缓冲区溢出攻击检测技术的分析和研究.pdf

维普资讯 第33卷 第16期 计 算 机 工 程 2007年8月 Vo1．33 No．16 ComputerEngineering August2007 · 安全技术 · 文章编号：1000___3428(2007)16．__o142—o2 文献标识码：A 中图分类号：TP309．2 缓冲区溢出攻击检测技术的分析和研究 徐启杰，薛 质 (上海交通大学信息安全工程学院，上海 200030) 擅 要：缓冲区溢出攻击是 目前最具威胁的攻击方式之一，对信息安全造成了极大的危害。该文通过分析缓冲区溢出攻击的原理 ，归纳出 攻击所必需的3个步骤，根据检测这 3个攻击步骤，将当前最常用的缓冲区溢出攻击检测技术分为 3种类型，并对其进行了分析和研究。 关健词：缓冲区溢出；ShellCode；攻击检测 AnalysisandStudyofBufferOverflowAttackDetectionTechnology XUQi-jie，XUEZhi (SchoolofInformationSecurityEngineering，ShanghaiJiaotongUniversity，Shanghai200030) [Abstract]Bufferoverflowattackisoneofthemosthtreateningattacktypesanditjeopardizesinformationsecurityalot．AccordingtOthe principleoftheattack，thispapergeneralizesthreenecessarystepsofabufferoverfl ow attack ． Itdividesthemostpopulartechnologiesofbuffer overflow attackdetectionintothreetypesinlightofdetectingthethreeattacksteps，andalsoanalyzesandstudieshtosetechnologies [Keywords]bufferoverflow；ShellCode；attackdetection 在信息安全 日益被人们所关注的今天，缓冲区溢出毫无 系统控制权的方法。为控制被攻击系统，攻击者需要取得足 疑问是最大的安全威胁之一。Internet上的第 1例蠕虫(Morris) 够的权限。然而多数情况下，攻击者的权限都不足以使其能 攻击，就是利用了fingerd的缓冲区溢出漏洞。SANS评选出 够控制被攻击系统。因此，攻击者希望利用一个以高权限在 的2005年威胁最大的20个漏洞中，有8个跟缓冲区溢出有 运行的程序，注入攻击代码，使得攻击代码在高权限下执行。 关…。根据 CERT的统计数据，近几年与缓冲区溢出有关的 缓冲区溢出主要有以下3种：(1)基于堆栈的缓冲区溢出； 安全事件在 50％以上 J。 (2)基于堆的缓冲区溢出；(3)基于数据段的缓冲区溢出。一般 在缓冲区中写入大量的数据将会导致缓冲区溢出。缓冲 情况下，静态存储区和堆上的缓冲区溢出漏洞很难被攻击者 区溢出如此普遍是因为C语言固有的不安全性，它对数组和 利用，而堆栈上的漏洞较为容易被利用，具有极大的危险性。 指针的操作没有 自动的边界检查机制，许多标准C函数库所 由于函数里局部变量的内