課題09緩沖區(qū)溢出攻擊

1、1 課題九 緩沖區(qū)溢出攻擊網(wǎng)絡(luò)安全運(yùn)行與維護(hù)2 課題SUBJECT信息教學(xué)任務(wù)：緩沖區(qū)溢出攻擊知識(shí)目標(biāo)：了解緩沖區(qū)溢出概念；理解緩沖區(qū)溢出原理；掌握緩沖區(qū)溢出攻擊能力目標(biāo)：能夠使用緩沖區(qū)溢出進(jìn)行攻擊重 點(diǎn)：緩沖區(qū)溢出攻擊難 點(diǎn)：緩沖區(qū)溢出的預(yù)防教學(xué)方法：演示法、案例教學(xué)法、任務(wù)驅(qū)動(dòng)法課堂類(lèi)型：新授課教 具：PC機(jī)、教學(xué)軟件3 內(nèi)容CONTENTS導(dǎo)航緩沖區(qū)溢出簡(jiǎn)介緩沖區(qū)溢出原理緩沖區(qū)溢出演示緩沖區(qū)溢出的預(yù)防4 緩沖區(qū)溢出（buffer overflow)從一個(gè)對(duì)話(huà)框說(shuō)起5 【引例】把1升的水注入容量為0.5升的容量中認(rèn)識(shí)緩沖區(qū)溢出l第一次大規(guī)模的緩沖區(qū)溢出攻擊是發(fā)生在1988年的Morris蠕

2、蟲(chóng)，它造成了6000多臺(tái)機(jī)器被癱瘓，損失在$100 000至$10 000 000之間，利用的攻擊方法之一就是fingerd的緩沖區(qū)溢出。l緩沖區(qū)溢出攻擊已經(jīng)占了網(wǎng)絡(luò)攻擊的絕大多數(shù)，據(jù)統(tǒng)計(jì)，大約80%的安全事件與緩沖區(qū)溢出攻擊有關(guān)。6 緩沖區(qū)溢出原理Windows系統(tǒng)的內(nèi)存結(jié)構(gòu) 7 計(jì)算機(jī)運(yùn)行時(shí)，系統(tǒng)將內(nèi)存劃分為3個(gè)段，分別是代碼段、數(shù)據(jù)段和堆棧段。Windows 系統(tǒng)的內(nèi)存結(jié)構(gòu)數(shù)據(jù)只讀，可執(zhí)行。在代碼段一切數(shù)據(jù)不允許更改。在代碼段中的數(shù)據(jù)是在編譯時(shí)生成的2進(jìn)制機(jī)器代碼，可供CPU執(zhí)行。放置程序運(yùn)行時(shí)動(dòng)態(tài)的局部變量，即局部變量的空間被分配在堆棧里面?？勺x、寫(xiě) 。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程

3、序開(kāi)始運(yùn)行的時(shí)候被加載。可讀、寫(xiě) 。代碼段 堆棧段數(shù)據(jù)段8 l緩沖區(qū)溢出源于程序執(zhí)行時(shí)需要存放數(shù)據(jù)的空間，也即我們所說(shuō)的緩沖區(qū)。l緩沖區(qū)的大小是程序執(zhí)行時(shí)固定申請(qǐng)的。然而，某些時(shí)候，在緩沖區(qū)內(nèi)裝載的數(shù)據(jù)大小是用戶(hù)輸入的數(shù)據(jù)決定的。程序開(kāi)發(fā)人員偶爾疏忽了對(duì)用戶(hù)輸入的這些數(shù)據(jù)作長(zhǎng)度檢查，由于用戶(hù)非法操作或者錯(cuò)誤操作，輸入的數(shù)據(jù)占滿(mǎn)了緩沖區(qū)的所有空間，且超越了緩沖區(qū)邊界延伸到緩沖區(qū)以外的空間。我們稱(chēng)這個(gè)動(dòng)作為緩沖區(qū)溢出。緩沖區(qū)溢出的基本原理（1）l緩沖區(qū)溢出是由于系統(tǒng)和軟件本身存在脆弱點(diǎn)所導(dǎo)致的。l例如目前被廣泛使用的C和C+，這些語(yǔ)言在編譯的時(shí)候沒(méi)有做內(nèi)存檢查，即數(shù)組的邊界檢查和指針的引用檢查，也

4、就是開(kāi)發(fā)人員必須做這些檢查，可是這些事情往往被開(kāi)發(fā)人員忽略了；標(biāo)準(zhǔn)C庫(kù)中還存在許多不安全的字符串操作函數(shù)，包括：strcpy()，sprintf()，gets()等等，從而帶來(lái)了很多脆弱點(diǎn)，這些脆弱點(diǎn)也便成了緩沖區(qū)溢出漏洞。緩沖區(qū)溢出的基本原理（2）9 /* * 文件名：overflow.cpp* 功能：演示W(wǎng)indows緩沖區(qū)溢出的機(jī)制*/ #include #include char bigbuff=“aaaaaaaaaa; / 10個(gè)avoid main() char smallbuff5; / 只分配了5字節(jié)的空間 strcpy(smallbuff,bigbuff);Windows緩沖

