溢出是程序設(shè)計(jì)者設(shè)計(jì)時(shí)的不足所帶來的錯(cuò)誤,溢出也是是操作系統(tǒng)、應(yīng)用軟件永遠(yuǎn)的痛。在駭客頻頻攻擊、系統(tǒng)漏洞層出不窮的今天，任何人都不能保證操作系統(tǒng)系統(tǒng)、應(yīng)用程序不被溢出。既然溢出是必然的，并且利用溢出攻擊的門檻又較低，有一定電腦基礎(chǔ)的人都可以利用工具完成一次溢出。這樣看來，電腦系統(tǒng)就處于隨時(shí)被溢出的危險(xiǎn)中，特別是肩負(fù)重任的服務(wù)器如果被溢出被滲透的話那后果不堪設(shè)想。我們總不能坐以待斃，做為網(wǎng)絡(luò)管理人員，應(yīng)該未雨綢廖做好防范工作，把服務(wù)器被溢出的可能性降到最低。
　　
一 什么是溢出：
　　
溢出是黑客利用操作系統(tǒng)的漏洞，專門開發(fā)了一種程序，加相應(yīng)的參數(shù)運(yùn)行后，就可以得到你電腦具有管理員資格的控制權(quán)，你在你自己電腦上能夠運(yùn)行的東西他可以全部做到，等于你的電腦就是他的了。
　　
二 服務(wù)器溢出該如何防：
　　
1、必須打齊補(bǔ)?。?
　　
盡最大的可能性將系統(tǒng)的漏洞補(bǔ)丁都打完;MicrosoftWindowsServer系列的服務(wù)器系統(tǒng)可以將自動(dòng)更新服務(wù)打開，然后讓服務(wù)器在指定的某個(gè)時(shí)間段內(nèi)自動(dòng)連接到Microsoft Update網(wǎng)站進(jìn)行補(bǔ)丁的更新。如果服務(wù)器為了安全起見禁止了對(duì)公網(wǎng)外部的連接的話，可以用Microsoft WSUS服務(wù)在內(nèi)網(wǎng)進(jìn)行升級(jí)。　　

2、服務(wù)最小化：
 
最少的服務(wù)等于最大的安全，停掉一切不需要的系統(tǒng)服務(wù)以及應(yīng)用程序，最大限度地降底服務(wù)器的被攻擊系數(shù)。比如前陣子的NDS溢出，就導(dǎo)致很多服務(wù)器掛掉了。其實(shí)如果WEB類服務(wù)器根本沒有用到DNS服務(wù)時(shí)，大可以把DNS服務(wù)停掉，這樣DNS溢出就對(duì)你們的服務(wù)器不構(gòu)成任何威脅了。
　　
3、端口過濾：
 
啟動(dòng)TCP/IP端口的過濾，僅打開服務(wù)器常用的TCP如21、80、25、110、3389等端口;如果安全要求級(jí)別高一點(diǎn)可以將UDP端口關(guān)閉，當(dāng)然如果這樣之后缺陷就是如在服務(wù)器上連外部就不方便連接了，這里建議大家用IPSec來封UDP。在協(xié)議篩選中只允許TCP協(xié)議、UDP協(xié)議 以及RDP協(xié)議等必需用協(xié)議即可;其它無用均不開放。
　　
4、系統(tǒng)防火墻：

啟用IPSec策略，為服務(wù)器的連接進(jìn)行安全認(rèn)證，給服務(wù)器加上雙保險(xiǎn)。封掉一些危險(xiǎn)的端口，諸如：135 145 139 445 以及UDP對(duì)外連接之類、以及對(duì)通讀進(jìn)行加密與只與有信任關(guān)系的IP或者網(wǎng)絡(luò)進(jìn)行通訊等等。通過IPSec禁止UDP或者不常用TCP端口的對(duì)外訪問就可以非常有效地防反彈類木馬。
　　
5、系統(tǒng)命令防御：
　　
刪除、移動(dòng)、更名或者用訪問控制表列Access Control Lists (ACLs)控制關(guān)鍵系統(tǒng)文件、命令及文件夾：

(1)、黑客通常在溢出得到shell后，來用諸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 來達(dá)到進(jìn)一步控制服務(wù)器的目的。如：加賬號(hào)、克隆管理員了等等。我們可以將這些命令程序刪除或者改名?！　? t( B+ L/ O- y.
　　
提示：在刪除與改名時(shí)先停掉文件復(fù)制服務(wù) (FRS)或者先將 %windir%system32dllcache下的對(duì)應(yīng)文件刪除或改名。我愛電腦技術(shù)社區(qū)--打造最好的電
　　
(2)、也或者將這些.exe文件移動(dòng)到你指定的文件夾,這樣也方便以后管理員自己使用?！　?
　　
(3)、訪問控制表列ACLS控制：
　　
找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、regedit.exe、regedt32.exe、regsvr32.exe這些黑客常用的文件，在“屬性”→“安全”中對(duì)他們進(jìn)行訪問的ACLs用戶進(jìn)行定義，諸如只給administrator有權(quán)訪問，如果需要防范一些溢出攻擊、以及溢出成功后對(duì)這些文件的非法利用;那么我們只需要將system用戶在ACLs中進(jìn)行拒絕訪問即可?！　?
　　
(4)、如果你覺得在GUI下面太麻煩的話，你也可以用系統(tǒng)命令的CACLS.EXE來對(duì)這些.exe文件的Acls進(jìn)行編輯與修改，或者說將他寫成一個(gè)bat批處理文件來執(zhí)行以及對(duì)這些命令進(jìn)行修改。
　　
(5)、對(duì)磁盤如C、D、E、F等進(jìn)行安全的ACLS設(shè)置從整體安全上考慮的話也是很有必要的，另外特別要對(duì)Windows、WinntSystem、Document and Setting等文件夾。
　　
(6)、組策略配置：
　　
想禁用“cmd.exe”，執(zhí)行“開始→運(yùn)行”輸入gpedit.msc打開組策略，選擇“用戶配置→管理模板→系統(tǒng)”，把“阻止訪問命令提示符”

