信息安全产品开发实践32700.docx

《信息安全产品开发实践32700.docx》由会员分享，可在线阅读，更多相关《信息安全产品开发实践32700.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全产品开发实践课程设计报告 缓冲区溢出的保护Evaluation Warning: The document was created with Spire.Doc for .NET.*大学*学院信息安全产产品开发实实践课程设设计报告题 目 缓冲区区溢出的保保护 学生姓名 学 号_ _ 年 级 指导老师 指导老师评评阅意见： 指导老师评评分： 提交时间： 22007年年12月 缓冲区溢出出的保护（软软件工程专专业）学生 学学号 指导教教师 摘要：19999 年年 Buggtraqq（一个讨讨论安全缺缺陷的邮件件列表）进进行的一次次非正式调调查发现，三三分之二的的参与者认认为第一号号的缺陷就

2、就是缓冲区区溢出。从从 19997 年到到 20007 年 33 月，CCERT/CC 发发出的半数数安全警报报都基于缓缓冲区缺陷陷。 面对对如此大的的威胁，我我们需要知知道什么是是缓冲区溢溢出，如何何防止它们们，可以采采用哪些最最新的自动动化工具来来防止它们们以及为什什么这些工工具还不足足够，还有有如何在编编写程序的的程序中防防止它们。关键字：缓缓冲区溢出出；溢出保护护；溢出防御 Detecctionn Of Buffeer Overfflow Absttractt: Fromm an infoormall invvestiigatiion oon Buugtraaq (aa maiil l

3、iist wwhichh disscusss a llimittatioon onn seccuritty) iin 19999, we ccan ffind thatt twoo-parrts partticippantss thooughtt thaat thhe Noo.1 llimittatioon iss bufffer overrfloww. Frrom 11997 to MMay, 20077, allmostt hallf thhe seecuree warrninggs seent bby CEERT/CCC weere bbasedd on the limiitatiion

4、 oof buufferr. Faacingg succh a hugee mennace, we needd to learrn whhat iis thhe buufferr oveerfloow, hhow tto deefendd theem, wwhichh kinnds oof thhe laatestt auttomattizattion toolls wee cann useed foor avvoid themm , wwhy tthesee toools sstilll nott enoough, andd howw to prevvent themm in proggra

5、mmming.Keywoords: Bufffer Overrfloww，Overrfloww Deteectioon, Overrfloww Deffensee 正文1 绪论1.1 立立题背景缓冲区溢出出是当前一一些软件存存在的最常常见的安全全隐患之一一，通过提提供一个恶恶意的输入入黑客可以以改变进程程的执行流流程，缓冲冲区溢出能能够威胁到到整个进程程，机器，甚甚至相关的的系统领域域。如果运运行的进程程是在权限限比较高的的用户下面面，比如aadminnistrratorr或者本地地的系统帐帐户(Loocal Systtem AAccouunt),那么黑客客破坏所导导致的损失失将会很严严重而且

6、将将会面临更更广泛的潜潜在危胁。最最近时期爆爆发的一些些众所周知知的病毒像像，红色代代码病毒和和震荡波蠕蠕虫病毒，都都是C/CC+代码码里存在着着缓冲区溢溢出的结果果。1.2 研研究内容在几乎所有有计算机语语言中，不不管是新的的语言还是是旧的语言言，使缓冲冲区溢出的的任何尝试试通常都会会被该语言言本身自动动检测并阻阻止（比如如通过引发发一个异常常或根据需需要给缓冲冲区添加更更多空间）。但但是有两种种语言不是是这样：CC 和 CC+ 语语言。C 和 C+ 语言言通常只是是让额外的的数据乱写写到其余内内存的任何何位置，而而这种情况况可能被利利用从而导导致恐怖的的结果。更更糟糕的是是，用 CC 和

