緩存溢出的介紹與防護(hù)

1、緩存溢出的介紹與防護(hù) 一、緩存溢出的概念緩存溢出( Buffer Overflow )又稱為緩沖區(qū)溢出。在這里先了解 一下什么是緩沖區(qū)。緩沖區(qū)是指一個(gè)程序的記憶范圍(領(lǐng)域) ，該范圍是用來(lái)儲(chǔ)存一 些數(shù)據(jù)，如電腦程序信息、 中間計(jì)算結(jié)果或者輸入的參數(shù)等，把數(shù)據(jù) 調(diào)入緩沖區(qū)之前， 程序應(yīng)該驗(yàn)證緩沖區(qū)有足夠的長(zhǎng)度以容納所有這些 調(diào)入的數(shù)據(jù)。 否則數(shù)據(jù)將溢出緩沖區(qū)并覆寫在鄰近的數(shù)據(jù)上， 當(dāng)它運(yùn) 行時(shí)就如同改寫了程序。 假如溢出的數(shù)據(jù)是隨意的， 那它就不是有效 的程序代碼，當(dāng)它試圖執(zhí)行這些隨意數(shù)據(jù)時(shí)，程序就會(huì)失敗。另一方 面，假如數(shù)據(jù)是有效的程序代碼， 程序?qū)?huì)按照數(shù)據(jù)提供者所設(shè)定的 要求執(zhí)行代碼和新的

2、功能。 緩沖區(qū)溢出是一個(gè)非常普遍、 非常危險(xiǎn)的 漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。以緩沖區(qū)溢出為類型 的安全漏洞是最為常見的一種漏洞， 也因此對(duì)緩沖區(qū)溢出漏洞的攻擊 占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)。緩存溢出就是將一個(gè)超過(guò)緩沖區(qū)長(zhǎng)度的字符未置入緩沖區(qū)的結(jié) 果，而向一個(gè)有限空間的緩沖區(qū)中置人過(guò)長(zhǎng)的字符串可能會(huì)帶來(lái)兩種 后果，一是過(guò)長(zhǎng)的字符率覆蓋了相鄰的存儲(chǔ)單元引起程序運(yùn)行失敗， 嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰； 另一種后果是利用這種漏洞可以執(zhí)行任意指 令甚至可以取得系統(tǒng)特權(quán)由此而引發(fā)了許多種攻擊方法。很多時(shí)候， 入侵者甚至可以通過(guò)這樣的方法來(lái)完全控制被入侵的電腦。二、緩存溢出的原理眾所周知，c語(yǔ)言是不進(jìn)

3、行數(shù)組的邊界檢查的。在許多運(yùn)用c語(yǔ)言實(shí)現(xiàn)的應(yīng)用程序中， 都會(huì)假定緩沖區(qū)的大小是足夠的，其容量肯定大于要拷貝的字符串的長(zhǎng)度。 然而事實(shí)上并不總是這樣， 當(dāng)程序出錯(cuò) 或者惡意的用戶故意輸入一過(guò)長(zhǎng)酌字符串時(shí)， 便有許多意想不到的事 情發(fā)生，超過(guò)的那部分字符將會(huì)覆蓋與數(shù)組相鄰的其他變量的空間， 使變量出現(xiàn)不可預(yù)料的值。 如果碰巧數(shù)組與子程序的返回地址是鄰近 時(shí)，便有可能由于超出的一部分字符串覆蓋了子程序的返回地址， 而 使得子程序執(zhí)行完畢返回時(shí)轉(zhuǎn)向了另一個(gè)無(wú)法預(yù)料的地址， 使程序的 執(zhí)行流程發(fā)生了錯(cuò)誤。 甚至，由于應(yīng)用程序訪問(wèn)了不在進(jìn)程地址空間 范圍的地址， 而使進(jìn)程發(fā)生違例的故障。 這種錯(cuò)誤其實(shí)是編

4、程中經(jīng)常 會(huì)犯到的錯(cuò)誤。例如代碼：void function(char str)char buffer 16；strcpy(bu:ffer ， str)；上面的strcpy()將直接把str中的內(nèi)容copy到buffer中。這樣只 要 str 的長(zhǎng)度大于 16，就會(huì)造成 buffer 的溢出，使程序運(yùn)行出錯(cuò)。存 在象 strcpy 這樣的問(wèn)題的標(biāo)準(zhǔn)函數(shù)還有 strcat()， sprintf() ， vsprintf()， gets(), scanf(等。當(dāng)然，隨便往緩沖區(qū)中填東西造成它溢出一般只會(huì)出現(xiàn)“分段 錯(cuò)誤”(Segrnen-tation fault)，而不能達(dá)到攻擊的目的。最常見的手

