缓冲区溢出攻防技术调研.pdfVIP

缓冲区溢出攻防技术调研 孙涛 Abstract 缓冲区溢出攻击是一种十分高效的网络攻击技术。本文对现有的缓冲区溢出攻击技术做 了全面地调研。概述了缓冲区溢出攻击技术的发展历程，分析了缓冲区溢出攻击的原理及其 代码结构，并介绍了缓冲区溢出攻击的防范机制。 Keywords 缓冲区溢出 漏洞 攻击 代码结构 防范 引言 随着计算机技术的发展和 Internet 的普及，计算机和网络己渗透到社会的各个方面，随 之而来的信息安全问题也日益突出。在所有的安全威胁当中，最为严重的、影响范围最为广 泛的是缓冲区溢出攻击。作为黑客主动攻击的一种手段，它利用远程主机上某些程序存在的 缓冲区溢出漏洞，使该主机运行攻击者植入的代码；更为严重的是，缓冲区溢出攻击可以使 得一个匿名的 Internet 攻击者获得一台远程主机的部分或全部控制权！ 本文对现有的缓冲区溢出攻击技术做了全面地调研。概述了缓冲区溢出攻击技术的发展 历程，分析了缓冲区溢出攻击的原理及其代码结构，并介绍了缓冲区溢出攻击的防范机制。 1 缓冲区溢出攻击技术的发展历史 早在 70 年代初，C 程序的缓冲区溢出问题就被认为是 C 语言数据完整性模型一个可能 的后果（因为C 不做数组边界检查）。但是缓冲区溢出作为一种网络攻击手段被人们广泛关 注，则是使于 1988 年。 1988 年，一个由 Morris 编写的蠕虫(worm)出现在了 Internet 上并大肆传播，直接导致 当时 Internet 上约 10%的主机瘫痪。该蠕虫利用的漏洞正是 finger 守护进程 fingerd 的缓冲区 溢出。通过以一个适当的字符串调用远程主机的 FINGER 命令，蠕虫可以使远程主机的守 1 护进程缓冲区溢出来执行一段代码，该代码能让蠕虫访问主机系统。一旦蠕虫获得了对远程 系统的访问，它就能自我复制，几乎完全地消耗掉机器上所有的计算资源。这次事件拉开了 利用缓冲区溢出进行网络攻击的序幕。 1988 年末，为了应对类似上述网络攻击，在卡内基梅隆大学成立了 CERT （计算机紧急 响应小组）组织，该组织目前是全球关于计算机安全最权威的组织之一。 1995 年，Mudge 发表了第一篇关于缓冲区漏洞的学术分析文章《How to Write Buffer Overflows》。 1996 年 11 月，著名的黑客电子邮件组 Bugtraq 邮递清单的仲裁者Aleph One 给安全杂 志“Phrack Magazine ”(第 49 期)写了一篇题目为《Smashing the Stack For Fun and Profit》的 文章。这篇文章清楚地阐述了缓冲区溢出的概念并提供了概念证明代码。缓冲区溢出漏洞影 响的范围之广是软件开发商和计算机安全人员所始料不及的。正可谓“一石激起千层浪”， 随之而来的是人们在大量的服务进程和应用程序中发现了缓冲区溢出漏洞，以及各种利用缓 冲区溢出漏洞进行网络攻击的蠕虫。 1998 年，CERT 给出的 13 份安全建议中，有 7 份是关于缓冲区溢出的。 1999 年，CERT 统计当年 60%的网络攻击利用的是缓冲区溢出漏洞。 2000 年，软件工程基础会议上，CERT 的著名安全专家Richard Perthia 提出缓冲区溢出 漏洞是“惟一最重要的安全问题”。 2001年7月19 日，CodeRed蠕虫爆发，造成的损失估计超过20亿美元。 2001年9月18 日，Nimda蠕虫爆发，造成的损失估计超过26亿美元。 2002年9月13 日，Slapper蠕虫爆发。 2003年1月2 日，Slammer蠕虫爆发。 2004年5月1 日,“震荡波”爆发。 截至到 2004 年 12 月，在 CERT/CC 新发布的 100 个最严重的漏洞中，近一半的漏洞 是程序中的缓冲区溢出引起的。下面的图表 （注：图来自对CERT 官方网站。表是对