7、CC+ 编编写正确的的代码来始始终如一地地处理缓冲冲区溢出则则更为困难难；很容易易就会意外外地导致缓缓冲区溢出出。除了 C 和 C+ 使用得 非常广泛泛外，上述述这些可能能都是不相相关的事实实；例如，RRed HHat LLinuxx 7.11 中 886% 的的代码行都都是用 CC 或 CC + 编写的。因因此，大量量的代码对对这个问题题都是脆弱弱的，因为为实现语言言无法保护护代码避免免这个问题题。 在 C 和和 C+ 语言本本身中，这这个问题是是不容易解解决的。该该问题基于于 C 语语言的根本本设计决定定（特别是是 C 语语言中指针针和数组的的处理方式式）。由于于 C+ 是最兼兼容的 CC

8、 语言超超集，它也也具有相同同的问题。存存在一些能能防止这个个问题的 C/C+ 兼容容版本，但但是它们存存在极其严严重的性能能问题。而而且一旦改改变 C 语言来防防止这个问问题，它就就不再是 C 语言言了。许多多语言（比比如 Jaava 和和 C#）在在语法上类类似 C，但但它们实际际上是不同同的语言，将将现有 CC 或 CC+ 程程序改为使使用那些语语言是一项项艰巨的任任务。有些语言存存在允许缓缓冲区溢出出发生的&ldquuo;转义义&rdqquo;子子句。Adda 一般般会检测和和防止缓冲冲区溢出（即即针对这样样的尝试引引发一个异异常），但但是不同的的程序可能能会禁用这这个特性。CC# 一

9、般般会检测和和防止缓冲冲区溢出，但但是它允许许程序员将将某些例程程定义为“不安全的的”，而这样样的代码 可能 会会导致缓冲冲区溢出。因因此如果您您使用那些些转义机制制，就需要要使用 CC/C+ 程序所所必须使用用的相同种种类的保护护机制。许许多语言都都是用 CC 语言来来实现的（至至少部分是是用 C 语言来实实现的 ），并并且用任何何语言编写写的所有程程序本质上上都依赖用用 C 或或 C+ 编写的的库。因此此，所有程程序都会继继承那些问问题，所以以了解这些些问题是很很重要的。 2缓冲区区溢出的概述 2.1 缓缓冲区溢出出的起源内存溢出已已经是软件件开发历史史上存在了了近40年年的“老大难”问题

10、2.2缓冲冲区溢出如如何工作计算机还有有由程序共共享， 随随机访问内内存 (RRAM)。 为了简化化, 内存存管理 WWindoows XXP SPP 2 有有功能控制制当前正在在使用哪段段的 RAAM。 如如果启动程程序, 释释放内存分分配给程序序。 该内存被分分为三段： 代码段段此处存储程程序特定执执行命令。 数据段段此处程序特特定数据存存储。 堆栈是是数据段 （一部分分）此处存储所所有与程序序函数。 这包括参参数、 缓缓冲区存储储本地变量量以及, 最重要、 返回地址址。 返回回地址指定定执行函数数后， 程程序将继续续从。作为是由用用户输入该该信息也注注册作为变变量, 一一切， 发发送到堆

11、栈栈用户类型型。 不通通常, 此此行为不提提出问题。 但是, 如果因编编程错误, 超过缓缓冲区限制制堆栈成为为容易控制制。 整个个段被指定定为本地变变量例如, 如果攻攻击者选择择适当项对对于攻击, 可能会会覆盖用指指令。 此此外, 后后续返回地地址可更改改为指向恶恶意代码。 因此, 程序不再再正常, 但盲目执执行攻击者者的命令。内存的底部部 内存的顶顶部 bufffer1 sfpp reet aa b c - 增长 - . 堆栈的顶部部 堆栈的底底部 许多计算机机处理器，包包括所有 x86 处理器，都都支持从高高位地址向向低位地址址“倒”增长堆栈栈。因此，每每当一个函函数调用另另一个函数数，更

12、多的的数据将被被添加到左左边（低位位地址），直直至系统的的堆栈空间间耗尽。在在这个例子子中，当 mainn() 调调用 fuunctiion1() 时，它它将 c 的值压入入堆栈，然然后压入 b 的值值，最后压压入 a 的值。之之后它压入入 retturn (rett) 值，这这个值在 funcctionn1() 完成时告告诉 fuunctiion1() 返回回到 maain() 中的何何处。它还还把所谓的的“已保存的的帧指针（ssavedd fraame ppointter，ssfp）”记录到堆堆栈上；这这并不是必必须保存的的内容，此此处我们不不需要理解解它。在任任何情况下下， fuunct

