如何防止服務器溢出 降低可能的幾個方法

　　建站學院(LieHuo.Net)服務器訊 溢出是程序設計者設計時的不足所帶來的錯誤,溢出也是是操作系統、應用軟件永遠的痛。在駭客頻頻攻擊、系統漏洞層出不窮的今天，任何人都不能保證操作系統系統、應用程序不被溢出。既然溢出是必然的，并且利用溢出攻擊的門檻又較低，有一定電腦基礎的人都可以利用工具完成一次溢出。這樣看來，電腦系統就處于隨時被溢出的危險中，特別是肩負重任的服務器如果被溢出被滲透的話那后果不堪設想。我們總不能坐以待斃，做為網絡管理人員，應該未雨綢廖做好防范工作，把服務器被溢出的可能性降到最低。

　　一 什么是溢出：

　　溢出是黑客利用操作系統的漏洞，專門開發了一種程序，加相應的參數運行后，就可以得到你電腦具有管理員資格的控制權，你在你自己電腦上能夠運行的東西他可以全部做到，等于你的電腦就是他的了。

　　二 服務器溢出該如何防：

　　1、必須打齊補丁：

　　盡最大的可能性將系統的漏洞補丁都打完;MicrosoftWindowsServer系列的服務器系統可以將自動更新服務打開，然后讓服務器在指定的某個時間段內自動連接到Microsoft Update網站進行補丁的更新。如果服務器為了安全起見禁止了對公網外部的連接的話，可以用Microsoft WSUS服務在內網進行升級。

　　2、服務最小化：

　　最少的服務等于最大的安全，停掉一切不需要的系統服務以及應用程序，最大限度地降底服務器的被攻擊系數。比如前陣子的NDS溢出，就導致很多服務器掛掉了。其實如果WEB類服務器根本沒有用到DNS服務時，大可以把DNS服務停掉，這樣DNS溢出就對你們的服務器不構成任何威脅了。

　　3、端口過濾：

　　啟動TCP/IP端口的過濾，僅打開服務器常用的TCP如21、80、25、110、3389等端口;如果安全要求級別高一點可以將UDP端口關閉，當然如果這樣之后缺陷就是如在服務器上連外部就不方便連接了，這里建議大家用IPSec來封UDP。在協議篩選中只允許TCP協議、UDP協議 以及RDP協議等必需用協議即可;其它無用均不開放。

　　4、系統防火墻：

　　啟用IPSec策略，為服務器的連接進行安全認證，給服務器加上雙保險。封掉一些危險的端口，諸如：135 145 139 445 以及UDP對外連接之類、以及對通讀進行加密與只與有信任關系的IP或者網絡進行通訊等等。通過IPSec禁止UDP或者不常用TCP端口的對外訪問就可以非常有效地防反彈類木馬。

　　5、系統命令防御：

　　刪除、移動、更名或者用訪問控制表列Access Control Lists (ACLs)控制關鍵系統文件、命令及文件夾：

　　(1)、黑客通常在溢出得到shell后，來用諸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 來達到進一步控制服務器的目的。如：加賬號、克隆管理員了等等。我們可以將這些命令程序刪除或者改名。4 t( B+ L/ O- y.

　　提示：在刪除與改名時先停掉文件復制服務 (FRS)或者先將 %windir%system32dllcache下的對應文件刪除或改名。我愛電腦技術社區--打造最好的電

　　(2)、也或者將這些.exe文件移動到你指定的文件夾,這樣也方便以后管理員自己使用。

　　(3)、訪問控制表列ACLS控制：

　　找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、regedit.exe、regedt32.exe、regsvr32.exe這些黑客常用的文件，在“屬性”→“安全”中對他們進行訪問的ACLs用戶進行定義，諸如只給administrator有權訪問，如果需要防范一些溢出攻擊、以及溢出成功后對這些文件的非法利用;那么我們只需要將system用戶在ACLs中進行拒絕訪問即可。

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