网站被黑客黑了该怎么办？

如果您的网站被黑客攻击了，以下是几个需要紧急采取的步骤：

立即停止服务器：如果您发现有可疑活动或已经被黑客入侵，请立即停止服务器。这可以防止黑客进一步访问和损害您的系统。

收集证据：在采取任何行动之前，请先收集尽可能多的证据，以确定何时和如何发生攻击，并找到安全漏洞所在。这将有助于更好地了解攻击，识别受影响的系统和数据，并采取适当的修复措施。

通知相关方：通知相关人员，包括内部员工、其他组织、并报告给执法机构。这有助于防止更广泛的损失，并确保您采取的措施得到支持和认可。

关闭安全漏洞：了解安全漏洞的来源，并及时修复这些漏洞。可能需要进行软件升级或者修补程序来消除安全漏洞。

恢复系统：分析黑客攻击后，需要对网站系统进行重新设置和恢复，确保其能够重新上线，同时确保网站所有数据和系统都是安全的。

加强安全措施：加强网站安全措施，使用安全密码、定期备份数据、升级软件和硬件等方法来提高系统的安全性。

总之，如果您的网站被黑客攻击了，需要立即采取行动，确定攻击范围，收集证据并修复漏洞，同时加强安全防范，以确保您的网站和数据免受黑客攻击。

阿里云服务器遭受大流量攻击而进入黑洞，所有来自外部的流量都会被丢弃，黑洞期间，服务器的外网访问将被屏蔽。最好的解决方法就是清洗流量，先换ip，新换的ip不要泄露出去，然后找第三方进行流量清洗，这个过程要注意硬防和只能防的区别，最好是智能防护，将流量损失降到最低！

问题的根源没找到的话，你投入再多钱也是白搭，分析了问题，对症下药…… 楼主可以自己ping下服务器，或者抓包来查看，是否有arp病毒攻击。如果是，问题就棘手了，因为arp要想解决双绑定、安装arp防火墙这些只是解决基本的小问题，arp的攻击方式可是层出不穷的哦。要想彻底解决只能从终端网卡上面去做拦截防御，这就只能升级免疫网络了。

什么是ARP？

地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

假设:

计算机A的IP为19216811,MAC地址为00-11-22-33-44-01;

计算机B的IP为19216812,MAC地址为00-11-22-33-44-02;

ARP工作原理如下:

在TCP/IP协议中,A给B发送IP包,在包头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行一次以太包的封装,在这个以太包中,目标地址就是B的MAC地址

计算机A是如何得知B的MAC地址的呢？解决问题的关键就在于ARP协议。

在A不知道B的MAC地址的情况下,A就广播一个ARP请求包,请求包中填有B的IP(19216812),以太网中的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A。

A得到ARP应答后,将B的MAC地址放入本机缓存,便于下次使用。

本机MAC缓存是有生存期的,生存期结束后,将再次重复上面的过程。

二、谁能根本防护ARP欺骗攻击？

ARP欺骗/攻击反复袭击，是近来网络行业普遍了解的现象，随着ARP攻击的不断升级，不同的解决方案在市场上流传。但是最近发现，有一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。我公司的技术服务人员接到很多用户反应说有些ARP防制方法很容易操作和实施，但经过实际深入了解后，发现长期效果都不大。

对于ARP攻击防制，最好的方法是先踏踏实实把基本防制工作做好，才是根本解决的方法。由于市场上的解决方式众多，我们无法一一加以说明优劣，因此我们仅从ARP攻击防制的基本思想来进行解释。我们认为您如果能了解这个基本思想，就能自行判断何种防制方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。

I、不坚定的ARP协议

一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。

就像一个没有计划的快递员，想要送信给"张三"，只在马路上问"张三住那儿？"，并投递给最近和他说"我就是！"或"张三住那间！"，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行；但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。

我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。

由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP就是以这样的方式，造成网络运作不正常，达到**用户密码或破坏网络运作的目的。针对ARP攻击的防制，常见的方法，可以分为以下三种作法：

1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。

2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。

3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。

以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。下面针对前两种方法加以说明。

PK 赛之"ARP echo"

ARP echo是最早开发出来的ARP攻击解决方案，但随着ARP攻击的发展，渐渐失去它的效果。现在，这个方法不但面对攻击没有防制效果，还会降低局域网运作的效能，但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说，ARP echo的作法，等于是时时用电话提醒快递员正确的发送对象及地址，减低他被邻近的各种信息干扰的情况。

但是这种作法，明显有几个问题：第一，即使时时提醒，但由于快递员意志不坚定，仍会有部份的信件因为要发出时刚好收到错误的信息，以错误的方式送出去；这种情况如果是错误的信息频率特高，例如有一个人时时在快递员身边连续提供信息，即使打电话提醒也立刻被覆盖，效果就不好；第二，由于必须时时提醒，而且为了保证提醒的效果好，还要加大提醒的间隔时间，以防止被覆盖，就好比快递员一直忙于接听总部打来的电话，根本就没有时间可以发送信件，耽误了正事；第三，还要专门指派一位人时时打电话给快递员提醒，等于要多派一个人手负责，而且持续地提醒，这个人的工作也很繁重。

以ARP echo方式对应ARP攻击，也会发生相似的情况。第一，面对高频率的新式ARP攻击，ARP echo发挥不了效果，掉线断网的情况仍旧会发生。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果，但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二，ARP echo手段必须在局域网上持续发出广播网络包，占用局域网带宽，使得局域网工作的能力降低，整个局域网的计算机及交换机时时都在处理ARP echo广播包，还没受到攻击局域网就开始卡了。第三，必须在局域网有一台负责负责发ARP echo广播包的设备，不管是路由器、服务器或是计算机，由于发包是以一秒数以百计的方式来发送，对该设备都是很大的负担。

