赵有恩¹   周守军²

（1.山东经济学院计算机科学与技术系，济南 250014）

（2.山东建筑工程学院热能工程学院，济南 250014）

摘  要  缓冲区溢出攻击是最为常见的一种攻击形式，占据远程网络攻击的绝大多数，代表了一类极其严重的安全威胁。近年由 CERT/CC(Computer Emergency Response Term/Coordination Center) 发布的忠告中关于缓冲区溢出攻击占 56.76% 以上。主要介绍了缓冲区溢出攻击的原理、分类及其入侵手段，提出了相应的防范措施。

关键词  缓冲区  溢出  防范

前言

缓冲区是用户为程序运行时在计算机中申请的一段连续的内存，它保存了给定类型的数据。缓冲区溢出指的是一种常见且危害很大的系统攻击手段，通过向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。更为严重的是，缓冲区溢出攻击占了远程网络攻击的绝大多数，这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权！由于这类攻击使任何人都有可能取得主机的控制权，所以它代表了一类极其严重的安全威胁。

1. 缓冲区溢出攻击分析

缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，这样可以使得攻击者取得程序的控制权，如果该程序具有足够的权限，那么整个主机就被控制了。一般而言，攻击者攻击root程序，然后执行类似“exec(sh)”的执行代码来获得root的shell。为了达到这个目的，攻击者必须达到如下的两个目标：在程序的地址空间里安排适当的代码；通过适当地初始化寄存器和存储器，让程序跳转到事先安排的地址空间执行。根据这两个目标，可以将缓冲区溢出攻击分为以下3类。

1.1在程序的地址空间里安排适当的代码

1.1.1殖入法

攻击者用被攻击程序的缓冲区来存放攻击代码。 攻击者向被攻击的程序输入一个字符串，程序会把这个字符串放到缓冲区里。这个字符串包含的数据是可以在这个被攻击的硬件平台上运行的指令序列。

1.1.2利用已经存在的代码

有时候，攻击者想要的代码已经在被攻击的程序中了,攻击者所要做的只是对代码传递一些参数，然后使程序跳转到指定目标。比如，在C语言中，攻击代码要求执行“exec("/bin/sh")”，而在libc库中的代码执行“exec(arg)”，其中arg是指向一个字符串的指针参数，那么攻击者只要把传入的参数指针指向"/bin/sh"，就可以调转到libc库中的相应的指令序列。

1.2控制程序转移到攻击代码

这种方法旨在改变程序的执行流程，使之跳转到攻击代码。最基本方法的就是溢出一个没有边界检查或者其他弱点的缓冲区，这样就扰乱了程序的正常的执行顺序。通过溢出一个缓冲区，攻击者可以用近乎暴力的方法改写相邻的程序空间而直接跳过了系统的检查。

1.2.1激活纪录（Activation Records）

每当一个函数调用发生时，调用者会在堆栈中留下一个激活纪录，它包含了函数结束时返回的地址。攻击者通过溢出这些自动变量，使这个返回地址指向攻击代码。通过改变程序的返回地址，当函数调用结束时，程序就跳转到攻击者设定的地址，而不是原先的地址。这类的缓冲区溢出被称为“stack smashing attack”，是目前常用的缓冲区溢出攻击方式。

1.2.2函数指针（Function Pointers）

C语言中，“void (* foo)()”声明了一个返回值为void函数指针的变量foo。函数指针可以用来定位任何地址空间，所以攻击者只需在任何空间内的函数指针附近找到一个能够溢出的缓冲区，然后溢出这个缓冲区来改变函数指针。在某一时刻，当程序通过函数指针调用函数时，程序的流程就按攻击者的意图实现了！它的一个攻击范例就是在Linux系统下的super probe程序。

1.2.3长跳转缓冲区（Longjmp buffers）

 在C语言中包含了一个简单的检验/恢复系统，称为setjmp/longjmp。意思是在检验点设定“setjmp(buffer)”，用“longjmp(buffer)”来恢复检验点。然而，如果攻击者能够进入缓冲区的空间，那么“longjmp(buffer)”实际上是跳转到攻击者的代码。象函数指针一样，longjmp缓冲区能够指向任何地方，所以攻击者所要做的就是找到一个可供溢出的缓冲区。一个典型的例子就是Perl 5.003，攻击者首先进入用来恢复缓冲区溢出的的longjmp缓冲区，然后诱导进入恢复模式，这样就使Perl的解释器跳转到攻击代码上了！

