摘要:
在过去的十年中,以缓冲区溢出为类型的安全漏洞占是最为
常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网
络攻击的绝大多数,这种攻击可以使得一个匿名的Internet用户
有机会获得一台主机的部分或全部的控制权!如果能有效地消除
缓冲区溢出的漏洞,则很大一部分的安全威胁可以得到缓解。在
本文中,我们研究了各种类型的缓冲区溢出漏洞和攻击手段,同
时我们也研究了各种的防御手段,这些手段用来消除这些漏洞所
造成的影响,其中包括我们自己的堆栈保护方法。然后我们要考
虑如何在保证现有系统功能和性能不变的情况下,如何使用这些
方法来消除这些安全漏洞。
一、前言
在过去的十年中,以缓冲区溢出为类型的安全漏洞占是最为
常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网
络攻击的绝大多数,这种攻击可以使得一个匿名的Internet用户
有机会获得一台主机的部分或全部的控制权!由于这类攻击使任
何人都有可能取得主机的控制权,所以它代表了一类极其严重的
安全威胁。
缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在
于缓冲区溢出漏洞太普通了,并且易于实现。而且,缓冲区溢出
成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击
者他所想要的一切:殖入并且执行攻击代码。被殖入的攻击代码
以一定的权限运行有缓冲区溢出漏洞的程序,从而得到被攻击主
机的控制权。
比如,在1998年Lincoln实验室用来评估入侵检测的的5种远
程攻击中,有3种是基于社会工程学的信任关系,2种是缓冲区溢
出。而在1998年CERT的13份建议中,有9份是是与缓冲区溢出有
关的,在1999年,至少有半数的建议是和缓冲区溢出有关的。在
Bugtraq的调查中,有2/3的被调查者认为缓冲区溢出漏洞是一个
很严重的安全问题。
缓冲区溢出漏洞和攻击有很多种形式,我们会在第二部分对
他们进行描述和分类。相应地防卫手段也随者攻击方法的不同而
不同,我们会放在第三部分描述,它的内容包括针对每种攻击类
型的有效的防卫手段。我们还要要介绍堆栈保护方法,这种方法
在解决缓冲区溢出的漏洞方面很有效果,并且没有牺牲系统的兼
容性和性能。在第四部分,我们要讨论各种防卫方法的综合使
用。最后在第五部分是我们的结论。
二、缓冲区溢出的漏洞和攻击
缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的
功能,这样可以使得攻击者取得程序的控制权,如果该程序具有
足够的权限,那么整个主机就被控制了。一般而言,攻击者攻击
root程序,然后执行类似“exec(sh)”的执行代码来获得root的
shell,但不一直是这样的。为了达到这个目的,攻击者必须达
到如下的两个目标:
1. 在程序的地址空间里安排适当的代码。
2. 通过适当地初始化寄存器和存储器,让程序跳转到我们安排
的地址空间执行。
我们根据这两个目标来对缓冲区溢出攻击进行分类。在2.1
部分,我们将描述攻击代码是如何放入被攻击程序的地址空间的
(这个就是“缓冲区”名字的的由来)。在2.2部分,我们介绍
攻击者如何使一个程序的缓冲区溢出,并且执行转移到攻击代码
(这个就是“溢出”的由来)。在2.3部分,我们介绍综合在2.1
和2.2部分所讨论的代码安排和控制程序执行流程的技术。
2.1 在程序的地址空间里安排适当的代码的方法
有两种在被攻击程序地址空间里安排攻击代码的方法:
殖入法:
攻击者向被攻击的程序输入一个字符串,程序会把这个字符
串放到缓冲区里。这个字符串包含的数据是可以在这个被攻击的
硬件平台上运行的指令序列。在这里攻击者用被攻击程序的缓冲
区来存放攻击代码。具体的方式有以下两种差别:
1. 攻击者不必为达到此目的而溢出任何缓冲区,可以找到足够
的空间来放置攻击代码
2. 缓冲区可以设在任何地方:堆栈(自动变量)、堆(动态分
配的)和静态数据区(初始化或者未初始化的数据)
利用已经存在的代码:
有时候,攻击者想要的代码已经在被攻击的程序中了,攻击
者所要做的只是对代码传递一些参数,然后使程序跳转到我们的
目标。比如,攻击代码要求执行“exec("/bin/sh")”,而在
libc库中的代码执行“exec(arg)”,其中arg使一个指向一个字
