type)
   
8. {
   
9.         int i;
   
10.         /*
    
11.          * bonding of irq and pin is pre-defined?!
    
12.          */
    
13.         for (i = 0; i < mp_irq_entries; i++) {
    
14.                 if (mp_irqs[i].mpc_irqtype == type &&
    
15.                     (mp_irqs[i].mpc_dstapic == mp_ioapics[apic].mpc_apicid ||
    
16.                      mp_irqs[i].mpc_dstapic == MP_APIC_ALL) &&
    
17.                     mp_irqs[i].mpc_dstirq == pin)
    
18.                         return i;
    
19.         }
    
20.         return -1;
    
21. }
    
22. /*
    
23. * seems it is impossible to make IRQ unshared, if
    
24. * two pci devices cfged shared in mp_irqs[]??
    
25. * and it is appreciated in practical usage where
    
26. * unshared IRQ preferred.
    
27. */
    
28. static int __init find_pci_irq_pin (int irq, int type)
    
29. {
    
30.         int i;
    
31. 
    
32.         for (i = 0; i < mp_irq_entries; i++) {
    
33.                 int lbus;
    
34.                
    
35.                 lbus = mp_irqs[i].mpc_srcbus;
    
36. 
    
37.                 if (mp_bus_id_to_type[lbus]  == MP_BUS_PCI
    
38.                  && mp_irqs[i].mpc_irqtype   == type
    
39.                  && mp_irqs[i].mpc_srcbusirq == irq)        /* defined in this way */
    
40.                         return mp_irqs[i].mpc_dstirq;        /* and its pin */
    
41.         }
    
42.         return -1;
    
43. }
    
44. 
    
45. /*
    
46. * Find a specific PCI IRQ entry
    
47. *
    
48. *********************************************
    
49. * Not an __init, possibly needed by modules *  
    
50. *********************************************
    
51. *
    
52. * linux从不决人后路，如果Solaris敢放马开放，
    
53. * linux充分吸收后，就没有吸引用户的必要了，请鳖揭开面纱。
    
54. */
    
55. 
    
56. int IO_APIC_get_PCI_irq_vector (int bus, int slot, int pin)
    
57. {
    
58.         int apic, i, best_guess = -1;
    
59. 
    
60.         apic_printk(APIC_DEBUG, "querying PCI -> IRQ mapping bus%d, "
    
61.                 "slot%d, pin%d\n", bus, slot, pin);
    
62.        
    
63.         if (mp_bus_id_to_pci_bus[bus] == -1) {
    
64.                 printk(KERN_WARNING
    
65.                         "PCI BIOS passed nonexistent PCI bus%d!\n", bus);
    
66.                 return -1;
    
67.         }
    
68. 
    
69.         for (i = 0; i < mp_irq_entries; i++) {
    
70.                 int lbus = mp_irqs[i].mpc_srcbus;
    
71. 
    
72.                 for (apic = 0; apic < nr_ioapics; apic++) {
    
73.                         /*
    
74.                          * determine IRQ controler
    
75.                          */
    
76.                         if (mp_irqs[i].mpc_dstapic == mp_ioapics[apic].mpc_apicid
    
77.                          || mp_irqs[i].mpc_dstapic == MP_APIC_ALL)
    
78.                                 break;
    
79.                 }
    
80. 
    
81.                 if (mp_bus_id_to_type[lbus] == MP_BUS_PCI
    
82.                  && !mp_irqs[i].mpc_irqtype /* need confirm */
    
83.                  && bus == lbus                /* both bus and slot match */
    
84.                  && slot == (mp_irqs[i].mpc_srcbusirq >> 2) & 0x1f) {
    
85.                         int irq;
    
86.                        
    
87.                         irq = pin_2_irq(i, apic, mp_irqs[i].mpc_dstirq);
    
88.                         if (!(apic || IO_APIC_IRQ(irq)))
    
89.                                 continue;
    
90.                         /*
    
91.                          * and pin match
    
92.                          */
    
93.                         if (pin == (mp_irqs[i].mpc_srcbusirq & 3))
    
94.                                 return irq;
    
95. 
    