13、iion1() 在启启动以后，它它会为 bbuffeer1() 预留空空间，这在在图 1 中显示为为具有一个个低地址位位置。 现在假设攻攻击者发送送了超过 bufffer1() 所能能处理的数数据。接下下来会发生生什么情况况呢？当然然，C 和和 C+ 程序员员不会自动动检查这个个问题，因因此除非程程序员明确确地阻止它它，否则下下一个值将将进入内存存中的“下一个”位置。那那意味着攻攻击者能够够改写 ssfp （即即已保存的的帧指针），然然后改写 ret （返回地地址）。之之后，当 funcctionn1() 完成时，它它将“返回” 不过不不是返回到到 maiin() ，而是返返回到攻击击者想要运

14、运行的任何何代码。 通常攻击者者会使用它它想要运行行的恶意代代码来使缓缓冲区溢出出，然后攻攻击者会更更改返回值值以指向它它们已发送送的恶意代代码。这意意味着攻击击者本质上上能够在一一个操作中中完成整个个攻击！AAlephh On 的文章（请请参阅 参参考资料）详详细介绍了了这样的攻攻击代码是是如何创建建的。例如如，将一个个 ASCCII 00 字符压压入缓冲区区通常是很很困难的，而而该文介绍绍了攻击者者一般如何何能够解决决这个问题题。 除了 smmashiing-sstackk 和更改改返回地址址外，还存存在利用缓缓冲区溢出出缺陷的其其他途径。与与改写返回回地址不同同，攻击者者可以 ssmas

15、hhing-stacck（使堆堆栈上的缓缓冲区溢出出），然后后改写局部部变量以利利用缓冲区区溢出缺陷陷。缓冲区区根本就不不必在堆栈栈上 它可以以是堆中动动态分配的的内存（也也称为“mallloc”或“new”区域），或或者在某些些静态分配配的内存中中（比如“globbal”或“stattic”内存）。基基本上，如如果攻击者者能够溢出出缓冲区的的边界，麻麻烦或许就就会找上你你了。 然然而，最危危险的缓冲冲区溢出攻攻击就是 stacck-smmashiing 攻攻击，因为为如果程序序对攻击者者很脆弱，攻攻击者获得得整个机器器的控制权权就特别容容易 2.3缓缓冲区溢出出分类 22.3.11在程序的的

16、地址空间间里安排适适当的代码码 2.33.1.11殖入法 攻击者用被被攻击程序序的缓冲区区来存放攻攻击代码。 攻击者向向被攻击的的程序输入入一个字符符串，程序序会把这个个字符串放放到缓冲区区里。这个个字符串包包含的数据据是可以在在这个被攻攻击的硬件件平台上运运行的指令令序列。 2.3.11.2利用用已经存在在的代码 有时候，攻攻击者想要要的代码已已经在被攻攻击的程序序中了,攻攻击者所要要做的只是是对代码传传递一些参参数，然后后使程序跳跳转到指定定目标。比比如，在CC语言中，攻攻击代码要要求执行“execc(/bbin/ssh)”，而在llibc库库中的代码码执行“execc(argg)”，其中

17、aarg是指指向一个字字符串的指指针参数，那那么攻击者者只要把传传入的参数数指针指向向/biin/shh，就可可以调转到到libcc库中的相相应的指令令序列。 2.3.22控制程序序转移到攻攻击代码这种方法旨旨在改变程程序的执行行流程，使使之跳转到到攻击代码码。最基本本方法的就就是溢出一一个没有边边界检查或或者其他弱弱点的缓冲冲区，这样样就扰乱了了程序的正正常的执行行顺序。通通过溢出一一个缓冲区区，攻击者者可以用近近乎暴力的的方法改写写相邻的程程序空间而而直接跳过过了系统的的检查。 2.3.22.1激活活纪录（AActivvatioon Reecordds） 每当一个函函数调用发发生时，调调用

