Héberger un site web sur un microcontrôleur 8 bits

• Un site web a été hébergé uniquement avec un MCU 8 bits AVR64DD32, dans un environnement minuscule avec un CPU à 24 MHz, 8 KB de RAM et 64 KB de Flash
• Comme générer directement un signal Ethernet est trop exigeant, même pour du 10BASE-T, une liaison USB-série est utilisée comme interface réseau via SLIP, pris en charge par Linux
• SLIP est une méthode simple qui encapsule les paquets avec 0xC0 et échappe les octets spéciaux, ce qui convient bien à la connexion entre un MCU et un Linux moderne
• L'IP a pu être simplifié grâce à la désactivation de la fragmentation, mais l'implémentation TCP a demandé plusieurs jours en raison de la gestion d'état des connexions, des retransmissions et des cas d'exception, avec encore quelques bugs restants
• L'accès externe repose sur une structure de contournement avec VPS, WireGuard et proxy qui ne transmet que les requêtes vers /mcu, les coûts de l'IPv4 public et l'absence d'IPv6 apparaissant comme les principales limites

Configuration utilisée pour héberger un site web sur un AVR 8 bits

• L'AVR64DD32 est un MCU 8 bits de la famille AVR, proche de l'Atmega328 connu via Arduino, mais moins cher à capacité mémoire égale, avec une broche de programmation unique et de meilleurs périphériques
  • Cœur AVR 8 bits unique jusqu'à 24 MHz
  • 8 KB de RAM statique, 64 KB de Flash, 256 octets d'EEPROM
  • Plage de tension de 1,8 à 5,5 V, prix autour de $1 à $2
• Pour connecter directement le MCU à Internet, il faudrait générer un signal Ethernet, mais même le 10BASE-T, pourtant le plus lent, reste trop rapide dans cet environnement
  • Le 10BASE-T fonctionne à 10 Mbit/s, et avec l'encodage Manchester cela revient à 20 Mbit sur la ligne physique
  • Le CPU de l'AVR64DD32 peut monter à 24 MHz, mais les périphériques et les broches d'E/S sont limités à une horloge maximale de 12 MHz, ce qui rend la génération directe du signal difficile
  • La méthode classique consisterait à utiliser une puce Ethernet dédiée, mais il aurait fallu attendre plusieurs semaines pour terminer le projet
• Une alternative consiste à utiliser SLIP (Serial Line Internet Protocol, RFC 1055) pour faire passer le réseau sur une liaison série
  • Les paquets sont encadrés par des octets 0xC0
  • Dans un paquet, 0xC0 devient 0xDB 0xDC, et 0xDB existant devient 0xDB 0xDD, afin d'éviter toute ambiguïté
  • Cela prolonge l'approche des anciens modems RTC, qui créaient une liaison série sur la ligne téléphonique et laissaient l'ordinateur gérer le réseau au-dessus
  • Les Linux modernes prennent toujours en charge SLIP, ce qui permet de transformer un adaptateur USB-série en interface réseau
  • Exemple d'utilisation : stty -F /dev/ttyUSB0 115200 raw cs8, slattach -m -F -L -p slip /dev/ttyUSB0
• Côté matériel, le montage MCU est simple et fonctionne même sans composants externes
  • www.c : code source
  • www.elf : binaire précompilé
  • Une LED et une diode de protection contre l'inversion d'alimentation ont été ajoutées
  • La consommation n'est que de quelques mW, ce qui permet d'alimenter le serveur uniquement via le rail 5 V de l'adaptateur USB-série

Implémentation des protocoles et gestion de l'accès public

• L'implémentation IP a été simplifiée grâce aux contraintes de l'environnement moderne
  • Pour qu'une page web atteigne l'ordinateur d'un utilisateur, les paquets doivent traverser plusieurs réseaux et chaque paquet a besoin d'un en-tête IP de 40 octets contenant notamment les adresses source et destination
  • L'ancien IP demandait beaucoup de mémoire pour gérer correctement des fonctions comme la fragmentation des paquets
  • Les systèmes d'exploitation modernes désactivent la fragmentation, et IPv6 l'a supprimée, ce qui évite de devoir la gérer directement
  • Il suffit d'inverser la source et la destination du paquet reçu et de réinitialiser le compteur TTL pour construire l'en-tête de réponse
• L'implémentation TCP est bien plus difficile, car elle impose de suivre l'état des connexions, de retransmettre les paquets perdus et de gérer divers cas particuliers
  • Il a fallu plusieurs jours pour que cette implémentation TCP maison fonctionne suffisamment bien, et quelques bugs subsistent encore
  • HTTP n'a pas été implémenté séparément : le serveur envoie toujours une « réponse » codée en dur au client
  • Pour un site à URL unique, cette approche suffit
  • Le chargement peut être vu dans Video 3
• L'accès externe nécessite une adresse IPv4 publique routable, mais son coût et la qualité de la connexion Internet domestique posent problème
  • La machine disposant d'une adresse publiquement routable est un VPS dans un datacenter près d'Helsinki
  • WireGuard sous Linux sert à créer une liaison réseau virtuelle sur Internet, qui fonctionne même si l'un des côtés est derrière un CGNAT
  • Le boîtier routeur Linux se connecte au VPS pour obtenir une connectivité Internet plus adaptée
• Le MCU n'a toujours pas sa propre IP publique, donc transférer toutes les requêtes vers l'adresse du VPS casserait le site web existant
  • À la place, le serveur est configuré pour ne proxyfier vers le serveur MCU que les requêtes sous /mcu, en utilisant un bloc d'adresses local
  • Les visiteurs ne se connectent donc pas directement à la pile TCP/IP du MCU, mais cela fonctionne selon le même principe que Vape Server
  • Cela rend les attaques par paquets SYN un peu plus difficiles, mais comme le serveur fonctionne en pratique sur une liaison proche du RTC, il reste vulnérable au DDoS
• L'absence d'IPv6 reste la cause fondamentale de toute cette architecture de contournement
  • IPv6 existe depuis 30 ans, mais reste encore inaccessible pour la plupart des gens
  • /mcu : page hébergée sur le MCU
  • http://ewaste.fka.wtf/ : Vape Server hébergé sur un MCU 32 bits récupéré dans des déchets électroniques
  • https://lcamtuf.substack.com/p/psa-if-youre-a-fan-of-atmega-try : article de lcamtuf sur la gamme AVR Dx