96.                         /*
    
97.                          * Use the first all-but-pin matching entry as a
    
98.                          * best-guess fuzzy result for broken mptables.
    
99.                          */
    
100.                         if (best_guess < 0)
     
101.                                 best_guess = irq;
     
102.                 }
     
103.         }
     
104.         return best_guess;
     
105. }
     
106. /*
     
107. * irq of pci_bus:slot.dev is determined in IOAPIC space
     
108. * 1, to which controler connected and pin?
     
109. * 2, irq = controler_nr * nr_irte + pin
     
110. * limited currently by
     
111. *        256 vector per cpu
     
112. *        128 controler
     
113. *         24 irte per controler
     
114. *
     
115. * irt<-->LAPIC mapping can also be programmed,
     
116. * goto see set_ioapic_affinity_irq(irq, TARGET_CPUS) and
     
117. * balanced_irq_init()
     
118. *
     
119. * the major purpose of MADT maybe tell OS controler and pin,
     
120. * irq can be re-cfged.
     
121. * no problem, ok.
     
122. */
     
123. static int pin_2_irq (int idx, int apic, int pin)
     
124. {
     
125.         int irq, i;
     
126.         int bus = mp_irqs[idx].mpc_srcbus;
     
127.         /*
     
128.          * Debugging check, we are in big trouble if this message pops up!
     
129.          */
     
130.         if (mp_irqs[idx].mpc_dstirq != pin)
     
131.                 printk(KERN_ERR "broken BIOS or MPTABLE parser in pin_2_irq, ayiee!!\n");
     
132. 
     
133.         switch (mp_bus_id_to_type[bus])
     
134.         {
     
135.                 case MP_BUS_ISA: /* ISA pin */
     
136.                 case MP_BUS_EISA:
     
137.                 case MP_BUS_MCA:
     
138.                 {
     
139.                         irq = mp_irqs[idx].mpc_srcbusirq;
     
140.                         break;
     
141.                 }
     
142.                 case MP_BUS_PCI: /* PCI pin */
     
143.                 {
     
144.                         /*
     
145.                          * PCI IRQs are mapped in order
     
146.                          */
     
147.                         i = irq = 0;
     
148.                         while (i < apic)
     
149.                                 irq += nr_ioapic_registers[i++];
     
150.                         irq += pin;
     
151.                         /*
     
152.                          * For MPS mode, so far only needed by ES7000 platform
     
153.                          */
     
154.                         if (ioapic_renumber_irq)
     
155.                                 irq = ioapic_renumber_irq(apic, irq);
     
156.                         break;
     
157.                 }
     
158.                 default:
     
159.                 {
     
160.                         printk(KERN_ERR "unknown bus type %d in pin_2_irq\n",bus);
     
161.                         irq = 0;
     
162.                         break;
     
163.                 }
     
164.         }
     
165.         /*
     
166.          * PCI IRQ command line redirection.
     
167.          * Yes, limits are hardcoded.
     
168.          */
     
169.         if (pin >= 16 && pin <= 23) {
     
170.                 if (pirq_entries[pin -16] != -1) {
     
171.                         if (!pirq_entries[pin -16]) {
     
172.                                 apic_printk(APIC_VERBOSE, KERN_DEBUG
     
173.                                         "disabling PIRQ%d\n", pin -16);
     
174.                         } else {
     
175.                                 irq = pirq_entries[pin -16];
     
176.                                 apic_printk(APIC_VERBOSE, KERN_DEBUG
     
177.                                         "using PIRQ%d -> IRQ %d\n", pin -16, irq);
     
178.                         }
     
179.                 }
     
180.         }
     
181.         return irq;
     
182. }
     
183. 
     

复制代码

sisi8408

1. 
   
2. part-5 IRQ attr: trigger/polarity
   
3. 
   
