一种缓冲区溢出攻击描述语言的研究与设计.docVIP

一种缓冲区溢出攻击描述语言的研究与设计 　　摘要：分析目前缓冲区溢出攻击的弱点，提出一种新的攻击方法。通过抽象缓冲区溢出攻击的规律，分析植入代码的结构特征，给出缓冲区溢出攻击描述语言的文法。对于不同的缓冲区溢出漏洞，攻击描述语言能够动态地构造植入代码，实现攻击的自动化。 　　关键词：缓冲区溢出；植入代码；攻击描述语言 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-3052-03 　　A Study and Design of Buffer Overflow Attack Description Language 　　ZHONG Da-fu,TANG Yi-fang 　　(School of Computer Science and Engineering,Guangdong Institute of Science and Technology,Zhuhai 519090,China) 　　Abstract: Analysis buffer overflow attack vulnerability and present a new attack method. Given buffer overflow attack description language through analysising embedded codes structure and abstracting the rule of buffer overflow attack. For different buffer overflow vulnerability, attack description language can correspondingly construct suitable embedded code and launch attack automatically. 　　Key words: buffer overflow;embedded code;attack description language 　　1 引言 　　缓冲区溢出攻击是目前最主要最具威胁的网络攻击，自“Morris Worm”[1]事件以来，诸如Code Red worm[2]、SQL slammer worm[3]、Blaster worm[4]等都是典型的缓冲区溢出攻击事件。据CERT统计，利用缓冲区溢出漏洞进行的攻击已经占到了整个网络攻击次数的一半以上。 　　缓冲区溢出攻击主要是利用C/C++缺少边界检查机制的弱点。由于现实的一些原因，缓冲区溢出漏洞在今后较长的一段时期内，仍然会大量而广泛地存在。再加上缓冲区溢出攻击技术比较简单，并具有一定的规律性，而最重要的是利用缓冲区溢出攻击能够轻易地获得非授权访问权限，甚至取得目标系统的控制权限。因此，缓冲区溢出攻击仍然是目前研究的热点。 　　但是，目前利用C、C++等编写的缓冲区溢出攻击程序存在这样一个问题：植入代码的生成效率低和移植性差，而诸如ADELE[5]、NASL[6]等攻击描述语言又不适合用来进行缓冲区溢出攻击。针对该问题，本文从攻击者的角度研究缓冲区溢出利用程序，抽象攻击过程，提出一种新的解决方法，即设计一种专门的缓冲区溢出攻击描述语言，对不同的缓冲区溢出漏洞，自动地构造植入代码，实现攻击的自动化。 　　2 缓冲区溢出利用程序分析 　　这里所谓的利用程序，是指针对有缓冲区溢出漏洞的程序而编写的攻击程序。一个完整的缓冲区溢出利用程序，按照功能结构来分，包括两个部分：植入代码和控制逻辑。 　　2.1 植入代码 　　俗称“蛋”。“蛋”是攻击者精心设计的并要塞到目标机器让其执行的字符串，其实质是一串机器指令。“蛋”一般由shellcode、返回地址、填充数据三种元素构成。Shellcode是根据某个系统调用汇编而得的机器指令，由于最初的shellcode只是获取一个简单的shell权限，其称呼由此得来。返回地址指shellcode的入口地址，其实质是表示某个内存地址；填充数据实质上是指单字节指令，典型的单字节指令如空操作指令NOP。 　　如图1是利用植入代码进行缓冲区溢出攻击的示意图。 　　图1中，R代表返回地址，其作用是改写函数返回地址，并迫使程序执行流程转向R处执行shellcode。N代表NOP，其作用有两点：一是数据填充，在溢出缓冲区较大的情况下，通过增加NOP的数量，确保R能够覆盖到函数返回地址；二是提高shellcode的命中率。由于shellcode的地址R是猜测的，那么只要R值位于NOP地址之间，就可以确保shellcode能够顺利执行。 　　“蛋”的构造类型一般有前端同步型（NSR）、中端同步型（RNS）、后端同