✔ 最佳答案
何謂緩衝區溢位攻擊?
大多數應用程式都會使用固定大小的緩衝區來暫存資料。 若攻擊者在緩衝區其中之一傳送過多資料,而不檢查資料量的大小,則緩衝區就會溢位。 伺服器此時將會執行溢出的資料,將其視為一個程式。 若此可攻擊的緩衝區中存在一具權限的程序,此一惡意程式將會取得伺服器的完全控制權,並可以任意執行許多動作,包括執行受駭電腦上的指令、竊取密碼或其他機密資料、變更系統設定或/和安裝後門程式等。
Google 查得的。
資料來源:
http://www.nai.com/tw/security/resources/sv_ent19.htm
2010-06-12 18:11:05 補充:
1、如何可以防止溢位類的駭客攻擊呢?
1 盡最大的可能性將系統的漏洞修正檔都打完;最好是比如Microsoft Windows Server系列的系統可以將自動更新服務開啟,然後讓伺服器在您指定的某個時間段內自動連線到Microsoft Update網站進行修正檔的更新。如果您的伺服器為了安全起見 禁止了對公共外網外部的連接的話,可以用Microsoft WSUS服務在局內網進行昇級。(關於Microsoft WSUS 2.0的安裝與組態可以參考此文:
http://www.31896.net/html/2006-1-5/14001689122.shtml )
2010-06-12 18:11:23 補充:
2 停掉一切不需要的系統服務以及應用程式,最大限能的降底伺服器的被攻擊係數。比如前陣子的MSDTC溢位,就導致很多伺服器掛掉了。其實如果WEB類伺服器根本沒有用到MSDTC服務時,您大可以把MSDTC服務停掉,這樣MSDTC溢位就對您的伺服器不構成任何威脅了。
2010-06-12 18:11:41 補充:
3 啟動TCP/IP連接阜的過濾:僅開啟常用的TCP如21、80、25、110、3389等連接阜;如果安全要求等級高一點可以將UDP連接阜關閉,當然如果這樣之後缺陷就是如在伺服器上連外部就不方便連接了,這裡建議大家用IPSec來封UDP。在傳輸協定篩選"只允許"TCP傳輸協定(傳輸協定號為:6)、UDP傳輸協定(傳輸協定號為:17)以及RDP傳輸協定(傳輸協定號為:27)等必需用傳輸協定即可;其它無用均不開放。
2010-06-12 18:12:24 補充:
4 啟用IPSec原則:為伺服器的連接進行安全認證,給伺服器加上雙保險。如3所說,可以在這裡封掉一些危險的端品諸如:135 145 139 445 以及UDP對外連接之類、以及對通讀進行加密與只與有信任關係的IP或者網路進行通訊等等。
2010-06-12 18:12:42 補充:
5 移除、移動、更名或者用訪問控制表列Access Control Lists (ACLs)控制關鍵系統檔案、指令及資料夾:
⒈ 黑客通常在溢位得到shell後,來用諸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 來達 到進一步控制伺服器的目的如:加帳號了,複製管理員了等等;這裡我們可以將這些指令程序移除或者改名。(注意:在移除與改名時先停掉文件複製服務 (FRS)或者先將 %windir%\system32\dllcache\下的對應文件移除或改名。)
2010-06-12 18:13:00 補充:
2.也或者將這些.exe文件移動到你指定的資料夾,這樣也方便以後管理員自己使用 ^0^
2010-06-12 18:14:09 補充:
3.訪問控制表列ACLS控制:找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件,在「內容」→「安全」中對他們進行訪問的ACLs用戶進 行定義,諸如只給administrator有權訪問,如果需要防範一些溢位攻擊、以及溢位成功後對這些文件的非法利用;那麼我們只需要將system用戶 在ACLs中進行拒絕訪問即可。
2010-06-12 18:14:30 補充:
4.如果你覺得在GUI下面太麻煩的話,你也可以用系統指令的CACLS.EXE來對這些.exe文件的Acls進行編輯與修改,或者說將他寫成一個.bat批次處理 文件來執行以及對這些指令進行修改。
2010-06-12 18:14:47 補充:
5.對磁牒如C/D/E/F等進行安全的ACLS設定從整體安全上考慮的話也是很有必要的,另外特別是win2k,對Winnt、 Winnt\System、Document and Setting等資料夾。
2010-06-12 18:15:19 補充:
6 進行註冊表的修改禁用指令解釋器: (如果您覺得用5的方法太煩瑣的話,那麼您不防試試下面一勞永逸的辦法來禁止CMD的執行
參考: 天之心, 天之心, 天之心, 天之心, 天之心, 天之心, 天之心, 天之心, 天之心, 天之心, 天之心