4. /*
   
5. * 不仅变化快，还很复杂，
   
6. *  trigger: edge/level
   
7. *  polarity: high/low
   
8. */
   
9. 
   
10. /*
    
11. * check irq is level or edge
    
12. */
    
13. static inline int IO_APIC_irq_trigger (int irq)
    
14. {
    
15.         int apic, idx, pin;
    
16. 
    
17.         for (apic = 0; apic < nr_ioapics; apic++) {
    
18.                 for (pin = 0; pin < nr_ioapic_registers[apic]; pin++) {
    
19.                         idx = find_irq_entry(apic, pin, mp_INT);
    
20.                         if (idx != -1
    
21.                          && irq == pin_2_irq(idx, apic, pin))
    
22.                                 return irq_trigger(idx);
    
23.                 }
    
24.         }
    
25.         /*
    
26.          * nonexistent IRQs are edge default
    
27.          */
    
28.         return 0;
    
29. }
    

复制代码

sisi8408

1. 
   
2. part-6 vector[IRQ]
   
3. 
   
4. /*
   
5. * irq_vectors is indexed by the sum of all RTEs in all I/O APICs
   
6. */
   
7. static u8 irq_vector[NR_IRQ_VECTORS] __read_mostly = { FIRST_DEVICE_VECTOR , 0 };
   
8. 
   
9. static int __assign_irq_vector (int irq)
   
10. {
    
11.         static int current_vector = FIRST_DEVICE_VECTOR;
    
12.         static int current_offset = 0;
    
13.         int vector, offset, i;
    
14. 
    
15.         BUG_ON((unsigned)irq >= NR_IRQ_VECTORS);
    
16. 
    
17.         if (irq_vector[irq] > 0)        /* shared irq */
    
18.                 return irq_vector[irq];
    
19. 
    
20.         vector = current_vector;
    
21.         offset = current_offset;
    
22. next:
    
23.         vector += 8;
    
24.         if (vector >= FIRST_SYSTEM_VECTOR) {
    
25.                 offset = (offset + 1) % 8;
    
26.                 /*
    
27.                  * the vector of pci-irq has to
    
28.                  * be larger than FIRST_DEVICE_VECTOR,
    
29.                  * imposed by Intel
    
30.                  */
    
31.                 vector = FIRST_DEVICE_VECTOR + offset;
    
32.         }
    
33.         if (vector == current_vector)
    
34.                 return -ENOSPC;
    
35. 
    
36.         if (vector == SYSCALL_VECTOR)
    
37.                 goto next;
    
38. 
    
39.         for (i = 0; i < NR_IRQ_VECTORS; i++)
    
40.                 if (irq_vector[i] == vector)
    
41.                         goto next;
    
42. 
    
43.         current_vector = vector;
    
44.         current_offset = offset;
    
45. 
    
46.         irq_vector[irq] = vector;
    
47.         return vector;
    
48. }
    
49. 
    
50. static struct irq_chip        ioapic_chip;
    
51. 
    
52. #define IOAPIC_AUTO        -1
    
53. #define IOAPIC_EDGE         0
    
54. #define IOAPIC_LEVEL         1
    
55. 
    
56. static void ioapic_register_intr (int irq, int vector, unsigned long trigger)
    
57. {
    
58.         if ((trigger == IOAPIC_AUTO && IO_APIC_irq_trigger(irq))
    
59.           || trigger == IOAPIC_LEVEL)
    
60.                 set_irq_chip_and_handler_name(irq, &ioapic_chip,
    
61.                                  handle_fasteoi_irq, "fasteoi");
    
62.         else
    
63.                 set_irq_chip_and_handler_name(irq, &ioapic_chip,
    
64.                                  handle_edge_irq, "edge");
    
65. 
    
66.         set_intr_gate(vector, interrupt[irq]);
    
67. }
    
68. /* and put all together through
    
69. * __ioapic_write_entry(apic, pin, entry);
    
70. */
    
71. static void __init setup_IO_APIC_irqs (void);
    
72. 
    
