缓冲区溢出：十年来攻击和防卫的弱点

　　一、前言

　　在过去的十年中，以缓冲区溢出为类型的安全漏洞占是最为常见的一种形式了。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!由于这类攻击使任何人都有可能取得主机的控制权，所以它代表了一类极其严重的安全威胁。

　　缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在于缓冲区溢出漏洞太普通了，并且易于实现。而且，缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的一切:殖入并且执行攻击代码。被殖入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。

　　比如，在1998年Lincoln实验室用来评估入侵检测的的5种远程攻击中，有3种是基于社会工程学的信任关系，2种是缓冲区溢出。而在1998年CERT的13份建议中，有9份是是与缓冲区溢出有关的，在1999年，至少有半数的建议是和缓冲区溢出有关的。在Bugtraq的调查中，有2/3的被调查者认为缓冲区溢出漏洞是一个很严重的安全问题。

　　缓冲区溢出漏洞和攻击有很多种形式，我们会在第二部分对他们进行描述和分类。相应地防卫手段也随者攻击方法的不同而不同，我们会放在第三部分描述，它的内容包括针对每种攻击类型的有效的防卫手段。我们还要要介绍堆栈保护方法，这种方法在解决缓冲区溢出的漏洞方面很有效果，并且没有牺牲系统的兼容性和性能。在第四部分，我们要讨论各种防卫方法的综合使用。最后在第五部分是我们的结论。

　　二、缓冲区溢出的漏洞和攻击

　　缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，这样可以使得攻击者取得程序的控制权，如果该程序具有足够的权限，那么整个主机就被控制了。一般而言，攻击者攻击root程序，然后执行类似“exec(sh)”的执行代码来获得root的shell，但不一直是这样的。为了达到这个目的，攻击者必须达到如下的两个目标:

　　1. 在程序的地址空间里安排适当的代码。

　　2. 通过适当地初始化寄存器和存储器，让程序跳转到我们安排的地址空间执行。

　　我们根据这两个目标来对缓冲区溢出攻击进行分类。在2.1部分，我们将描述攻击代码是如何放入被攻击程序的地址空间的(这个就是“缓冲区”名字的的由来)。在2.2部分，我们介绍攻击者如何使一个程序的缓冲区溢出，并且执行转移到攻击代码(这个就是“溢出”的由来)。在2.3部分，我们介绍综合在2.1和2.2部分所讨论的代码安排和控制程序执行流程的技术。

　　2.1 在程序的地址空间里安排适当的代码的方法

　　有两种在被攻击程序地址空间里安排攻击代码的方法:

　　殖入法:

　　攻击者向被攻击的程序输入一个字符串，程序会把这个字符串放到缓冲区里。这个字符串包含的数据是可以在这个被攻击的硬件平台上运行的指令序列。在这里攻击者用被攻击程序的缓冲区来存放攻击代码。具体的方式有以下两种差别:

　　1. 攻击者不必为达到此目的而溢出任何缓冲区，可以找到足够的空间来放置攻击代码

　　2. 缓冲区可以设在任何地方:堆栈(自动变量)、堆(动态分配的)和静态数据区(初始化或者未初始化的数据)

　　利用已经存在的代码:

　　有时候，攻击者想要的代码已经在被攻击的程序中了,攻击者所要做的只是对代码传递一些参数，然后使程序跳转到我们的目标。比如，攻击代码要求执行“exe("/bin/sh")”，而在libc库中的代码执行“exec(arg)”，其中arg使一个指向一个字符串的指针参数，那么攻击者只要把传入的参数指针改向指向"/bin/sh"，然后调转到libc库中的相应的指令序列。

　　2.2 控制程序转移到攻击代码的方法

　　所有的这些方法都是在寻求改变程序的执行流程，使之跳转到攻击代码。最基本的就是溢出一个没有边界检查或者其他弱点的缓冲区，这样就扰乱了程序的正常的执行顺序。通过溢出一个缓冲区，攻击者可以用近乎暴力的方法改写相邻的程序空间而直接跳过了系统的检查。

　　这里分类的基准是攻击者所寻求的缓冲区溢出的程序空间类型。原则上是可以任意的空间。比如，最初的Morris Worm使用了fingerd程序的缓冲区溢出，扰乱fingerd要执行的文件的名字。实际上，许多的缓冲区溢出是用暴力的方法来寻求改变程序指针的。这类程序的不同的地方就是程序空间的突破和内存空间的定位不同。

　　激活纪录(Activation Records):

　　每当一个函数调用发生时，调用者会在堆栈中留下一个激活纪录，它包含了函数结束时返回的地址。攻击者通过溢出这些自动变量，使这个返回地址指向攻击代码。通过改变程序的返回地址，当函数调用结束时，程序就跳转到攻击者设定的地址，而不是原先的地址。这类的缓冲区溢出被称为“stack smashing attack”，使目前常用的缓冲区溢出攻击方式。

　　函数指针(Function Pointers):

　　“void (* foo)()”声明了一个返回值为void函数指针的变量foo。函数指针可以用来定位任何地址空间，所以攻击者只需在任何空间内的函数指针附近找到一个能够溢出的缓冲区，然后溢出这个缓冲区来改变函数指针。在某一时刻，当程序通过函数指针调用函数时，程序的流程就按攻击者的意图实现了!它的一个攻击范例就是在Linux系统下的superprobe程序。

　　长跳转缓冲区(Longjmp buffers):

　　在C语言中包含了一个简单的检验/恢复系统，称为setjmp/longjmp。意思是在检验点设定“setjmp(buffer)”，用“longjmp(buffer)”来恢复检验点。然而，如果攻击者能够进入缓冲区的空间，那么“longjmp(buffer)”实际上是跳转到攻击者的代码。象函数指针一样，longjmp缓冲区能够指向任何地方，所以攻击者所要做的就是找到一个可供溢出的缓冲区。一个典型的例子就是Perl 5.003，攻击者首先进入用来恢复缓冲区溢出的的longjmp缓冲区，然后诱导进入恢复模式，这样就使Perl的解释器跳转到攻击代码上了!

　　2.3 综合代码殖入和流程控制技术

　　现在我们研究综合代码殖入和流程控制的技术。

　　最简单和常见的缓冲区溢出攻击类型就是在一个字符串里综合了代码殖入和激活纪录。攻击者定位一个可供溢出的自动变量，然后向程序传递一个很大的字符串，在引发缓冲区溢出改变激活纪录的同时殖入了代码。这个是由Levy指出的攻击的模板。因为C在习惯上只为用户和参数开辟很小的缓冲区，因此这种漏洞攻击的实例不在少数。

　　代码殖入和缓冲区溢出不一定要在在一次动作内完成。攻击者可以在一个缓冲区内放置代码，这是不能溢出缓冲区。然后，攻击者通过溢出另外一个缓冲区来转移程序的指针。这种方法一般用来解决可供溢出的缓冲区不够大(不能放下全部的代码)的情况。

　　如果攻击者试图使用已经常驻的代码而不是从外部殖入代码，他们通常有必须把代码作为参数化。举例来说，在libc(几乎所有的C程序都要它来连接)中的部分代码段会执行“exec(something)”，其中somthing就是参数。攻击者然后使用缓冲区溢出改变程序的参数，然后利用另一个缓冲区溢出使程序指针指向libc中的特定的代码段。