对抗缓冲器溢出攻击

　　缓冲器溢出攻击也许是最声名狼藉并被广泛宣传的攻击。它是比较复杂的，利用了系统的基础硬件和软件性能。

　　 数据缓冲器溢出可以破坏计算平台的正常工作，使它在一定的特权下运行攻击者的代码，从而使得系统的安全机制被破坏，安全性丧失。CERT（COMPUTER EMERGENCR RESPONSE TEAM）在1998年给出的13项安全劝告中有9项是关于缓冲器溢出的。据COWAN等人在1999年一项报告中给出的数据，有2/3以上的安全问题是由缓冲器溢出造成的。

　　 在应用软件中利用缓冲器溢出是极其危险的，下图说明了典型的缓冲器溢出的布局。下面我们来看一看缓冲器溢出攻击是如何工作的：

　　首先软件开发人员在设计软件时要声明一个缓冲区，它是用来存储变量的一个存储块，我们假设它可存储8个字符的用户名。攻击者就通过在提示时输入10个字符的名字“myusername”，来测试溢出。然后，程序就把这个名字复制到以前声明的缓冲区，但是名字是10个字符，后2个字符就改写了缓冲区，并导致程序崩溃。在证实了缓冲器溢出后，攻击者就可输入特定的指令，执行恶意的程序，以偷取系统上的密码。

　　缓冲器溢出缺陷在计算机系统中大量存在，利用这种缺陷的攻击方法也就层出不穷。而仅靠给系统不断的打Patch的方法充其量只能算亡羊补牢，不能从根本上解决问题。而作为目前网络主要防护手段之一的防火墙对缓冲器溢出攻击是无能为力的。

　　凝思磐石安全服务器系统从操作系统的核心做起，与硬件系统相配合，使用多层保护机制，能够从根本上杜绝通过缓冲器溢出攻击的方法控制服务器，大大地提高了系统的安全性。

下一页