73. /*
    
74. * finally setup
    
75. * struct irq_chip msi_chip, lapic_chip and ioapic_chip
    
76. * for use by struct irq_desc,
    
77. * the nut of linux abstract core of IRQ subsystem
    
78. */
    
79. [homework]
    
80. 1, howto make pci-dev irqs unshared??
    
81. 2, is IT from independent thought??
    
82. [/homework]
    
83. 
    

复制代码

sisi8408

1. 
   
2. #ifdef CONFIG_SMP
   
3. /*
   
4. * linux-2.6.22.5/arch/i386/kernel/io_apic.c
   
5. * 2007-12-16 10:18
   
6. * ￥1
   
7. */
   
8. static void set_msi_irq_affinity (unsigned int irq, cpumask_t mask)
   
9. {
   
10.         struct msi_msg msg;
    
11.         unsigned int dest;
    
12.         cpumask_t tmp;
    
13.         int vector;
    
14. 
    
15.         cpus_and(tmp, mask, cpu_online_map);
    
16.         if (cpus_empty(tmp))
    
17.                 tmp = TARGET_CPUS;
    
18.         /*
    
19.          * though tmp checked, but not used anymore.
    
20.          * the following `mask' should be tmp
    
21.          *
    
22.          * mask = tmp;
    
23.          */
    
24.         vector = assign_irq_vector(irq);
    
25.         if (vector < 0)
    
26.                 return;
    
27. 
    
28.         dest = cpu_mask_to_apicid(mask);
    
29. 
    
30.         read_msi_msg(irq, &msg);
    
31. 
    
32.         msg.data &= ~MSI_DATA_VECTOR_MASK;
    
33.         msg.data |= MSI_DATA_VECTOR(vector);
    
34. 
    
35.         msg.address_lo &= ~MSI_ADDR_DEST_ID_MASK;
    
36.         msg.address_lo |= MSI_ADDR_DEST_ID(dest);
    
37. 
    
38.         write_msi_msg(irq, &msg);
    
39.         irq_desc[irq].affinity = mask;
    
40. }
    
41. #endif
    

复制代码

sisi8408

1. 
   
2. /* linux-2.6.22.5/arch/x86_64/kernel/mpparse.c
   
3. * 2007-12-16 19:20
   
4. * ￥1
   
5. */
   
6. static void __init MP_ioapic_info (struct mpc_config_ioapic *m)
   
7. {
   
8.         if (!(m->mpc_flags & MPC_APIC_USABLE))
   
9.                 return;
   
10. 
    
11.         printk("I/O APIC #%d at 0x%X.\n",
    
12.                 m->mpc_apicid, m->mpc_apicaddr);
    
13. 
    
14.         if (bad_ioapic(m->mpc_apicaddr))
    
15.                 return;
    
16. /*
    
17.         printk("I/O APIC #%d at 0x%X",
    
18.                 m->mpc_apicid, m->mpc_apicaddr);
    
19. 
    
20.         if (bad_ioapic(m->mpc_apicaddr)) {
    
21.                 printk(" bad\n");
    
22.                 return;
    
23.         } else
    
24.                 printk("\n");
    
25. */
    
26.         mp_ioapics[nr_ioapics] = *m;
    
27.         nr_ioapics++;
    
28. }
    
29. 
    

复制代码

sisi8408

1. 
   
2. /* linux-2.6.22.5/include/linux/skbuff.h
   
3. * 2007-12-19 20:52
   
4. * ￥1
   
5. */
   
6. static inline int pskb_may_pull(struct sk_buff *skb, unsigned int len)
   
7. {
   
8.         if (likely(len <= skb_headlen(skb))) {
   
9.                 /*
   
10.                  * howto sure skb->data += len not overflow ?
    
11.                  */
    
12.                 return 1;
    
13.         }
    
14.         if (unlikely(len > skb->len))
    
15.                 return 0;
    
16.         return __pskb_pull_tail(skb, len-skb_headlen(skb)) != NULL;
    
17. }
    

复制代码

sisi8408

1. 
   
