我们已经用各种性能测试来评测堆栈保护的性能。Mircobenchmarks的结果表明在函数的调用，堆栈保护中增加了系统的

开销。而在网络的测试中(需要用到堆栈保护的地方)，则表明这种开销不是很大。

我们的第一个测试对象是SSH，它提供了极强的加密和认证，用来替代Berkeley的r系列指令。SSH使用了软件加密，因此系统的占用的带宽不大，我们用网络间复制一个大的文件来测试带宽：

scp bigsource localhost：bigdest

测试结果表明：堆栈保护几乎不影响SSH的网络吞吐性能。

第二个测试使用了Apache Web服务器。如果这种服务器存在基于堆栈的攻击，那么攻击者就可以轻易地取得Web服务器的控制权，允许攻击者阅读隐秘的内容和肆意篡改主页的内容。同时，Web服务器也是对性能和带宽要求较高的一个服务器部件。

我们用WebStone对带有和不带堆栈保护的Apache Web服务器进行了测试。

和SSH一样，他们的性能几乎没有区别。在客户数目较少的情况下，带有保护的服务器性能比不带保护的略微好些，在客户端数目多的时候，不带保护的性能好些。在最坏的情况下，带保护的服务器比不带保护的要差8%的连接性能，而在平均延时上保持优势。象以前一样，我们把这些归结为噪声的影响。因此，我们的结论是：堆栈保护对Web服务器系统性能没有重大的影响。

3.4.3 指针保护：编译器生成程序指针完整性检查

在堆栈保护设计的时候，冲击堆栈构成了缓冲区溢出攻击的常见的一种形式。有人推测存在一种模板来构成这些攻击(在1996年的时候)。从此，很多简单的漏洞被发现，实施和补丁了，很多攻击者开始用在第二部分中描述的更一般的方法实施缓冲区溢出攻击。

指针保护是堆栈保护针对这种情况的一个推广。通过在所有的代码指针之后放置附加字节来检验指针在被调用之前的合法性。如果检验失败，会发出报警信号和退出程序的执行，就如同在堆栈保护中的行为一样。这种方案有两点需要注意：

附加字节的定位：

附加字节的空间是在被保护的变量被分配的时候分配的，同时在被保护字节初始化过程中被初始化。这样就带来了问题；为了保持兼容性，我们不想改变被保护变量的大小，因此我们不能简单地在变量的结构定义中加入附加字。还有，对各种类型也有不同附加字节数目。

检查附加字节：

每次程序指针被引用的时候都要检查附加字节的完整性。这个也存在问题；因为“从存取器读”在编译器中没有语义；编译器更关心指针的使用，而各种的优化算法倾向于从存储器中读入变量。

还有随着不同类型的变量，读入的方法也各自不同。

我们已经开发了指针保护的一个原型(还是基于gcc的)，通过附加字节来保护静态分配的函数指针，但不适用于结构和数组类型。这个计划还远没有完成。一旦这个项目完成了，那么用它和堆栈保护构成的可执行代码将不会受到缓冲区溢出的攻击了。

目前为止，只有很少一部分使用非指针变量的攻击能逃脱指针保护的检测。但是，可以通过在编译器上强制对某一变量加入附加字节来实现检测，这时需要程序员自己手工加入相应的保护了。

3.5 兼容性和性能的考虑

程序指针完整性检查与边界检查相比，并不能防止所有的缓冲区溢出问题。然而在执行的性能和兼容性上具有相当的优势：

性能：

边界检查必须在每个数组元素操作时完成一次检查。相比之下，程序指针检查只在被引用的时候实现检查。无论在C还是在C++中，这种花在程序指针引用上的开销始终比数组的指针引用小。

应用效能：

边界检查最难实现之处在于在C语言中，很能确定数组的边界。这是由于在C中，数组的概念和通用指针的混用造成的。由于一个指针是一个独立的对象，没有与特定的边界条件关联，只有一个系统的机器字来存储它，而标识边界信息的数据却没有存放。因此需要特殊的方法来恢复这些信息；数组的引用将不在是一个简单的指针，而是一个对缓冲区描述的指针组。

与现有代码的兼容性：

一些边界检查方法为了与现有的代码保持兼容而在系统的性能上得到了损失。而另一些则用别的方法达到目的。这样就打破的传统的C的转换规则，转而产生了一类新的C编译器，只能编译C的一个子集，有的还不能使用指针或者需要别的改变。

四. 有效的组合

在这里我们研究、比较在第二部分描述的各种漏洞攻击和在第三部分描述的防卫方法，以此来确定何种组合能完全消除缓冲区溢出问题。但是我们没有把边界检查计算在内，因为它能有效地防止所有的缓冲区溢出，但是所需的开销也是惊人的。

最普通的缓冲区溢出形式是攻击活动纪录然后在堆栈中殖入代码。这种类型的攻击在1996年中有很多纪录。而非执行堆栈和堆栈保护的方法都可以有效防卫这种攻击。非执行堆栈可以防卫所有把代码殖入堆栈的攻击方法，堆栈保护可以防卫所有改变活动纪录的方法。这两种方法相互兼容，可以同时防卫多种可能的攻击。

剩下的攻击基本上可以用指针保护的方法来防卫，但是在某些特殊的场合需要用手工来实现指针保护。全自动的指针保护需要对每个变量加入附加字节，这样使得指针边界检查在某些情况下具有优势。

最为有趣的是，第一个缓冲区溢出漏洞--Morris蠕虫使用了现今所有方法都无法有效防卫的方法，但是却很少有人用到，也许是这种方法过于复杂的缘故吧。

五. 结论

在本文中，我们详细描述和分析了缓冲区溢出的攻击和防卫方法。由于这种攻击是目前常见的攻击手段，所以进行这个方面的研究工作是有意义和成效的。研究的结果表明，堆栈保护方法和非执行缓冲区方法对于当前绝大多数的攻击都能有效地防御，指针保护的方法可以对剩下的攻击进行有效的防御。最后声明的是对于Morris蠕虫的攻击，迄今还没有有效的防御手段。

上一页  [1] [2]