在黑客的攻擊活動中,利用緩沖區溢出安全漏洞發起的攻擊占了遠程網絡攻擊的絕大多數。這種漏洞的嚴重性,在于可以使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權。緩沖區溢出攻擊之所以成為一種常見的攻擊手段,原因在于緩沖區溢出漏洞太普遍,對它的利用易于實現。緩沖區溢出漏洞給予了攻擊者所希望的一切:植入攻擊代碼并且執行代碼。被植入的攻擊代碼以一定的權限運行有緩沖區溢出漏洞的程序,進而取得被攻擊系統的控制權。
緩沖區溢出攻擊有多種形式,相應的防衛手段也隨攻擊方法的不同而不同。緩沖區溢出攻擊的目的,在于擾亂具有某些特權運行的程序的功能,使得攻擊者取得程序的控制權。如果該程序具有足夠的特權,整個主機就能夠被控制。例如對于UNIX系統,攻擊者可以通過攻擊root程序,然后執行類似“exec(sh)”的執行代碼來獲得root的shell。為了達到利用緩沖區溢出漏洞進行攻擊的目的,攻擊者必須實現這樣兩個目標:在程序的地址空間里安排適當的代碼;通過適當地初始化寄存器和存儲器,讓程序跳轉到精心安排的地址空間執行。根據這兩個目標,可以對緩沖區溢出攻擊進行分類。
1.在程序的地址空間里安排適當代碼的攻擊方法
存在兩種在被攻擊程序地址空間里安排攻擊代碼的方法,植入法和利用已經存在代碼的方法。植入法是攻擊者向被攻擊的程序輸入一個字符串,程序會把這個字符串放到緩沖區里。這個字符串包含的數據是可以在這個被攻擊的硬件平臺上運行的指令序列。在這里攻擊者用被攻擊程序的緩沖區來存放攻擊代碼。為了實現這個目標,攻擊者可能在不必溢出任何緩沖區的情況下,就找到足夠的空間來放置攻擊代碼,也可能存放在緩沖區可以設置的任何地方,如堆棧、動態分配的堆和靜態數據區等。利用已經存在代碼的方法,是指攻擊者希望使用的代碼已經存在于被攻擊的程序中,攻擊者所要做的只是對代碼傳遞一些參數,然后使程序跳轉到指定的目標。例如對于UNIX系統,攻擊代碼要求執行“exec("/bin/sh")”,而在libc庫中的代碼執行“exec(arg)”,其中arg是一個指向一個字符串的指針參數,攻擊者只要把傳入的參數指針改向指向"/bin/sh",然后就可以轉到libc庫中的相應指令序列。
2.控制程序轉移到攻擊代碼的方法
控制程序轉移到攻擊代碼的思路是尋求改變程序的執行流程,使之跳轉到攻擊代碼。采用的基本手段是溢出一個沒有邊界檢查或者其他弱點的緩沖區,從而擾亂程序的正常執行順序。通過溢出一個緩沖區,攻擊者可以用近乎暴力的方法改寫相鄰的程序空間,直接跳過系統的檢查。按照攻擊者所尋求的緩沖區溢出程序的空間類型,可以對這類攻擊進行分類。許多的緩沖區溢出是用暴力的方法來尋求改變程序指針的。這類程序的區別在于程序空間的突破和內存空間的定位不同。例如,當一個函數調用發生時,調用者會在堆棧中留下一個激活紀錄(Activation Records),它包含了函數結束時返回的地址。攻擊者可以通過溢出這些自動變量,使這個返回地址指向攻擊代碼。通過改變程序的返回地址,當函數調用結束時,程序就跳轉到攻擊者設定的地址,而不是原先的地址。這類的緩沖區溢出被稱為“stack smashing attack”,是目前常用的緩沖區溢出攻擊方式。利用函數指針(Function Pointers)是另一種方法,函數指針可以用來定位任何地址空間。攻擊者只需在任何空間內的函數指針附近找到一個能夠溢出的緩沖區,然后溢出這個緩沖區來改變函數指針。當程序通過函數指針調用函數時,程序的流程就能夠按照攻擊者意圖改變。攻擊者還可以利用長跳轉緩沖區(Longjmp buffers)。在C語言中包含了一個簡單的檢驗/恢復系統,稱為 setjmp/longjmp,是在檢驗點設定“setjmp(buffer)”,用“longjmp(buffer)”來恢復檢驗點。如果攻擊者能夠進入緩沖區的空間,那么“longimp(buffer)”就可以作為跳轉到攻擊者的代碼。攻擊者就是要找到一個可供溢出的緩沖區。
