黑客攻击停服（遭到黑客攻击）

服务器被攻击怎么办？

1、切断网络

对服务器所有的攻击都来源于网络，因此，当服务器遭受攻击的时候，首先就要切断网络，一方面能够迅速切断攻击源，另一方面也能保护服务器所在网络的其他主机。

2、查找攻击源

要根据自身经验和综合判断能力，通过分析系统日志或登录日志文件，找出可疑信息，分析可疑程序。

3、分析入侵原因和途径

一定要查清楚遭受攻击的具体原因和途径，有可能是系统漏洞或程序漏洞等多种原因造成的，只有找到问题根源，才能够及时修复系统。

4、备份好用户数据

当服务器遭受攻击的时候，就要立刻备份好用户数据，同时也要注意这些数据是否存在攻击源。如果其中有攻击源的话，就要彻底删除它，再将用户数据备份到一个安全的地方。

5、重装系统

这是最简单也是最安全的办法，已经遭受到攻击的系统中的攻击源是不可能彻底清除的，只有重装系统才能够彻底清除攻击源。

6、修复程序或系统漏洞

如果已经发现了系统漏洞或程序漏洞之后，就要及时修复系统漏洞或修改程序bug。

7、恢复数据和连接网络

将已经备份好的数据重新复制到重装好的系统中，随后将服务器开启网络连接，恢复对外服务。

服务器给攻击后会有哪几种影响

DoS攻击是网络攻击最常见的一种。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法捉供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而在此攻击中并不入侵目标服务器或目标网络设备。这些服务资源包括网络宽带、系统堆栈、开放的进程。或者允许的连接。这种攻击会导致资源耗尽，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限，所以总能找到一个方法使请求的值大于该极限值，导致所提供的服务资源耗尽。

DoS攻击有许多种类，主要有Land攻击、死亡之ping、泪滴、Smurf攻击及SYN洪水等。

据统计，在所有黑客攻击事件中，syn洪水攻击是最常见又最容易被利用的一种DoS攻击手法。

1.攻击原理

要理解SYN洪水攻击，首先要理解TCP连接的三次握手过程(Three-wayhandshake)。在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。第一次握手:建立连接时，客户端发送SYN包((SYN=i)到服务器，并进入SYN SEND状态，等待服务器确认;

第二次握手:服务器收到SYN包，必须确认客户的SYN (ACK=i+1 )，同}Jj’自己也发送一个SYN包((SYN j)}即SYN+ACK包，此时服务器进入SYN_RECV状态;

第三次握手:客户端收到服务器的SYN十ACK包，向服务器发送确认包ACK(ACK=j+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手，客户端与服务器开始传送数据。

在上述过程中，还有一些重要的概念:

半连接:收到SYN包而还未收到ACK包时的连接状态称为半连接，即尚未完全完成三次握手的TCP连接。

半连接队列:在三次握手协议中，服务器维护一个半连接队列，该队列为每个客户端的SYN包(SYN=i )开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于SYN_ RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

Backlog参数:表示半连接队列的最大容纳数目。

SYN-ACK重传次数:服务器发送完SYN-ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息、从半连接队列中删除。注意，每次重传等待的时间不一定相同。

半连接存活时间:是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

上面三个参数对系统的TCP连接状况有很大影响。

SYN洪水攻击属于DoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。从图4-3可看到，服务器接收到连接请求(SYN=i )将此信息加入未连接队列，并发送请求包给客户( SYN=j,ACK=i+1 )，此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN 请求

被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。过程如下:

攻击主机C(地址伪装后为C')-----大量SYN包----彼攻击主机

C'-------SYN/ACK包----被攻击主机

由于C’地址不可达，被攻击主机等待SYN包超时。攻击主机通过发人量SYN包填满未连接队列，导致正常SYN包被拒绝服务。另外，SYN洪水攻击还可以通过发大量ACK包进行DoS攻击。

2．传统算法

抵御SYN洪水攻击较常用的方法为网关防火墙法、中继防火墙法和SYNcookies。为便于叙述，将系统拓扑图简化为图4-4。图中，按网络在防火墙内侧还是外侧将其分为内网、外网(内网是受防火墙保护的)。其次，设置防火墙的SYN重传计时器。超时值必须足够小，避免backlog队列被填满;同时又要足够大保证用户的正常通讯。

