SunOS dtspcd缓冲区溢出攻击的防护

　　这个远程缓冲区溢出攻击利用了SunOS系统程序dtspcd的漏洞(据Sun公司发布的安全公告称，受该漏洞影响的系统包括：SunOS(含_x86)5.8, 5.7, 5.6及5.5.1)。

　　CDE是Sun Solaris或其他Unix系统缺省的X-Windows GUI环境，当一个CDE客户端试图在主机上创建一个进程时，Dtspcd守护进程会被inetd启动来处理这种请求。但是Dtspcd守护进程存在缓冲区溢出漏洞，远程攻击者能利用此漏洞取得系统特权(在缺省状态下Dtspcd是以root权限运行于6112/TCP端口的后台服务进程)。

　　下面对缓冲区溢出过程做一简单描述：正常命令调用(如command –r1 ref1 – r2 ref2)时的缓冲区状态如图9-5所示。而在异常命令调用时的缓冲区状态如图9-6所示。缓冲区溢出攻击程序首先分配一块暂存区buff，然后在buff前面填满空指令NOP，后面部分放Shell代码，最后部分是希望程序返回的地址(由栈地址加偏移得到)。当以buff为参数调用一个命令时，将造成该命令程序的堆栈溢出，其缓冲区被buff覆盖，而返回地址将指向NOP中任一位置，执行完NOP指令后程序将激活Shell进程，然后，程序将返回指定的具有suid位的命令地址。

　　图9-5 正常命令调用示意图

　　图9-6 参数超长命令调用示意图

　　图9-7 防范体系对dtspcd缓冲区溢出攻击的防护效果示意图

　　图9-7 防范体系对dtspcd缓冲区溢出攻击的防护效果示意图

　　黑客利用dtspcd缓冲区溢出攻击工具对节点A进行攻击。

　　当网络型IDS或主机A上的主机型IDS检测到该攻击行为后，立即向体系管理平台报告。

　　体系管理平台在收到该攻击行为的报警信息后，会通知防火墙切断该连接。

　　防火墙将攻击连接切断。

　　管理平台通知扫描软件对节点A进行隐患评估扫描，检查是否存在该缓冲区溢出漏洞，若有，进行清除工作(该步骤有时需要调动安全事件响应队伍，分析后若发现主机A有缓冲区溢出漏洞，则需要打补丁或取消该服务)。

　　防火墙、评估扫描系统向体系管理平台报告处理结果信息，由管理平台记录存档。

　　体系管理平台将处理结果记录入库，并将处理结论反馈给节点A上的基于主机的IDS或网络型IDS。

　　体系管理平台会及时将该攻击发起者的IP地址等相关信息通知安全管理员，由安全管理员据具体情况进行处理，如调动事件响应队伍对节点A进行系统加固和补丁添加等安全优化工作或向该攻击者IP发出警告信息等。