2. /*
   
3.   linux-2.6.22.5/kernel/workqueue.c
   
4.   2007-12-22 9:19
   
5. */
   
6. struct workqueue_struct *__create_workqueue(const char *name,
   
7.                                             int singlethread, int freezeable)
   
8. {
   
9.         struct workqueue_struct *wq;
   
10.         struct cpu_workqueue_struct *cwq;
    
11.         int err = 0, cpu;
    
12. 
    
13.         wq = kzalloc(sizeof(*wq), GFP_KERNEL);
    
14.         if (!wq)
    
15.                 return NULL;
    
16. 
    
17.         wq->cpu_wq = alloc_percpu(struct cpu_workqueue_struct);
    
18.         if (!wq->cpu_wq) {
    
19.                 kfree(wq);
    
20.                 return NULL;
    
21.         }
    
22. 
    
23.         wq->name = name;
    
24.         wq->singlethread = singlethread;
    
25.         wq->freezeable = freezeable;
    
26.         INIT_LIST_HEAD(&wq->list);
    
27. 
    
28.         if (singlethread) {
    
29.                 cwq = init_cpu_workqueue(wq, singlethread_cpu);
    
30.                 err = create_workqueue_thread(cwq, singlethread_cpu);
    
31.                 start_workqueue_thread(cwq, -1);
    
32.         } else {
    
33.                 mutex_lock(&workqueue_mutex);
    
34.                 list_add(&wq->list, &workqueues);
    
35. 
    
36.                 for_each_possible_cpu(cpu) {
    
37.                         cwq = init_cpu_workqueue(wq, cpu);
    
38.                         /*
    
39.                         if (!cpu_online(cpu))
    
40.                                 continue;
    
41.                         if (err)
    
42.                                 break;
    
43.                         */
    
44.                         if (err || !cpu_online(cpu))
    
45.                                 continue;
    
46.                         err = create_workqueue_thread(cwq, cpu);
    
47.                         start_workqueue_thread(cwq, cpu);
    
48.                 }
    
49.                 mutex_unlock(&workqueue_mutex);
    
50.         }
    
51. 
    
52.         if (err) {
    
53.                 destroy_workqueue(wq);
    
54.                 wq = NULL;
    
55.         }
    
56.         return wq;
    
57. }
    

复制代码

sisi8408

1. 
   
2. /*
   
3.   linux-2.6.22.5/net/netfilter/nf_conntrack_proto_tcp.c
   
4.   2007-12-22 10:38
   
5.   ￥6
   
6.   howto crash netfilter with TCP SYN packet, possible?
   
7. */
   
8. static int tcp_error(struct sk_buff *skb,
   
9.                      unsigned int dataoff,
   
10.                      enum ip_conntrack_info *ctinfo,
    
11.                      int pf,
    
12.                      unsigned int hooknum)
    
13. {
    
14.         struct tcphdr _tcph, *th;
    
15.         unsigned int tcplen = skb->len - dataoff;
    
16.         u_int8_t tcpflags;
    
17. 
    
18.         /* Smaller that minimal TCP header? */
    
19.         th = skb_header_pointer(skb, dataoff, sizeof(_tcph), &_tcph);
    
20.         if (th == NULL) {
    
21.                 if (LOG_INVALID(IPPROTO_TCP))
    
22.                         nf_log_packet(pf, 0, skb, NULL, NULL, NULL,
    
23.                                 "nf_ct_tcp: short packet ");
    
24.                 return -NF_ACCEPT;
    
25.         }
    
26. 
    