(1) 网关防火墙法

网关防火墙抵御攻击的基本思想是:对于内网服务器所发的SYN/ACK包，防火墙立即发送ACK包响应。当内网服务器接到ACK包后，从backlog队列中移出此半连接，连接转为开连接，TCP连接建成。由于服务器处理开连接的能力比处理半连接大得多，这种方法能有效减轻对内网服务器的SYN攻击，能有效地让backlog队列处于未满状态，同时在重传一个未完成的连接之前可以等待更长时间。

以下为算法完整描述:

第一步，防火墙截获外网客户端发向内网服务器SYN数据包，允许其通过，抵达内网服务器。同时在连接跟踪表中记录此事件.

第二步，防火墙截获服务器发向客户端的SYN/ACK响应包，用连接跟踪表中记录的相应SYN包匹配它.

第三步，防火墙让截获的SYN/ACK继续进行(发向客户端)。同时，向内网服务器发送ACK包。这样，对服务器来说，TCP连接三次握手已经完成。系统在backlog队列中删掉此半连接.

第四步，看此TCP连接是否有效，相应产生两种解决方法。如果客户端的连接尝试是有效的，那么防火墙将接到来自客户端的ACK包，然后防火墙将它转发到服务器。服务器会忽略这个冗余的ACK包，这在TCP协议中是允许的.

如果客户端的IP地址并不存在，那么防火墙将收不到来自客户端的ACK包，重转计时器将超时。这时，防火墙重传此连接.

(2) 中继防火墙法

中继防火墙抵御攻击的思想是:防火墙在向内网服务器发SYN包之前，首先完成与外网的三次握手连接，从而消除SYN洪水攻击的成立条件。

以下为算法完整描述:

第一步，防火墙截获外网客户端发向内网服务器SYN数据包.

第二步，防火墙并不直接向内网发SYN数据包，而是代替内网服务器向外网发SYNIACK数据包.

第三步，只有接到外网的ACK包，防火墙向内网发SYN包.

第四步，服务器应答SYN/ACK包.

第五步，防火墙应答ACK包.

(3) 分析

首先分析算法的性能，可以看出:为了提高效率，上述算法使用了状态检测等机制(可通过本系统的基本模块层得以实现)

对于非SYN包(CSYN/ACK及ACK包)，如果在连线跟踪信息表未查找到相应项，则还要匹配规则库，而匹配规则库需比较诸多项(如IP地址、端口号等)，花费较大，这会降低防火墙的流量。另外，在中继防火墙算法中，由于使用了SYN包代理，增加了防火墙的负荷，也会降低防火墙的流量。

其次，当攻击主机发ACK包，而不是SYN包，算法将出现安全漏洞。一般地，TCP连接从SYN包开始，一旦 SYN包匹配规则库，此连接将被加到连接跟踪表中，并且系统给其60s延时。之后，当接到ACK包时，此连接延时突然加大到3600s。如果，TCP连接从ACK包开始，同时此连接未在连接跟踪表中注册，ACK包会匹配规则库。如匹配成功，此连接将被加到连接跟踪表中，同时其延时被设置为3600s。即使系统无响应，此连接也不会终止。如果攻击者发大量的ACK包，就会使半连接队列填满，导致无法建立其它TCP连接。此类攻击来自于内网。因为，来自于外网的ACK包攻击，服务器会很快发RST包终止此连接(SOs。而对于内网的外发包，其限制规则的严格性要小的多。一旦攻击者在某时间段内从内网发大量ACK包，并且速度高于防火墙处理速度，很容易造成系统瘫痪。

(4) SYN cookies

Linux支持SYN cookies，它通过修改TCP协议的序列号生成方法来加强抵御SYN洪水攻击能力。在TCP协议中，当收到客户端的SYN请求时，服务器需要回复SYN-SACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie(回复包的SYN序列号)给客户端，如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到。cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手(注意:此时并不用查看此连接是否属于backlog队列)。