图一：ARP攻击防制方法-----"ARP echo"

常见的ARP echo处理手法有两种，一种是由路由器持续发送，另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，被覆盖掉的机会很大，因此面对新型的ARP攻击防制效果小。因此，有些解决方法，就是拿ARP攻击的软件来用，只是持续发出正确的网关、服务器对照表，安装在服务器或是计算机上，由于服务器或是计算机运算能力较强，可以同一时间内发出更多广播包，效果较大，但是这种作法一则大幅影响局域网工作，因为整个局域网都被广播包占据，另则攻击软件通常会设定更高频率的广播包，误导局域网计算机，效果仍然有限。

此外，ARP echo一般是发送网关及MAC的对照信息，对于防止局域网计算机被骗有效果，对于路由器没有效果，仍需作绑定的动作才可。

PK 赛之"ARP绑定"

ARP echo的作法是不断提醒计算机正确的ARP对照表，ARP绑定则是针对ARP协议"思想不坚定"的基本问题来加以解决。ARP绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及地址记下来，再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表，因此完全不会受到有心人士的干扰，能有效地完成工作。在这种情况下，无论如何都可以防止因受到攻击而掉线的情况发生。

但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。第一，即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；第二，必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。

双向绑定的解决方法，最为网管不喜欢的就是必须一台一台加以绑定，增加工作量。但是从以上的说明可知道，只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫，可以较全面性地解决现在及未来ARP攻击的问题，网管为了一时的省事，而采取片面的ARP echo解决方式，未来还是要回来解决这个问题。

图二：ARP攻击防制方法-----"ARP双向绑定"

II、现阶段唯一解决方案----双向绑定

以上以思想不坚定的快递员情况，说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚，只有以培训的方式让ARP协议的意志坚定，明白正确的工作方法，才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法，但是没有能从快递员意志不坚的特点着手，就好像只管不教，最终大家都很累，但是效果仍有限。

经我公司技术团队仔细研究，建议：面对这种新兴攻击，取巧用省事的方式准备，最后的结果可能是费事又不管用，必须重新来过。ARP双向绑定虽然对管理带来一定的工作量，但是其效果确是从根本上解决了问题。

三、沈家弄ARP欺骗攻击防护机房实现方式介绍：

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

基于以上两种ARP欺骗的方式，软件园专用机房沈家弄IDC数据中心采用独立网段加上双向绑定的方法设立了防ARP欺骗攻击的专用机房，拓朴结构示意图如下：

ARP欺骗攻击防护实现方式:

外部防护

1、此防护区域使用独立网关，从电信路由层以独立VLAN的物理结构方式接入，与其他非防护区域服务器完全隔离

内部防护

2、防护专区中心交换机以机柜为单位划分VLAN，保证机柜之间无法直接通信，防止机柜之间的ARP 欺骗攻击。防护专区中心交换机进行 IP段—MAC---交换机端口 配对绑定，服务器只能在指定交换机机柜和指定交换机端口使用,防止内部ARP攻击机截获网关数据，进行欺骗攻击。

3、机柜交换机进行 IP—MAC—交换机端口 配对绑定，服务器只能在指定交换机端口使用，防止内部ARP攻击机发送虚假IP 地址，虚假MAC地址，伪造网关，进行欺骗攻击。

4、机柜交换机进行 网关IP—网关MAC 静态绑定，为机柜内部服务器提供静态的网关MaC地址解析。

开启防火墙

关闭不需要的端口

更改一些应用的默认端口，如ssh的默认端口

为文件设置恰当的权限，不要轻易使用root用户

摘要：一台服务器可能放着许多网站，这些网站承载着大量的业务，一旦服务器被黑的话，那这些网站就变成了案板上的肉，任人宰割了，万一网站数据都被删除的话那后果是不堪设想的，服务器的安全现在已经变得相当的重要！做好服务器安全设置，防范于未然！

防止网络服务器被黑的技巧如下：

2、在获取客户端提交的参数时，进行严格的过滤，包括参数长短、参数类型等等;

3、对管理员后台进行严格的保护，有条件的话，应该设置为只允许特定的IP访问(例如只允许管理员网段访问)――这个要根据实际情况来看;

4、对操作系统进行安全配置，防止注入后调用系统的功能，例如把 cmdexe/tftpexe/ftpexe/netexe 这些文件全部转移到其他目录，并对目录进行严格的权限指派;最好每个网站都给独立受限的权限！

5、设置网络访问控制;设置完全策略，防火墙等网络安全，防止服务器被流量攻击，造成网站不能访问！设置tcp/IP筛选，屏蔽不使用的端口！避免端口被人利用造成服务器被黑！

6、有条件的话，配置针对HTTP的内容过滤，过滤病毒、恶意脚本等;

7、如果有必要，可以考虑选择HTTPS，这样可以防止很多的注入工具扫描。 相信你也看出来了，总的来说程序方面主要考虑权限、参数过滤等问题;权限主要包括IIS浏览权限、数据库调用权限。除此以外，还要考虑数据库、操作系统的安全配置。以及把不适用的端口都去掉！

网络服务器中数据库的配置极其重要，希望大家给予更多的注意。有些用户的服务器相关密码就设置成123456等一些简单的密码，结果很容易被人破解造成服务器被黑，造成数据丢失和其他的不可挽回的损失！

所以对于服务器的安全问题应该引起大家的足够重视！！