1.3综合代码殖入和流程控制技术

最简单和常见的缓冲区溢出攻击类型就是在一个字符串里综合了代码殖入和激活纪录。攻击者定位一个可供溢出的自动变量，然后向程序传递一个很大的字符串，在引发缓冲区溢出改变激活纪录的同时殖入了代码。这个是由Levy指出的攻击的模板。因为C语言在习惯上只为用户和参数开辟很小的缓冲区，因此这种漏洞攻击的实例不在少数。

代码殖入和缓冲区溢出不一定要在一次动作内完成。攻击者可以在一个缓冲区内放置代码，这是不能溢出缓冲区。然后，攻击者通过溢出另外一个缓冲区来转移程序的指针。这种方法一般用来解决可供溢出的缓冲区不够大的情况。

如果攻击者试图使用已经常驻的代码而不是从外部殖入代码，他们通常有必须把代码作为参数化。举例来说，在libc中的部分代码段会执行“exec(something)”，其中something就是参数。攻击者然后使用缓冲区溢出改变程序的参数，利用另一个缓冲区溢出使程序指针指向libc中的特定的代码段。

2. 缓冲区溢出攻击的防范方法

目前主要有四种基本的方法能够保护缓冲区免受溢出攻击。

2.1编写正确的代码

 编写正确的代码是一件非常有意义但耗时的工作，特别像编写C语言那种具有容易出错倾向的程序，这种错误是由于追求性能而忽视正确性的传统引起的。尽管花了很长的时间使得人们知道了如何编写安全的程序，具有安全漏洞的程序依旧出现。因此人们开发了一些工具和技术来帮助经验不足的程序员编写安全正确的程序。

最简单的方法就是用grep来搜索源代码中容易产生漏洞的库的调用，比如对strcpy和sprintf的调用，这两个函数都没有检查输入参数的长度。事实上，各个版本C的标准库均有这样的问题存在。

为了寻找一些常见的诸如缓冲区溢出和操作系统竞争条件等漏洞，代码检查小组检查了很多的代码。然而依然有漏网之鱼存在。尽管采用了sntrcpy和snprintf这些替代函数来防止缓冲区溢出的发生，但是由于编写代码的问题，仍旧会有这种情况发生。比如lprm程序就是最好的例子，虽然它通过了代码的安全检查，但仍然有缓冲区溢出的问题存在。

虽然这些工具帮助程序员开发更安全的程序，但是由于C语言的特点，这些工具不可能找出所有的缓冲区溢出漏洞。所以，侦错技术只能用来减少缓冲区溢出的可能，并不能完全地消除它的存在。除非程序员能保证他的程序万无一失，否则还是要用到以下的内容来保证程序的可靠性能。

2.2非执行的缓冲区

通过使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行殖入被攻击程序输入缓冲区的代码，这种技术被称为非执行的缓冲区技术。事实上，很多老的Unix系统都是这样设计的，但是近来的Unix和MS Windows系统由于实现更好的性能和功能，往往在数据段中动态地放入可执行的代码。所以为了保持程序的兼容性，不可能使所有程序的数据段不可执行。

2.3数组边界检查

不象非执行缓冲区保护，数组边界检查完全放置了缓冲区溢出的产生和攻击。这样，只要数组不能被溢出，溢出攻击也就无从谈起。为了实现数组边界检查，则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作，但是通常可以采用一些优化的技术来减少检查的次数。

2.4程序指针完整性检查

 程序指针完整性检查和边界检查略微不同。与防止程序指针被改变不同，程序指针完整性检查在程序指针被引用之前检测到它的改变。因此，即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。

与数组边界检查相比，这种方法不能解决所有的缓冲区溢出问题；采用其他的缓冲区溢出方法就可以避免这种检测。但是这种方法在性能上有很大的优势，而且在兼容性也很好。

3 结束语

    缓冲区溢出是当今流行的一种网络攻击方法，它易于攻击而且危害严重，给系统的安全带来了极大的隐患。因此，如何及时有效地检测出计算机网络系统攻击行为，已越来越成为网络安全管理的一项重要内容。飞速发展的网络技术还需要我们继续对各种黑客攻击的方法做更多的关注和应付措施的探索，为网络安全做出更大的实践意义的研究。

参考文献

[1]绿盟科技（nsfocus）, NSFOCUS 2005年4月十大安全漏洞,2005 , http://www.nsfocus.net/

[2]张小斌，严望佳，黑客分析与防范技术  北京清华大学出版社， 1999 。