微软停止服务支持，被黑客攻击会怎样？中病毒？中病毒会怎样？

会比较容易被黑客攻击，停止更新，简单说就是无保护了

楼主也不用担心，微软将与腾讯等多家国内的互联网以及防病毒安全厂商进行合作，在用户选择升级到新一代的操作系统前，继续提供独有的安全保护。

近日，腾讯电脑管家“XP系统专业防护版”正式上线，成为全国首款针对XP系统的专业安全防护软件。提供了漏洞修复、风险预警、系统加固引擎、个人信息防泄漏保护、黑客入侵防御等XP系统定制防御体系，依托电脑管家全球最大的安全云库的海量数据资源，XP专业版能够从根本上加强XP系统对漏洞和木马病毒的免疫力和抵抗能力。此外，XP系统用户遇到电脑问题时，还可以通过腾讯电脑管家的电脑诊所进行一键修复。

瑞典连锁超市遭遇国际黑客袭击，数百家店被迫停业，这些黑客的目的是什么？

说实话，这次瑞典的这个超市可以说是极为冤枉的，毕竟在最开始的时候，黑客攻击的对象并不是他们，而是他们背后的软件服务商。但是万万没有想到，黑客竟然直接可以打破他们的防火墙，甚至可以黑进他们的母系统当中，把所有的应用程序都给暂停，这才直接导致这家连锁超市被暂停所有的运营业务。那么今天我们就来探讨一下这些黑客的目的以及解决办法。

第一，黑客的目的到底是什么？

其实黑客的目的非常的简单，就是为了钱，想必大家对于网络勒索已经非常的清楚，这些黑客在此前已经在全球各地都进行过类似的案件。而且当时大多数的软件供应商对于他们的手法都没有应对办法，所以有很多人都选择花钱了事，而这些黑客也非常的讲信用，只要你们打钱，他就可以给你解锁，从而能够保证你的正常运行。

第二，这样的事情应该如何解决？

说实话，这家公司之所以能够被别人黑进去，很明显是他们的防火系统做的实在太差了，而且作为一个专门制作网络程序的公司，竟然这么轻易的被别人黑进去，可能以后的业务都不好展开，而这一次，瑞典的连锁超市直接被黑入系统，导致他们的收银系统崩溃。目前已经超过800家的超市处于停业状态，损失已经超过800万美元。

第三，目前这件事情的最新进展。

因为事情所发生的地方虽然是在瑞典，但其转件的提供方式美国，所以目前美国的联邦调查局以及国土信息安全都已经对这件事情展开了调查。不过说实话，他们在此前已经接受过类似的案件，却并没有调查一个好的结果出来，所以在我看来，这一次可能还会无功而返，所以这一次黑客可能又会获得成功。

服务器受到黑客攻击怎么办？

1、屏蔽攻击源ip地址，从源头上堵死流量来源

登录cpanel后台，找到”日志”“访客”

仔细分析下里面的访客IP,如果某一IP地址在短时间内有大量的数据，可以考虑屏蔽掉。通过”访客”这个目录进去，数据太多，并且都是网页版本的，分析起来比较麻烦。另外一个方法是点击”日志”“原始访问日志”，下载压缩包并解压，使用文本编辑器打开分析。

使用这种方式也有一定的缺陷。攻击者敢于攻击，肯定也想到了一定的规避措施。在分析ip地址的时候，我们不仅仅判断同一个ip地址，更要判断出同一类型的ip地址。ip地址分为三类型，A类，B类，C类。判断一个IP地址属于哪个类型，只需要看ip地址的第一个字节。A类IP的地址第一个字段范围是0~127，B类地址范围：128.0.0.1到191.255.255.254，C类地址的第一组数字为192～223。如果两个ip地址不同，但是属于同一类型的ip地址，并且网络号一样，那么也是我们要考虑过滤的ip地址。

这种方式也会有一定的误判，只在非常时期使用。现在很多人刷流量使用流量精灵等软件来刷，ip都是代理的，很难找到元凶。

2、向百度站长平台提交异常报告,附加上相关截图

3、使用杭州超级科技的超级防护盾

百分百防御cc攻击，无上限防御ddos攻击！价格划算，可以试用看效果说话！欢迎搜索咨询！