5、區(qū)溢出實(shí)例分析利用OllyDbg調(diào)試工具加載overflow.exe文件 10 調(diào)用strcpy()函數(shù)時(shí)堆棧的填充情況11 執(zhí)行strcpy()函數(shù)的過(guò)程溢出結(jié)果12 l可以導(dǎo)致程序運(yùn)行失敗、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。l而緩沖區(qū)溢出中，最為危險(xiǎn)的是堆棧溢出，因?yàn)槿肭终呖梢岳枚褩Ｒ绯?，在函?shù)返回時(shí)改變返回程序的地址，讓其跳轉(zhuǎn)到任意地址，帶來(lái)的危害一種是程序崩潰導(dǎo)致拒絕服務(wù)，另外一種就是跳轉(zhuǎn)并且執(zhí)行一段惡意代碼，比如得到shell，然后為所欲為。 緩沖區(qū)溢出的危害13 l2000年1月，Cerberus 安全小組發(fā)布了微

6、軟的IIS 4/5存在的一個(gè)緩沖區(qū)溢出漏洞。攻擊該漏洞，可以使Web服務(wù)器崩潰，甚至獲取超級(jí)權(quán)限執(zhí)行任意的代碼。目前，微軟的IIS 4/5 是一種主流的Web服務(wù)器程序；因而，該緩沖區(qū)溢出漏洞對(duì)于網(wǎng)站的安全構(gòu)成了極大的威脅；它的描述如下： l瀏覽器向IIS提出一個(gè)HTTP請(qǐng)求，在域名（或IP地址）后，加上一個(gè)文件名，該文件名以“.htr”做后綴。于是IIS認(rèn)為客戶(hù)端正在請(qǐng)求一個(gè)“.htr”文件，“.htr”擴(kuò)展文件被映像成ISAPI（Internet Service API）應(yīng)用程序，IIS會(huì)復(fù)位向所有針對(duì)“.htr”資源的請(qǐng)求到 ISM.DLL程序 ，ISM.DLL 打開(kāi)這個(gè)文件并執(zhí)行之。

7、l瀏覽器提交的請(qǐng)求中包含的文件名存儲(chǔ)在局部變量緩沖區(qū)中，若它很長(zhǎng)，超過(guò)600個(gè)字符時(shí)，會(huì)導(dǎo)致局部變量緩沖區(qū)溢出，覆蓋返回地址空間，使IIS崩潰。緩沖區(qū)溢出攻擊的實(shí)驗(yàn)分析14 l上述的緩沖區(qū)溢出例子中，只是出現(xiàn)了一般的拒絕服務(wù)的效果。但是，實(shí)際情況往往并不是這么簡(jiǎn)單。當(dāng)黑客精心設(shè)計(jì)這一EIP，使得程序發(fā)生溢出之后改變正常流程，轉(zhuǎn)而去執(zhí)行他們?cè)O(shè)計(jì)好的一段代碼（也即ShellCode），攻擊者就能獲取對(duì)系統(tǒng)的控制，利用ShellCode實(shí)現(xiàn)各種功能，比如，監(jiān)聽(tīng)一個(gè)端口，添加一個(gè)用戶(hù)，等等。這也正是緩沖區(qū)溢出攻擊的基本原理。l目前流行的緩沖區(qū)溢出病毒，如沖擊波蠕蟲(chóng)、震蕩波蠕蟲(chóng)等，就都是采用同樣的緩沖區(qū)

8、溢出攻擊方法對(duì)用戶(hù)的計(jì)算機(jī)進(jìn)行攻擊的。 緩沖區(qū)溢出攻擊15 流行的緩沖區(qū)溢出攻擊病毒利用漏洞：RPC緩沖區(qū)溢出 135/TCP沖擊波 在此添加標(biāo)題震蕩波 極速波高波利用漏洞：LSASS漏洞 1025/TCP利用漏洞：UPNP漏洞 445/TCP利用多種漏洞,非常危險(xiǎn)16 防范緩沖區(qū)溢出攻擊的有效措施 強(qiáng)制程序開(kāi)發(fā)人員書(shū)寫(xiě)正確的、安全的代碼。目前，可以借助grep、FaultInjection、PurifyPlus等工具幫助開(kāi)發(fā)人員發(fā)現(xiàn)程序中的安全漏洞。 通過(guò)對(duì)數(shù)組的讀寫(xiě)操作進(jìn)行邊界檢查來(lái)實(shí)現(xiàn)緩沖區(qū)的保護(hù)，使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅。常見(jiàn)的對(duì)數(shù)組操作進(jìn)行檢查的工具有Compaq C編譯器，Richard Jones和Paul Kelly開(kāi)發(fā)的gcc補(bǔ)丁等。 17 通過(guò)操作系統(tǒng)設(shè)置緩沖區(qū)的堆棧段為不可執(zhí)行，從而阻止攻擊者向其中植入攻擊代碼。微軟的DEP（數(shù)據(jù)執(zhí)行保護(hù)）技術(shù)微軟的DEP（數(shù)據(jù)執(zhí)行保護(hù)）技術(shù) （Windows XP SP2、Windows Server 2003 SP1及其更高版本的Windows操作系統(tǒng)中）1