符串的指针参数,那么攻击者只要把传入的参数指针改向指向
"/bin/sh",然后调转到libc库中的相应的指令序列。
2.2 控制程序转移到攻击代码的方法
所有的这些方法都是在寻求改变程序的执行流程,使之跳转
到攻击代码。最基本的就是溢出一个没有边界检查或者其他弱点
的缓冲区,这样就扰乱了程序的正常的执行顺序。通过溢出一个
缓冲区,攻击者可以用近乎暴力的方法改写相邻的程序空间而直
接跳过了系统的检查。
这里分类的基准是攻击者所寻求的缓冲区溢出的程序空间类
型。原则上是可以任意的空间。比如,最初的Morris Worm使用
了fingerd程序的缓冲区溢出,扰乱fingerd要执行的文件的名
字。实际上,许多的缓冲区溢出是用暴力的方法来寻求改变程序
指针的。这类程序的不同的地方就是程序空间的突破和内存空间
的定位不同。
(图1)
激活纪录(Activation Records):
每当一个函数调用发生时,调用者会在堆栈中留下一个激活
纪录,它包含了函数结束时
返回的地址。攻击者通过溢出这些自动变量,使这个返回地址指
向攻击代码,如图1所示。通过改变程序的返回地址,当函数调
用结束时,程序就跳转到攻击者设定的地址,而不是原先的地
址。这类的缓冲区溢出被称为“stack smashing attack”,使
目前常用的缓冲区溢出攻击方式。
函数指针(Function Pointers):
“void (* foo)()”声明了一个返回值为void函数指针的变
量foo。函数指针可以用来定
位任何地址空间,所以攻击者只需在任何空间内的函数指针附近
找到一个能够溢出的缓冲区,然后溢出这个缓冲区来改变函数指
针。在某一时刻,当程序通过函数指针调用函数时,程序的流程
就按攻击者的意图实现了!它的一个攻击范例就是在Linux系统
下的superprobe程序。
长跳转缓冲区(Longjmp buffers):
在C语言中包含了一个简单的检验/恢复系统,称为
setjmp/longjmp。意思是在检验点设
定“setjmp(buffer)”,用“longjmp(buffer)”来恢复检验
点。然而,如果攻击者能够进入缓冲区的空间,那么
“longjmp(buffer)”实际上是跳转到攻击者的代码。象函数指
针一样,longjmp缓冲区能够指向任何地方,所以攻击者所要做
的就是找到一个可供溢出的缓冲区。一个典型的例子就是Perl
5.003,攻击者首先进入用来恢复缓冲区溢出的的longjmp缓冲
区,然后诱导进入恢复模式,这样就使Perl的解释器跳转到攻击
代码上了!
2.3 综合代码殖入和流程控制技术
现在我们研究综合代码殖入和流程控制的技术。
最简单和常见的缓冲区溢出攻击类型就是在一个字符串里
综合了代码殖入和激活纪录。攻击者定位一个可供溢出的自动变量,
然后向程序传递一个很大的字符串,在引发缓冲区溢出改变
激活纪录的同时殖入了代码。这个是由Levy指出的攻击的模板。
因为C在习惯上只为用户和参数开辟很小的缓冲区,因此这种漏
洞攻击的实例不在少数。
代码殖入和缓冲区溢出不一定要在在一次动作内完成。攻击
者可以在一个缓冲区内放置代码,这是不能溢出缓冲区。然后,
攻击者通过溢出另外一个缓冲区来转移程序的指针。这种方法一
般用来解决可供溢出的缓冲区不够大(不能放下全部的代码)的
情况。
如果攻击者试图使用已经常驻的代码而不是从外部殖入代
码,他们通常有必须把代码作为参数化。举例来说,在libc(几
乎所有的C程序都要它来连接)中的部分代码段会执行
“exec(something)”,其中somthing就是参数。攻击者然后使
用缓冲区溢出改变程序的参数,然后利用另一个缓冲区溢出使程
序指针指向libc中的特定的代码段。
3. 缓冲区溢出的保护方法
目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和
影响。在3.1中介绍了强制写正确的代码的方法。在3.2中介绍了
通过操作系统使得缓冲区不可执行,从而阻止攻击者殖入攻击代
码。这种方法有效地阻止了很多缓冲区溢出的攻击,但是攻击者
并不一定要殖入攻击代码来实现缓冲区溢出的攻击(参见2.1
节),所以这种方法还是存在很弱点的。在3.3中,我们介绍了
利用编译器的边界检查来实现缓冲区的保护。这个方法使得缓冲
区溢出不可能出现,从而完全消除了缓冲区溢出的威胁,但是相
对而言代价比较大。在3.4中我们介绍一种间接的方法,这个