27.         /* Not whole TCP header or malformed packet */
    
28.         if (th->doff*4 < sizeof(struct tcphdr)
    
29.             || tcplen < th->doff*4) {
    
30. [color=Red]                /*
    
31.                  * 其一 隐患;/
    
32.                  * TCP头长大于60字节是合法的 8-(:
    
33.                  */
    
34. [/color]                if (LOG_INVALID(IPPROTO_TCP))
    
35.                         nf_log_packet(pf, 0, skb, NULL, NULL, NULL,
    
36.                                 "nf_ct_tcp: truncated/malformed packet ");
    
37.                 return -NF_ACCEPT;
    
38.         }
    
39. 
    
40.         /* Checksum invalid? Ignore.
    
41.          * We skip checking packets on the outgoing path
    
42.          * because the checksum is assumed to be correct.
    
43.          */
    
44.         /* FIXME: Source route IP option packets --RR */
    
45.         if (nf_conntrack_checksum &&
    
46.             ((pf == PF_INET && hooknum == NF_IP_PRE_ROUTING) ||
    
47.              (pf == PF_INET6 && hooknum == NF_IP6_PRE_ROUTING)) &&
    
48.             nf_checksum(skb, hooknum, dataoff, IPPROTO_TCP, pf)) {
    
49.                 if (LOG_INVALID(IPPROTO_TCP))
    
50.                         nf_log_packet(pf, 0, skb, NULL, NULL, NULL,
    
51.                                   "nf_ct_tcp: bad TCP checksum ");
    
52.                 return -NF_ACCEPT;
    
53.         }
    
54. 
    
55.         /* Check TCP flags. */
    
56.         tcpflags = (((u_int8_t *)th)[13] & ~(TH_ECE|TH_CWR|TH_PUSH));
    
57.         if (!tcp_valid_flags[tcpflags]) {
    
58.                 if (LOG_INVALID(IPPROTO_TCP))
    
59.                         nf_log_packet(pf, 0, skb, NULL, NULL, NULL,
    
60.                                   "nf_ct_tcp: invalid TCP flag combination ");
    
61.                 return -NF_ACCEPT;
    
62.         }
    
63.         return NF_ACCEPT;
    
64. }
    
65. 
    
66. static void tcp_options(const struct sk_buff *skb,
    
67.                         unsigned int dataoff,
    
68.                         struct tcphdr *tcph,
    
69.                         struct ip_ct_tcp_state *state)
    
70. {
    
71.         unsigned char buff[(15 * 4) - sizeof(struct tcphdr)];
    
72.         unsigned char *ptr;
    
73.         int length = (tcph->doff*4) - sizeof(struct tcphdr);
    
74.         /*
    
75.          * length可以大于40;/
    
76.          * but sizeof(buff) = 40
    
77.          */
    
78.         if (!length)
    
79.                 return;
    
80. 
    
81.         ptr = skb_header_pointer(skb, dataoff + sizeof(struct tcphdr),
    
82.                                  length, buff);
    
83. [color=Red]        /*
    
84.          * 其二 buff可能overflow
    
85.          */
    
86. [/color]        BUG_ON(ptr == NULL);
    
87. 
    
88.         state->td_scale = state->flags = 0;
    
89. 
    
90.         while (length > 0) {
    
91.                 int opcode = *ptr++;
    
92.                 int opsize;
    
93. 
    
94.                 switch (opcode) {
    
95.                 case TCPOPT_EOL:
    
96.                         return;
    
97.                
    
98.                 case TCPOPT_NOP:        /* Ref: RFC 793 section 3.1 */
    
99.                         length--;
    
100.                         continue;
     
101.                
     
102.                 default:
     
103.                         opsize = *ptr++;
     
104.                        
     
105.                         if (opsize < 2) /* "silly options" */
     
106.                                 return;
     
107.                        
     
108.                         if (opsize > length)
     
109.                                 break;        /* don't parse partial options */
     
110. 
     
111.                         if (opcode == TCPOPT_SACK_PERM
     
112.                             && opsize == TCPOLEN_SACK_PERM) {
     
113.                                 state->flags |= IP_CT_TCP_FLAG_SACK_PERM;
     
114.                         }
     
115.                         else if (opcode == TCPOPT_WINDOW
     
116.                                  && opsize == TCPOLEN_WINDOW) {
     
117.                                 state->td_scale = *(u_int8_t *)ptr;
     
118. 
     