5、段 是通過(guò)制造緩沖區(qū)溢出使程序運(yùn)行一個(gè)用戶shell，再遁過(guò)shell執(zhí)行其他命令。如果該程序有 root 或者 suid 執(zhí)行權(quán)限的話，攻擊者就獲得了一個(gè)有root權(quán)限的shell，可以對(duì)系統(tǒng)進(jìn)行任意操作了在UNIX系統(tǒng)中，使用這一類精心編寫的程序可以利用 suid程序 中存在的這種錯(cuò)誤， 很輕易地取得系統(tǒng)的超級(jí)用戶的權(quán)限。 當(dāng)服務(wù)程 序在端口提供服務(wù)時(shí)，緩沖區(qū)溢出程序可以輕易地將這個(gè)服務(wù)關(guān)閉， 使得系統(tǒng)的服務(wù)在一定的時(shí)間內(nèi)癱瘓，嚴(yán)重的可能使系統(tǒng)立刻宕機(jī)， 從而變成一種拒絕服務(wù)的攻擊。 這種錯(cuò)誤不僅是程序員的錯(cuò)誤， 系統(tǒng) 本身在實(shí)現(xiàn)軟件程序的時(shí)候出現(xiàn)的這種錯(cuò)誤更多。 如今，緩沖區(qū)溢出 的錯(cuò)誤

6、正源源不斷地從 UNIX、Windows、路由器、網(wǎng)關(guān)以及其他的網(wǎng) 絡(luò)設(shè)備中被發(fā)現(xiàn)， 并構(gòu)成了對(duì)系統(tǒng)安全威脅數(shù)量最大、 程度較大的一 類。三、緩存溢出攻擊的目的 緩存溢出攻擊的目的在于擾亂具有某些特權(quán)運(yùn)行的程序的功能， 這樣可以讓攻擊者取得程序的控制權(quán)，如果該程序具有足夠的權(quán)限， 那么整個(gè)主機(jī)就被控制了。 為了達(dá)到這個(gè)目的， 攻擊者必須達(dá)到如下 兩個(gè)目標(biāo)：在程序的地址空間里安排適當(dāng)?shù)拇a； 通過(guò)適當(dāng)?shù)某跏蓟?寄存器和存儲(chǔ)器，讓程序跳轉(zhuǎn)到安排好的地址空間執(zhí)行。最簡(jiǎn)單和常見的緩存溢出攻擊類型就是在一個(gè)字符串里綜合了 代碼植入和激活記錄。 攻擊者定位一個(gè)可供溢出的自動(dòng)變量， 然后向 程序傳遞一個(gè)很大

7、的字符串， 在引發(fā)緩存溢出改變激活記錄的同時(shí)植 入了代碼。這個(gè)是由 Levy 指出的攻擊的模板。因?yàn)樵诹?xí)慣上只為用 戶和參數(shù)升辟很小的緩沖區(qū)，因此這種漏洞攻擊的實(shí)例不在少數(shù)。代碼植入和緩存溢出不一定要在一次動(dòng)作內(nèi)完成。攻擊者可以 在一個(gè)緩沖區(qū)內(nèi)放置代碼，這時(shí)不能溢出緩沖區(qū)。然后，攻擊者通過(guò) 溢出另外一個(gè)緩沖區(qū)來(lái)轉(zhuǎn)移程序的指針。 這種方法一般用來(lái)解決可供 溢出的緩沖區(qū)不夠大（不能放下全部的代碼）的情況。四、緩存溢出的保護(hù)方法 目前有四種基本的方法保護(hù)緩沖區(qū)免受緩存溢出的攻擊和影響。1 編寫正確的代碼 編寫安全的程序代碼是解決緩存溢出漏洞的根本辦法，必須在 開發(fā)中就已經(jīng)詳細(xì)考慮過(guò)安全問(wèn)題， 在編寫

