如何防止服务器溢出 降低可能的几个方法

　　烈火建站学院(LieHuo.Net)服务器讯 溢出是程序设计者设计时的不足所带来的错误,溢出也是是操作系统、应用软件永远的痛。在骇客频频攻击、系统漏洞层出不穷的今天，任何人都不能保证操作系统系统、应用程序不被溢出。既然溢出是必然的，并且利用溢出攻击的门槛又较低，有一定电脑基础的人都可以利用工具完成一次溢出。这样看来，电脑系统就处于随时被溢出的危险中，特别是肩负重任的服务器如果被溢出被渗透的话那后果不堪设想。我们总不能坐以待毙，做为网络管理人员，应该未雨绸廖做好防范工作，把服务器被溢出的可能性降到最低。

　　一 什么是溢出：

　　溢出是黑客利用操作系统的漏洞，专门开发了一种程序，加相应的参数运行后，就可以得到你电脑具有管理员资格的控制权，你在你自己电脑上能够运行的东西他可以全部做到，等于你的电脑就是他的了。

　　二 服务器溢出该如何防：

　　1、必须打齐补丁：

　　尽最大的可能性将系统的漏洞补丁都打完;MicrosoftWindowsServer系列的服务器系统可以将自动更新服务打开，然后让服务器在指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果服务器为了安全起见禁止了对公网外部的连接的话，可以用Microsoft WSUS服务在内网进行升级。

　　2、服务最小化：

　　最少的服务等于最大的安全，停掉一切不需要的系统服务以及应用程序，最大限度地降底服务器的被攻击系数。比如前阵子的NDS溢出，就导致很多服务器挂掉了。其实如果WEB类服务器根本没有用到DNS服务时，大可以把DNS服务停掉，这样DNS溢出就对你们的服务器不构成任何威胁了。

　　3、端口过滤：

　　启动TCP/IP端口的过滤，仅打开服务器常用的TCP如21、80、25、110、3389等端口;如果安全要求级别高一点可以将UDP端口关闭，当然如果这样之后缺陷就是如在服务器上连外部就不方便连接了，这里建议大家用IPSec来封UDP。在协议筛选中只允许TCP协议、UDP协议 以及RDP协议等必需用协议即可;其它无用均不开放。

　　4、系统防火墙：

　　启用IPSec策略，为服务器的连接进行安全认证，给服务器加上双保险。封掉一些危险的端口，诸如：135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。通过IPSec禁止UDP或者不常用TCP端口的对外访问就可以非常有效地防反弹类木马。

　　5、系统命令防御：

　　删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制关键系统文件、命令及文件夹：

　　(1)、黑客通常在溢出得到shell后，来用诸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 来达到进一步控制服务器的目的。如：加账号、克隆管理员了等等。我们可以将这些命令程序删除或者改名。4 t( B+ L/ O- y.

　　提示：在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%system32dllcache下的对应文件删除或改名。我爱电脑技术社区--打造最好的电

　　(2)、也或者将这些.exe文件移动到你指定的文件夹,这样也方便以后管理员自己使用。

　　(3)、访问控制表列ACLS控制：

　　找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、regedit.exe、regedt32.exe、regsvr32.exe这些黑客常用的文件，在“属性”→“安全”中对他们进行访问的ACLs用户进行定义，诸如只给administrator有权访问，如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用;那么我们只需要将system用户在ACLs中进行拒绝访问即可。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!