18、者会在在堆栈中留留下一个激激活纪录，它它包含了函函数结束时时返回的地地址。攻击击者通过溢溢出这些自自动变量，使使这个返回回地址指向向攻击代码码。通过改改变程序的的返回地址址，当函数数调用结束束时，程序序就跳转到到攻击者设设定的地址址，而不是是原先的地地址。这类类的缓冲区区溢出被称称为“stacck smmashiing aattacck”，是目前前常用的缓缓冲区溢出出攻击方式式。 2.3.22.2函数数指针（FFuncttion Poinnterss） C语言中，“void (* foo)()”声明了一个返回值为void函数指针的变量foo。函数指针可以用来定位任何地址空间，所以攻击者只需在任

19、何空间内的函数指针附近找到一个能够溢出的缓冲区，然后溢出这个缓冲区来改变函数指针。在某一时刻，当程序通过函数指针调用函数时，程序的流程就按攻击者的意图实现了！它的一个攻击范例就是在Linux系统下的super probe程序。 2.3.22.3长跳跳转缓冲区区（Lonngjmpp buffferss） 在C语言中中包含了一一个简单的的检验/恢恢复系统，称称为settjmp/longgjmp。意意思是在检检验点设定定“setjjmp(bbuffeer)”，用“longgjmp(bufffer)”来恢复检检验点。然然而，如果果攻击者能能够进入缓缓冲区的空空间，那么么“longgjmp(bufffe

20、r)”实际上是是跳转到攻攻击者的代代码。象函函数指针一一样，loongjmmp缓冲区区能够指向向任何地方方，所以攻攻击者所要要做的就是是找到一个个可供溢出出的缓冲区区。一个典典型的例子子就是Peerl 55.0033，攻击者者首先进入入用来恢复复缓冲区溢溢出的的llongjjmp缓冲冲区，然后后诱导进入入恢复模式式，这样就就使Perrl的解释释器跳转到到攻击代码码上了！ 3. 缓冲冲区溢出的的保护当然，要让让程序员 不犯常见见错误是很很难的，而而让程序（以以及程序员员）改为使使用另一种种语言通常常更为困难难。那么为为何不让底底层系统自自动保护程程序避免这这些问题呢呢？最起码码，避免 stacc

21、k-smmashiing 攻攻击是一件件好事，因因为 sttack-smasshingg 攻击是是特别容易易做到的。 一般来说，更更改底层系系统以避免免常见的安安全问题是是一个极好好的想法，我我们在本文文后面也会会遇到这个个主题。事事实证明存存在许多可可用的防御御措施，而而一些最受受欢迎的措措施可分组组为以下类类别： 3.1基于于探测方法法（cannary）的的防御。这这包括 SStackkGuarrd（由 Immuunix 所使用）、PProPoolicee（由 OOpenBBSD 所所使用）和和 Miccrosooft 的的 /GSS 选项。 非执行的堆堆栈防御。这这包括 SSolarr

22、Dessigneer 的 non-execc 补丁（由由 OpeenWalll 所使使用）和 execc shiield（由由 Redd Hatt/Feddora 所使用）。 其他方法。这这包括 llibsaafe（由由 Manndrakke 所使使用）和堆堆栈分割方方法。 遗憾的是，迄迄今所见的的所有方法法都具有弱弱点，因此此它们不是是万能药，但但是它们会会提供一些些帮助。 3.2基于于探测方法法的防御 :研究人员员 Criispenn Cowwan 创创建了一个个称为 SStackkGuarrd 的有有趣方法。SStackkguarrd 修改改 C 编编译器（ggcc），以以便将一个个“探

23、测”值插入到到返回地址址的前面。“探测仪”就像煤矿中的探测仪：它在某个地方出故障时发出警告。在任何函数返回之前，它执行检查以确保探测值没有改变。如果攻击者改写返回地址（作为 stack-smashing 攻击的一部分），探测仪的值或许就会改变，系统内就会相应地中止。这是一种有用的方法，不过要注意这种方法无法防止缓冲区溢出改写其他值（攻击者仍然能够利用这些值来攻击系统）。人们也曾扩展这种方法来保护其他值（比如堆上的值）。Stackguard（以及其他防御措施）由 Immunix 所使用。 IBM 的的 staack-ssmashhing 保护程序序（sspp，起初名名为 PrroPollice）