8、程序過(guò)程中杜絕存在緩存 溢出漏洞的一切可能， 才使確保程序的最大化安全。 編定正確的代碼 是一件非常耗時(shí)瑣碎的工作， 但是由于開發(fā)人員的懶惰或安全經(jīng)驗(yàn)不 足，編程語(yǔ)言的不安全（用 C 語(yǔ)言編寫的程序很容易出錯(cuò)） ，所以目 前具有安全漏洞的程序依舊出現(xiàn)。人們開發(fā)了一些工具和技術(shù)來(lái)幫助經(jīng)驗(yàn)不足的程序員編寫安全 正確的程序。最簡(jiǎn)單的方法一是搜源代碼中容易產(chǎn)生漏洞的庫(kù)的調(diào)用， 比如對(duì) strcpy 和 sprintf 的調(diào)用，這兩個(gè)函數(shù)都沒(méi)有檢查輸入?yún)?shù)的長(zhǎng) 度。二是使用安全函數(shù)庫(kù)，如 Libsafe 里面封裝了若干已知的易受堆 棧溢出方法攻擊的庫(kù)函數(shù)， 對(duì)于不安全函數(shù)調(diào)用編程時(shí)會(huì)自動(dòng)轉(zhuǎn)到替 代的安全

9、函數(shù)上。雖然這些工具可以幫助程序員開發(fā)更安全的程序，但是由于 C 語(yǔ)言的特點(diǎn)，這些工具不可能找出所有的緩存溢出漏洞。所以，偵錯(cuò) 技術(shù)只能用來(lái)減少緩存溢出的可能，并不能完全地消除它的存在。2非執(zhí)行的緩沖區(qū)通過(guò)使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊 者不可能執(zhí)行被植入被攻擊程序輸入緩沖區(qū)的代碼， 這種技術(shù)稱為非 執(zhí)行的緩沖區(qū)技術(shù)。UNIX和MS Windows系統(tǒng)為實(shí)現(xiàn)更好的性能和功 能，往往在數(shù)據(jù)段中動(dòng)態(tài)地放人可執(zhí)行的代碼。 為了保持程序的兼容 性不可能使得所有程序的數(shù)據(jù)段不可執(zhí)行， 但是用戶可以設(shè)定堆棧數(shù) 據(jù)段不可執(zhí)行， 這樣就可以最大限度地保證了程序的兼容性。 非執(zhí)行 堆棧的保護(hù)

10、可以有效地對(duì)付把代碼植入自動(dòng)變量的緩沖區(qū)溢出攻擊， 而對(duì)于其他形式的攻擊則沒(méi)有效果。通過(guò)引用一個(gè)駐留程序的指針， 就可以跳過(guò)這種保護(hù)措施， 其他的攻擊可以把代碼植入堆?；蛘哽o態(tài) 數(shù)據(jù)段中來(lái)跳過(guò)保護(hù)。3程序指針完整性檢查 程序指針完整性檢查和邊界檢查相似，它在程序指針被引用之 前首先檢測(cè)到它的改變。 即使一個(gè)黑客成功地改變了程序的指針， 由 于系統(tǒng)事先檢測(cè)到了指針的改變， 這個(gè)指針將不會(huì)被使用。 與數(shù)組邊 畀檢查相比， 這種方法不能解決所有的緩沖區(qū)溢出問(wèn)題， 不過(guò)采用一 些其他的緩沖區(qū)溢出方法就可以避免這種檢測(cè)。 但是這種方法在性能 上有很大的優(yōu)勢(shì)，而且兼容性較好。4數(shù)組邊界檢查 黑客可以通過(guò)植入代碼引起緩沖區(qū)溢出，也可以通過(guò)一些方法 來(lái)擾亂程序的執(zhí)行流程。 但是可以通過(guò)對(duì)非執(zhí)行的緩沖區(qū)保護(hù)、 數(shù)組 邊界檢查來(lái)完全防止緩沖區(qū)溢出的產(chǎn)生和攻擊。 這樣只要數(shù)組不能溢 出，溢出攻擊也就無(wú)從談起。為了實(shí)現(xiàn)數(shù)組邊界檢查，所有的對(duì)數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)。 最直 接的方法是檢查所有的數(shù)組操作， 不過(guò)這樣可能會(huì)降低程序的運(yùn)行效 率。5安裝安全補(bǔ)丁 大量的