119.                                 if (state->td_scale > 14) {
     
120.                                         /* See RFC1323 */
     
121.                                         state->td_scale = 14;
     
122.                                 }
     
123.                                 state->flags |= IP_CT_TCP_FLAG_WINDOW_SCALE;
     
124.                         }
     
125.                         ptr += opsize - 2;
     
126.                         length -= opsize;
     
127.                 }
     
128.         }
     
129. }
     
130. 
     
131. static inline void * skb_header_pointer (const struct sk_buff *skb,
     
132.                                          int offset, int len, void *buffer)
     
133. { /* in <linux/skbuff.h> */
     
134.        
     
135.         int hlen = skb_headlen(skb);
     
136. 
     
137.         if (hlen - offset >= len)
     
138.                 return skb->data + offset;
     
139. [color=Red]        /*
     
140.          * 其三  如果是大SYN包，使得skb_copy_bits被调用了，
     
141.          * if (len > 40 bytes)
     
142.          *        buffer overflow;
     
143.          *
     
144.          * 但是，netfilter看到的包都是整合过的，
     
145.          * 这样的机会几乎没有，要看ipfrag reasm的结果
     
146.          */
     
147. [/color]        if (skb_copy_bits(skb, offset, buffer, len) < 0)
     
148.                 return NULL;
     
149. 
     
150.         return buffer;
     
151. }
     
152. int skb_copy_bits(const struct sk_buff *skb, int offset, void *to, int len)
     
153. {
     
154.         int i, copy;
     
155.         int start = skb_headlen(skb);
     
156. 
     
157.         if (offset > (int)skb->len - len)
     
158.                 goto fault;
     
159. 
     
160.         /* Copy header. */
     
161.         if ((copy = start - offset) > 0) {
     
162.                 if (copy > len)
     
163.                         copy = len;
     
164.                 /*
     
165.                   这里没有check len，
     
166.                   而是默认len <= sizeof(to)
     
167.                 */
     
168.                 skb_copy_from_linear_data_offset(skb, offset, to, copy);
     
169.                 if ((len -= copy) == 0)
     
170.                         return 0;
     
171.                 offset += copy;
     
172.                 to     += copy;
     
173.         }
     
174.         ...
     
175. }
     
176. void * memcpy(void *dest, const void *src, size_t count)
     
177. {
     
178. /*
     
179.    C版的memcpy in lib/string.c
     
180. 
     
181.    memcpy没有检测overflow的义务;/
     
182. */
     
183.         char *tmp = dest;
     
184.         const char *s = src;
     
185. 
     
186.         while (count--)
     
187.                 *tmp++ = *s++;
     
188.         return dest;
     
189. }
     
190. 
     
191. static struct sk_buff * ip_frag_reasm (struct ipq *qp, struct net_device *dev)
     
192. { /* net/ipv4/ip_fragment.c */
     
193.        
     
194.         struct iphdr *iph;
     
195.         struct sk_buff *fp, *head = qp->fragments;
     
196.         int len;
     
197.         int ihlen;
     
198. 
     
199.         ipq_kill(qp);
     
200. 
     
201.         BUG_TRAP(head != NULL);
     
202.         BUG_TRAP(FRAG_CB(head)->offset == 0);
     
203. 
     
204.         /* Allocate a new buffer for the datagram. */
     
205.         ihlen = ip_hdrlen(head);
     
206.         len = ihlen + qp->len;
     
207. 
     
208.         if (len > 65535)
     
209.                 goto out_oversize;
     
210. 
     
211.         /* Head of list must not be cloned. */
     
212.         if (skb_cloned(head) && pskb_expand_head(head, 0, 0, GFP_ATOMIC))
     
213.                 goto out_nomem;
     
214. 
     