設(shè)為“啟用”。同樣的可以通過組策略禁止其它比較危險(xiǎn)的應(yīng)用程序。
　　
(7)、服務(wù)降級(jí)：
　　對(duì)一些以System權(quán)限運(yùn)行的系統(tǒng)服務(wù)進(jìn)行降級(jí)處理。比如：將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System權(quán)限運(yùn)行的服務(wù)或者應(yīng)用程序換成其它administrators成員甚至users權(quán)限運(yùn)行，這樣就會(huì)安全得多了。但前提是需要對(duì)這些基本運(yùn)行狀態(tài)、調(diào)用API等相關(guān)情況較為了解。
　　
小結(jié)：其實(shí)，關(guān)于防止如Overflow溢出類攻擊的辦法除了用上述的幾點(diǎn)以外，還有很多種辦法：比如通過注冊(cè)表進(jìn)行建立相應(yīng)的鍵值，進(jìn)行設(shè)置;寫防護(hù)過濾程序用DLL方式加載windows到相關(guān)的SHell以及動(dòng)態(tài)鏈接程序之中這類。當(dāng)然自己寫代碼來進(jìn)行驗(yàn)證加密就需要有相關(guān)深厚的Win32編程基礎(chǔ)了，以及對(duì)Shellcode較有研究。
　　
三 、如何防止溢出獲取Shell后對(duì)系統(tǒng)的進(jìn)一步入侵
　　
1、 在做好1中上述的工作之后，基本上可以防目駭客在溢出之后得到shell了;因?yàn)榧词筄verflow溢出成功，但在調(diào)用CMDSHELL、以及對(duì)外聯(lián)接時(shí)就卡了。 (為什么呢，因?yàn)?1.溢出后程序無法再調(diào)用到CMDSHLL已經(jīng)禁止system訪問CMD.exe了。2.溢出之后在進(jìn)行反彈時(shí)已經(jīng)無法對(duì)外部IP進(jìn)行連接了。所以，基本上要能過system權(quán)限來反彈shell就較困難的了...)
　　
2、 當(dāng)然世界上是不存在絕對(duì)的安全的，假設(shè)入侵者在得到了用戶的shell之后，做些什么呢?一般入侵者在在得到shell之后，就會(huì)諸如利用系統(tǒng)命令加賬號(hào)了 通過tftp、ftp、vbs等方式傳文件了等等來達(dá)到進(jìn)一步控制服務(wù)器。這里通過1上述的辦法對(duì)命令進(jìn)行了限制，入侵者是沒有辦法通過tftp、ftp來傳文件了，但他們?nèi)匀豢梢阅苓^echo寫批處理，用批處理通過腳本BAT/VBS/VBA等從WEB上下載文件，以及修改其它盤類的文件等潛在破壞行為。所以用戶需要 將echo命令也限制以及將其它盤的System寫、修改文件的權(quán)限進(jìn)行處理。以及將VBS/VBA類腳本以及XMLhttp等組件進(jìn)行禁用或者限制system的運(yùn)行權(quán)。這樣的話別人得到Shell也無法對(duì)服務(wù)器上的文件進(jìn)行刪除以及進(jìn)行步的控制系統(tǒng)了;以及本地提權(quán)反彈Shell了。
　　
服務(wù)器的安全是個(gè)系統(tǒng)工程，任何小小的疏忽都有可以造成服務(wù)器的淪陷。“防”永遠(yuǎn)比“補(bǔ)”好，管理員“防”在溢出之前，把被攻擊的危險(xiǎn)降到最低，這才是真正的服務(wù)器安全之道。 

溢出是程序設(shè)計(jì)者設(shè)計(jì)時(shí)的不足所帶來的錯(cuò)誤,溢出也是是操作系統(tǒng)、應(yīng)用軟件永遠(yuǎn)的痛。在駭客頻頻攻擊、系統(tǒng)漏洞層出不窮的今天，任何人都不能保證操作系統(tǒng)系統(tǒng)、應(yīng)用程序不被溢出。既然溢出是必然的，并且利用溢出攻擊的門檻又較低，有一定電腦基礎(chǔ)的人都可以利用工具完成一次溢出。這樣看來，電腦系統(tǒng)就處于隨時(shí)被溢出的危險(xiǎn)中，特別是肩負(fù)重任的服務(wù)器如果被溢出被滲透的話那后果不堪設(shè)想。我們總不能坐以待斃，做為網(wǎng)絡(luò)管理人員，應(yīng)該未雨綢廖做好防范工作，把服務(wù)器被溢出的可能性降到最低。

【編輯推薦】

1. 迎合技術(shù)趨勢(shì) 預(yù)置虛擬化軟件服務(wù)器推薦(1)
2. 國(guó)產(chǎn)服務(wù)器加速虛擬化普及
3. 什么是微軟的服務(wù)器Hyper-V技術(shù)