24、是是 StaackGuuard 的方法的的一种变化化形式。像像 StaackGuuard 一样，sssp 使使用一个修修改过的编编译器在函函数调用中中插入一个个探测仪以以检测堆栈栈溢出。然然而，它给给这种基本本的思路添添加了一些些有趣的变变化。 它它对存储局局部变量的的位置进行行重新排序序，并复制制函数参数数中的指针针，以便它它们也在任任何数组之之前。这样样增强了sssp 的的保护能力力；它意味味着缓冲区区溢出不会会修改指针针值（否则则能够控制制指针的攻攻击者就能能使用指针针来控制程程序保存数数据的位置置）。默认认情况下，它它不会检测测所有函数数，而只是是检测确实实需要保护护的函数（主主要是使

25、用用字符数组组的函数）。从从理论上讲讲，这样会会稍微削弱弱保护能力力，但是这这种默认行行为改进了了性能，同同时仍然能能够防止大大多数问题题。考虑到到实用的因因素，它们们以独立于于体系结构构的方式使使用 gccc 来实实现它们的的方法，从从而使其更更易于运用用。从 22003 年 5 月的发布布版本开始始，广受赞赞誉的 OOpenBBSD（它它重点关注注安全性）在在他们的整整个发行套套件中使用用了 sssp（也称称为 PrroPollice）。3.3非执执行的堆栈栈防御:另一种方法法首先使得得在堆栈上上执行代码码变得不可可能。 遗遗憾的是，xx86 处处理器（最最常见的处处理器）的的内存保护护机

26、制无法法容易地支支持这点；通常，如如果一个内内存页是可可读的，它它就是可执执行的。一一个名叫 Solaar Deesignner 的的开发人员员想出了一一种内核和和处理器机机制的聪明明组合，为为 Linnux 内内核创建了了一个“非执行的的堆栈补丁丁”；有了这这个补丁，堆堆栈上的程程序就不再再能够像通通常的那样样在 x886 上运运行。 事事实证明在在有些情况况下，可执执行程序 需要在堆堆栈上；这这包括信号号处理和跳跳板代码（ttramppolinne）处理理。traampolline 是有时由由编译器（比比如 GNNAT AAda 编编译器）生生成的奇妙妙结构，用用以支持像像嵌套子例例程之类

27、的的结构。SSolarr Dessigneer 还解解决了如何何在防止攻攻击的同时时使这些特特殊情况不不受影响的的问题。 Linuxx 中实现现这个目的的的最初补补丁在 11998 年被 LLinuss Torrvaldds 拒绝绝，这是因因为一个有有趣的原因因。即使不不能将代码码放到堆栈栈上，攻击击者也可以以利用缓冲冲区溢出来来使程序“返回”某个现有有的子例程程（比如 C 库中中的某个子子例程），从从而进行攻攻击。简而而言之，仅仅只是拥有有非可执行行的堆栈是是不足够的的。一段时间之之后，人们们又想出了了一种防止止该问题的的新思路：将所有可可执行代码码转移到一一个称为“ASCIII 保护护（A

28、SCCII aarmorr）”区域的内内存区。要要理解这是是如何工作作的，就必必须知道攻攻击者通常常不能使用用一般的缓缓冲区溢出出攻击来插插入 ASSCII NUL 字符（00)这个事事实。 这这意味着攻攻击者会发发现，要使使一个程序序返回包含含 0 的的地址是很很困难的。由由于这个事事实，将所所有可执行行代码转移移到包含 0 的地地址就会使使得攻击该该程序困难难多了。具有这个属属性的最大大连续内存存范围是从从 0 到到 0x0010100100 的一组内内存地址，因因此它们就就被命名为为 ASCCII 保保护区域（还还有具有此此属性的其其他地址，但但它们是分分散的）。与与非可执行行的堆栈相相