215.         /* If the first fragment is fragmented itself, we split
     
216.          * it to two chunks: the first with data and paged part
     
217.          * and the second, holding only fragments. */
     
218.         if (skb_shinfo(head)->frag_list) {
     
219.                 struct sk_buff *clone;
     
220.                 int i, plen = 0;
     
221. 
     
222.                 if ((clone = alloc_skb(0, GFP_ATOMIC)) == NULL)
     
223.                         goto out_nomem;
     
224.                 clone->next = head->next;
     
225.                 head->next = clone;
     
226.                 skb_shinfo(clone)->frag_list = skb_shinfo(head)->frag_list;
     
227.                 skb_shinfo(head)->frag_list = NULL;
     
228.                 for (i=0; i<skb_shinfo(head)->nr_frags; i++)
     
229.                         plen += skb_shinfo(head)->frags[i].size;
     
230.                 clone->len = clone->data_len = head->data_len - plen;
     
231.                 head->data_len -= clone->len;
     
232.                 head->len -= clone->len;
     
233.                 clone->csum = 0;
     
234.                 clone->ip_summed = head->ip_summed;
     
235.                 atomic_add(clone->truesize, &ip_frag_mem);
     
236.         }
     
237. 
     
238.         skb_shinfo(head)->frag_list = head->next;
     
239. [color=Red]        /*
     
240.          * 其四  linux skb精巧的设计，可以方便地处理大包 &)
     
241.          *
     
242.          * 在这里没有实施linearize，性能可佳。
     
243.          */
     
244. [/color]        skb_push(head, head->data - skb_network_header(head));
     
245.         atomic_sub(head->truesize, &ip_frag_mem);
     
246. 
     
247.         for (fp = head->next; fp; fp = fp->next) {
     
248.                 head->data_len += fp->len;
     
249. [color=Red]                /*
     
250.                  * 由于没有linearize操作，
     
251.                  * 虽然总包长要求len < 65535 byte,
     
252.                  * 首包长确可以是
     
253.                  * 82byte = 20byte<IP> + 60byte<TCP> + 2byte<trash>
     
254.                  *
     
255.                  * 所以 tcp->doff*4 = 88byte,
     
256.                  * 将迫使skb_header_pointer调用skb_copy_bits，
     
257.                  * 结果导致40byte的buff overflow
     
258.                  */
     
259. [/color]                head->len += fp->len;
     
260.                
     
261.                 if (head->ip_summed != fp->ip_summed)
     
262.                         head->ip_summed = CHECKSUM_NONE;
     
263.                 else if (head->ip_summed == CHECKSUM_COMPLETE)
     
264.                         head->csum = csum_add(head->csum, fp->csum);
     
265.                
     
266.                 head->truesize += fp->truesize;
     
267.                 atomic_sub(fp->truesize, &ip_frag_mem);
     
268.         }
     
269. 
     
270.         head->next = NULL;
     
271.         head->dev = dev;
     
272.         head->tstamp = qp->stamp;
     
273. 
     
274.         iph = ip_hdr(head);
     
275.         iph->frag_off = 0;
     
276.         iph->tot_len = htons(len);
     
277.         IP_INC_STATS_BH(IPSTATS_MIB_REASMOKS);
     
278.         qp->fragments = NULL;
     
279.         return head;
     
280. 
     
281. out_nomem:
     
282.         LIMIT_NETDEBUG(KERN_ERR "IP: queue_glue: no memory for gluing "
     
283.                               "queue %p\n", qp);
     
284.         goto out_fail;
     
285. out_oversize:
     
286.         if (net_ratelimit())
     
287.                 printk(KERN_INFO
     
288.                         "Oversized IP packet from %d.%d.%d.%d.\n",
     
289.                         NIPQUAD(qp->saddr));
     
290. out_fail:
     
291.         IP_INC_STATS_BH(IPSTATS_MIB_REASMFAILS);
     
292.         return NULL;
     
293. }
     

复制代码

[ 本帖最后由 sisi8408 于 2007-12-22 14:42 编辑 ]