显示下一条 | 关闭 温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！立即重新绑定新浪微博》 | 关闭 嚣张|网易博客一，准备工作1，登录进VPS控制面板，准备好随时重启VPS。2，关闭Web Server先，过高的负载会导致后面的操作很难进行，甚至直接无法登录SSH。3，以防万一，把设置的Web Server系统启动后自动运行去掉。（如果已经无法登录进系统，并且重启后负载过高导致刚刚开机就已经无法登录，可联系管理员在母机上封掉VPS的IP或80端口，在母机上用虚拟控制台登录进系统，然后进行2&3的操作，之后解封）二，找出攻击者IP1，在网站根目录建立文件ip.php，写入下面的内容。<?php$real_ip = getenv（‘HTTP_X_FORWARDED_FOR’）；if（isset（$real_ip））{shell_exec（“echo $real_ip 》 real_ip.txt”）；shell_exec（“echo $_SERVER['REMOTE_ADDR'] 》 proxy.txt”）；
}else{
shell_exec（“echo $_SERVER['REMOTE_ADDR'] 》 ips.txt”）；
}
echo ‘服务器受到攻击，
一、ARP通讯协议过程
由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输、计算机是根据mac来识别一台机器。
区域网内A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机B的IP地址）,网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址)。
二、一次完整的ARP欺骗
ARP 欺骗分为两种，一种是双向欺骗，一种是单向欺骗:
1.单向欺骗
A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
A和C之间进行通讯.但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地
在Win.ini中"run="和"load="下什么都没有
在System.ini中 "shell=文件名"， 这个文件名必须是explorer.exe，在这里特别要细心的看，看看explorer.exe是不是写成expl0rer.exe或者iexplorer.exe等类似的。
如果满足以上俩个条件，那么可以说win.ini和system.ini是正常的文件。
win.ini对应的注册表为:HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
system.ini对应的注册表为：HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
2:检查系统配置和注册表
Win+R 调出运行对话框输入msconfig按回车调出系统配置，在启用项里查找不明的程序，勾掉前面的对话框按确定，那么系统在下次启动时不加载勾掉的程序。
注册表启动项：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices
SYN/ACK Flood攻击：
这种攻击方法是经典最有效的DDOS攻击方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。
TCP全连接攻击：
这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOS攻击方式容易被追踪。
很多人都说SQL Server配置的时候要把1433端口改变，这样别人就不能很容易地知道使用的什么端口了。可惜，通过微软未公开的1434端口的UDP探测可以很容易的知道SQL Server使用了什么TCP/IP端口。
不过微软还是考虑到了这个问题，毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。如果隐藏了 SQL Server 实例，则将禁止对试图枚举网络上现有的 SQL Server 实例的客户端所发出的广播作出响应。这样，别人就不能用1434来探测你的TCP/IP端口了（除非用Port Scan）。
　　很安全了，不会意外中毒。
　　咱们首先谈谈网络安全范畴：
　　网络安全：指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更
　　改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义
　　来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领
　　域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等
　　多种学科的综合性学科。
　　比如：很多朋友们，无意点击一个网页链接就中了别人的“套”有的是木马，有的是病毒，这恶意程序一旦运行就会
　　读取你本地计算机的信息，你的安全防护即被打破。更有