29、结合，这这种方法就就相当有价价值了：非非可执行的的堆栈阻止止攻击者发发送可执行行代码，而而 ASCCII 保保护内存使使得攻击者者难于通过过利用现有有代码来绕绕过非可执执行堆栈。这这样将保护护程序代码码避免堆栈栈、缓冲区区和函数指指针溢出，而而且全都不不需重新编编译。然而，ASSCII 保护内存存并不适用用于所有程程序；大程程序也许无无法装入 ASCIII 保护护内存区域域（因此这这种保护是是不完美的的），而且且有时攻击击者 能够够将 0 插入目的的地址。 此外，有有些实现不不支持跳板板代码，因因此可能必必须对需要要这种保护护的程序禁禁用该特性性。Redd Hatt 的 IIngo Molnn

30、ar 在在他的“execc-shiield”补丁中实实现了这种种思想，该该补丁由 Fedoora 核核心（可从从 Redd Hatt 获得它它的免费版版本）所使使用。最新新版本的 OpennWalll GNUU/Linnux (OWL)使用了 Solaar Deesignner 提提供的这种种方法的实实现（请参参阅 参考考资料 以以获得指向向这些版本本的链接）。 3.4其他他方法还有其他许许多方法。一一种方法就就是使标准准库对攻击击更具抵抗抗力。Luucentt Tecchnollogiees 开发发了 Liibsaffe，这是是多个标准准 C 库库函数的包包装，也就就是像 sstrcppy(

31、) 这样已知知的对 sstackk-smaashinng 攻击击很脆弱的的函数。LLibsaafe 是是在 LGGPL 下下授予许可可证的开放放源代码软软件。那些些函数的 libssafe 版本执行行相关的检检查，确保保数组改写写不会超出出堆栈桢。然然而，这种种方法仅保保护那些特特定的函数数，而不是是从总体上上防止堆栈栈溢出缺陷陷，并且它它仅保护堆堆栈，而不不保护堆栈栈中的局部部变量。它它们的最初初实现使用用了 LDD_PREELOADD ，而这这可能与其其他程序产产生冲突。LLinuxx 的 MMandrrake 发行套件件包括了 libssafe。 4.总结借助知识、谨谨慎和工具具，C 和

32、和 C+ 中的缓缓冲区溢出出缺陷是可可以防止的的。不过做做起来并没没有那么容容易，特别别是在 CC 中。如如果使用 C 和 C+ 来编写安安全的程序序，您需要要真正理解解缓冲区溢溢出和如何何防止它们们。一种替代方方法是使用用另一种编编程语言，因因为如今的的几乎其他他所有语言言都能防止止缓冲区溢溢出。但是是使用另一一种语言并并不会消除除所有问题题。许多语语言依赖 C 库，并并且许多语语言还具有有关闭该保保护特性的的机制（为为速度而牺牺牲安全性性）。但是是即便如此此，不管您您使用哪种种语言，开开发人员都都可能会犯犯其他许多多错误，从从而带来引引入缺陷。 5参考文文献【1】蒋佳佳，刘新喜喜，信息安安

33、全工程，机机械工业出出版社，22003.48页【2】FllashSSky ，Winddows 20033堆溢出及及其利用技技术深入研研究，20003.88页【3】FllashSSky，缓缓冲区溢出出漏洞发掘掘模型，22003.5【4】李涛涛，网络安安全概论，北北京：电子子工业出版版者，20004.4445页【5】启明明星辰认证证安全技术术工程师培培训【6】网络络信息安全全概论【7】Wiilliaan Sttalliings，网网络安全基基础教程（第第二版），清清华大学出出版社，22004.337页页【8】阙喜喜戎 ,赵赵耀 ,王纯 ,龚向阳阳，Winddows系系统中基于于缓冲区溢溢出的攻击击的分析，22002.4页【9】姚奇奇富，网络络安全技术术，浙江大大学出版社社，20006，1445页【10】姚姚建东,秦秦军,古志志民，两种种新的缓冲冲区溢出攻攻击原理及及防范，22006，55页10