缓冲区溢出的学与防.docVIP

缓冲区溢出的学与防 　　本文可以学到 　　什么叫做缓冲区溢出 　　 　　缓冲区溢出的原理 　　 　　如何防范缓冲区溢出 　　 　　● 时间： 　　2008年10月15日 　　 　　● 地点： 　　某大型外贸公司 　　 　　● 入侵事件： 　　10月15日晚，多台WIN2003 SERVER+IIS6.0环境的服务器同时出现当机现象，并有两台服务器（OA、MAIL服务器）发现有黑客偷窃数据的日志（注：公司机房运行着OA、RTX、ERP、NIA等大约20台业务服务器）。公司工程师马上选择断开服务器区网络，并与信息安全中心联系，询问如何进行处理。 　　 　　● 基础环境： 　　业务服务器：WIN2003 SERVER SP2、IIS6.0+NET组件（ERP采用了TOMCAT6.0）、所有服务器连接在千兆XX防火墙（硬）的DMZ结构中、SQL SERVER2005数据库 　　 　　 　　 　　● 事件分析： 　　由于微软的IIS 6存在一个缓冲区溢出漏洞。黑客对此漏洞进行攻击，使运行IIS的服务器崩溃，并获取超级权限执行任意的代码。 　　 　　小知识：溢出攻击是什么？ 　　缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。黑客就是利用这种手法来强制获取高级用户权限的操作能力。举个例子：比如将一杯水倒入一只同样体积的杯子的果汁中，杯子中原有的果汁被溢出来，水占据了一部分空间，溢出攻击就出现了。 　　 　　黑客攻击手段 　　分析篇 　　工程师经过详细的分析，并最终对在攻击事件中黑客对服务器群进行远程攻击的手段做了如下的分析： 　　黑客利用浏览器向IIS提出一个HTTP请求，在域名（或IP地址）后，加上一个文件名，该文件名以“.htr”做后缀。于是IIS认为客户端正在请求一个“.htr”文件，“.htr”扩展文件被映射成ISAPI（Internet Service API，网络脚本应用程序接口，ASP对应的ISAPI映射为“C:\WINDOWS\inetsrv\asp.dll”）应用程序，IIS会复位向所有针对“.htr”资源的请求到 ISM.DLL程序 ，ISM.DLL 打开这个文件并执行。 　　当浏览器中输入请求语句（例如：/adpdc.adsp，这也称为请求语句）字符大于600时，IIS会出现溢出问题，导致权限丢失，攻击者可以利用这个权限执行木马、病毒等。溢出后提示的错误见图1所示。 　　 　　安全解决方案篇 　　工程师针对以上的分析和受攻击的服务器的现状，提出了以下防范性防御措施： 　　 　　非0-DAYS漏洞的防范 　　减少服务器非必需程序，避免安装媒体播放器、QQ、游戏等第三方软件。完善补丁，最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开，然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果您的服务器为了安全起见，禁止了对公网外部的连接的话，可以用Microsoft WSUS服务在内网进行升级。 　　 　　小知识：什么是0-DAYS 　　0-DAYS原本是破解的意思。最早的破解是专门针对软件的，叫做WAREZ，后来才发展到游戏、音乐、影视等其他内容的。0-DAYS中的0表示zero，早期的0-DAYS表示在软件发行后的24小时内就出现破解版本，现在我们已经引申了这个含义，只要是在软件或者其他东西发布后，在最短时间内出现相关破解的，都可以叫0-DAYS。0-DAYS是一个统称，所有的破解都可以叫0-DAYS。 　　信息安全意义上的0-DAYS是指在安全补丁发布后被了解和掌握的漏洞信息。 　　 　　 　　 　　修改服务器进程，降低攻击范围 　　停掉一切不需要的系统服务以及应用程序，最大限度地降低服务器的被攻击系数（如图2）。比如MSDTC溢出，就导致很多服务器挂掉。其实如果WEB类服务器根本没有用到MSDTC服务时，推荐管理员把MSDTC服务停掉，就可以避免MSDTC服务的攻击。 　　 　　启动TCP/IP端口过滤 　　仅打开常用的TCP如21、80、25、110、3389等端口。如果安全要求级别高一点可以将UDP端口关闭，当然如果这样，缺陷就是在服务器上就不方便与外部连接了。这里建议大家用IPSec来封UDP。 　　方法：在协议筛选中“只允许”TCP协议（协议号为:6）、UDP协议（协议号为:17）以及RDP协议（协议号为:27）等必用协议即可。其他无用的均不开放（如图3）。 　　启用IPSec策略 　　为服务器的连接进行安全认证，给服务器加上双保险，在这里可以封掉一些危险的端口如：13