缓冲区溢出攻击及防御技术.pdf

第7章 缓冲区溢出攻击及防御技术 国家计算机网络入侵防范中心 张玉清 本章内容安排 7.1 缓冲区溢出概述 7.2 缓冲区溢出危害 7.3 缓冲区溢出分析 7.4 常见的溢出形式 7.5 实例：ida溢出漏洞攻击 7.6 缓冲区溢出的防御 7.7 小结 2009-10-14 网络入侵与防范技术 2 7.1 缓冲区溢出概述 什么是缓冲区？它是指程序运行期间，在内存中分 配的一个连续的区域，用于保存包括字符数组在内 的各种数据类型。 所谓溢出，其实就是所填充的数据超出了原有的缓 冲区边界，并非法占据了另一段内存区域。 两者结合进来，所谓缓冲区溢出，就是由于填充数 据越界而导致原有流程的改变，黑客借此精心构造 填充数据，让程序转而执行特殊的代码，最终获取 控制权。 2009-10-14 网络入侵与防范技术 3 7.1 缓冲区溢出概述 网络防范技术的日益成熟，使木马、病毒这类 恶意代码的植入变得困难。 网络黑客开始针对系统和程序自身的漏洞，编 写相应的攻击程序。 其中最常见的就是对缓冲区溢出漏洞的攻击， 而在诸多缓冲区溢出中又以堆栈溢出的问题最 有代表性。 目前，利用缓冲区溢出漏洞进行的攻击已经占 到了网络攻击次数的一半以上。 2009-10-14 网络入侵与防范技术 4 7.1 缓冲区溢出概述 对缓冲区溢出漏洞攻击，可以导致程序运行 失败、系统崩溃以及重新启动等后果。 更为严重的是，可以利用缓冲区溢出执行非 授权指令，甚至取得系统特权，进而进行各 种非法操作。 如何防止和检测出利用缓冲区溢出漏洞进行 的攻击，就成为防御网络入侵以及入侵检测 的重点之一。 2009-10-14 网络入侵与防范技术 5 7.1 缓冲区溢出概述 与其他的攻击类型相比，缓冲区溢出攻击 不需要太多的先决条件 杀伤力很强 技术性强 2009-10-14 网络入侵与防范技术 6 7.2 缓冲区溢出危害 缓冲区溢出比其他一些黑客攻击手段更具有 破坏力和隐蔽性。这也是利用缓冲区溢出漏 洞进行攻击日益普遍的原因。 2009-10-14 网络入侵与防范技术 7 破坏性 它极容易使服务程序停止运行，服务器死机 甚至删除服务器上的数据。 可以执入并运行攻击代码。 2009-10-14 网络入侵与防范技术 8 隐蔽性 它的隐蔽性主要表现在下面六点： 首先，漏洞被发现之前一般程序员是 不会意识到自己的程序存在漏洞，从 而疏忽监测； 其次，shellcode 都很短，执行时间 也非常短，很难在执行过程中被发 现； 2009-10-14 网络入侵与防范技术 9 隐蔽性(2) 第三，由于漏洞存在于防火墙内部，攻击者 所发送的字符串一般情况下防火墙不会阻 拦，而攻击者通过执行shellcode所获得的 是本来不被允许或没有权限的操作，在防火 墙看来也是合理合法的。防火墙在对远程缓 冲区溢出攻击的监测方面有先天的不足； 第四，