网络攻击与防御技术07溢出.ppt

* 四川大学 软件学院 * 相对安全的标准库函数 例如在使用C的标准库函数时，做如下替换 strcpy - strncpy strcat - strncat gets - fgets 缺点 使用不当仍然会造成缓冲区溢出问题。 例如Microsoft Visual Studio 提供的C的标准函数库strsafe； 3.1.2 相对安全的函数库 * 四川大学 软件学院 * 3.1.1 类型安全的编程语言 3.1.2 相对安全的函数库 3.1.3 修改的编译器 3.1.4 内核补丁 3.1.5 静态分析方法 3.1.6 动态检测方法 3.1 基于软件的防御技术 * 四川大学 软件学院 * 增强边界检查能力的C/C++编译器 例如针对GNU C编译器扩展数组和指针的边界检查。Windows Visual C++ .NET的GS 选项也提供动态检测缓冲区溢出的能力。 返回地址的完整性保护 将堆栈上的返回地址备份到另一个内存空间；在函数执行返回指令前，将备份的返回地址重新写回堆栈。 许多高性能超标量微处理器具有一个返回地址栈，用于指令分支预测。返回地址栈保存了返回地址的备份，可用于返回地址的完整性保护 缺点 性能代价 检查方法仍不完善 3.1.3 修改的编译器 * 四川大学 软件学院 * 3.1.1 类型安全的编程语言 3.1.2 相对安全的函数库 3.1.3 修改的编译器 3.1.4 内核补丁 3.1.5 静态分析方法 3.1.6 动态检测方法 3.1 基于软件的防御技术 * 四川大学 软件学院 * 将堆栈标志为不可执行来阻止缓冲区溢出攻击； 将堆或者数据段标志为不可执行。 例如Linux的内核补丁Openwall 、 RSX、 kNoX、ExecShield和PaX等实现了不可执行堆栈，并且RSX、 kNoX、ExecShield、PaX还支持不可执行堆。另外，为了抵制return-to-libc这类的攻击，PaX增加了一个特性，将函数库映射到随机的内存空间 缺点：对于一些需要堆栈/堆/数据段为可执行状态的应用程序不合适；需要重新编译原来的程序，如果没有源代码，就不能获得这种保护。 3.1.4 内核补丁 * 四川大学 软件学院 * 3.1.1 类型安全的编程语言 3.1.2 相对安全的函数库 3.1.3 修改的编译器 3.1.4 内核补丁 3.1.5 静态分析方法 3.1.6 动态检测方法 3.1 基于软件的防御技术 * 四川大学 软件学院 * 字典检查法 遍历源程序查找其中使用到的不安全的库函数和系统调用。 例如静态分析工具ITS4、RATS (Rough Auditing Tool for Security)等。其中RATS提供对C, C++, Perl, PHP以及Python语言的扫描检测。 缺点：误报率很高，需要配合大量的人工检查工作。 3.1.5 静态分析方法 * 四川大学 软件学院 * 程序注解法 包括缓冲区的大小，指针是否可以为空，输入的有效约定等等。 例如静态分析工具LCLINT、SPLINT (Secure Programming Lint)。 缺点：依赖注释的质量 3.1.5 静态分析方法 * 四川大学 软件学院 * 整数分析法 将字符串形式化为一对整数，表明字符串长度(以字节数为单位)以及目前已经使用缓冲区的字节数。通过这样的形式化处理，将缓冲区溢出的检测转化为整数计算。 例如静态分析工具BOON (Buffer Overrun detectiON)。 缺点：仅检查C中进行字符串操作的标准库函数。检查范围很有限。 3.1.5 静态分析方法 * 四川大学 软件学院 * 控制流程分析法 将源程序中的每个函数抽象成语法树，然后再把语法树转换为调用图/控制流程图来检查函数参数和缓冲区的范围。 例如静态分析工具ARCHER (ARray CHeckER)、UNO、PREfast和Coverity等。 缺点：对于运行时才会显露的问题无法进行分析 ；存在误报的可能。 3.1.5 静态分析方法 * 四川大学 软件学院 * 3.1.1 类型安全的编程语言 3.1.2 相对安全的函数库 3.1.3 修改的编译器 3.1.4 内核补丁 3.1.5 静态分析方法 3.1.6 动态检测方法 3.1 基于软件的防御技术 * 四川大学 软件学院 * Canary-based 检测方法 将canary(一个检测值)放在缓冲区和需要保护的数据之间，并且假设如果从缓冲区溢出的数据改写了被保护数据，检测值也必定被改写。 例如动态检测工具StackGuard、StackGhost、ProPolice、PointGuard等。 缺点：多少工具通过修改编译器实现检测功能，需要重新编译程序；这种