防火墻無法檢測入侵行為，只能通過設置復雜的訪問規則來防御這些入侵行為或者攻擊，當外部數據通過防火墻時會通過防火墻設置的這些規則，當該數據匹配到規則后則會被阻止，沒有匹配到規則的數據則可以安全通過防火墻，所以防火墻本身不具備入侵檢測功能。但是可以借助入侵檢測系統來解決防火墻無法檢測入侵的缺陷。防火墻主要是借助硬件和軟件的作用于內部和外部網絡的環境間產生一種保護的屏障，從而實現對計算機不安全因素阻斷。

防火墻有以下局限性：

• 防火墻可以阻斷攻擊，但不能消滅攻擊源： “各掃自家門前雪，不管他人瓦上霜”，就是目前網絡安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火墻能夠阻擋他們，但是無法清除攻擊源。

• 防火墻不能抵抗最新的未設置策略的攻擊漏洞：就如殺毒軟件與病毒一樣，總是先出現病毒，殺毒軟件經過分析出特征碼后加入到病毒庫內才能查殺。防火墻的各種策略，也是在該攻擊方式經過專家分析后給出其特征進而設置的。

• 防火墻的并發連接數限制容易導致擁塞或者溢出：由于要判斷、處理流經防火墻的每一個包，因此防火墻在某些流量大、并發請求多的情況下，很容易導致擁塞，成為整個網絡的瓶頸影響性能。而當防火墻溢出的時候，整個防線就如同虛設。

• 防火墻對服務器合法開放的端口的攻擊大多無法阻止：某些情況下，攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本攻擊等。

• 防火墻對的內部主動發起的連接攻擊一般無法阻止：防火墻對外部的一些攻擊可以進行有效的防御，但是那些木馬通過內部實施的攻擊行為則無法進行防護。

• 防火墻本身也會出現問題和受到攻擊：防火墻也是一個交互系統，也有硬件和軟件系統因此也存在漏洞和BUG，所以其本身也可能受到攻擊和出現軟硬件方面故障；

簡單來說就是冒充域名服務器對申請域名服務的客戶端給出假冒的IP地址，從而誘使其訪問假冒的網址的行為。域名欺騙是安全漏洞的一種非常常見的形式，其中，網絡犯罪分子試圖偽造公司的商業電子郵件域，以偽造發件人的地址來進行一系列惡意活動。攻擊者在發送的電子郵件中創建可信的“發件人”字段，以增加其看起來合法并因此被收件人打開的機會。

預防DNS型欺騙攻擊的方法有以下這些：

• 使用較新的DNS軟件，因為其中有些可以支持控制訪問方式記錄DNS信息，域名解析服務器只對那些合法的請求做出響應。內部的請求可以不受限制地訪問區域信息，外部的請求僅能訪問那些公開的信息。

• 直接用IP訪問重要的服務，這樣至少可以避開DNS欺騙攻擊，但需要記住自己要訪問的IP地址。

• 正確配置區域傳輸。即只允許相互信任的DNS服務器之間才允許傳輸解析數據。

• 配合使用防火墻。使用防火墻可使得DNS服務器位于防火墻的保護之內，只開放相應的服務端口和協議。

• 保護DNS服務器所存儲的信息。部分注冊信息的登錄方式仍然采用一些比較過時的方法，如采用電子郵件的方式就可以升級DNS注冊信息，這些過時的方法需要添加安全措施，如采用加密的口令，或者采用安全的瀏覽器平臺工具來提供管理域代碼記錄的方式。

• 系統管理員也可以采用分離DNS的方式，內部的系統與外部系統分別訪問不同的DNS系統，外部的計算機僅能訪問公共的記錄。

物聯網安全架構有以下幾層：

• 設備層：設備層指的是物聯網解決方案中的硬件層，就是“物聯網”中“物”的實體或產品。當前ODM和OEM不斷在物聯網硬件與軟件中添加安全特性以提高設備層的安全性。設備層主要涉及芯片安全、安全引導、物理安全等保護措施。

• 通信層：通信層指的是物聯網解決方案中的連通網絡，即數據傳輸、數據接收的媒介。當敏感數據通過物理層（例如Wi-Fi、802.15.4或Ethernet）、網絡層（例如IPv6、Modbus或OPC-UA）或者應用層（例如MQTT、CoAP或Web套接字）進行傳輸時，不安全的通信信道很容易遭受中間人攻擊。通信層主要涉及數據加密、訪問控制等保護措施。

• 云平臺層：云平臺層指的是物聯網解決方案的后端，對所接收的數據進行提取分析并解釋。云平臺層主要涉及完整性校驗、數字證書等保護措施。

• 生命周期管理層：生命周期管理層指的是確保IoT解決方案安全的持續過程。其中安全設計是確保方案安全的第一步，其他跨越生命周期的步驟還包括策略實施、常規審計以及供應鏈管理等措施。

信息安全脆弱性分類及內容如下：

• 技術脆弱性

  物理安全：物理設備的訪問控制、電力供應等

  網絡安全：基礎網絡構架、網絡傳輸加密、訪問控制、網絡設備安全漏洞、設備配置安全等

  系統安全：應用軟件安全漏洞、軟件安全功能、數據防護等

  應用安全：應用軟件安全漏洞、軟件安全功能、數據防護等

• 管理脆弱性

  安全管理：安全策略，組織安全，資產分類與控制，人員安全，物理與環境安全，通信與操作管理，訪問控制，系統開發和維護，業務連續性、符合性

常見的操作系統都具有以下管理功能：

• 作業管理：作業是用戶在一次上機過程中要求計算機系統所做工作的總稱。作業管理的任務是完成作業從外存（硬盤之類的）進入內存的運行準備工作及作業完成后的善后工作，包括任務、界面管理、人機交互、圖形界面、語音控制和虛擬現實等；

• 文件管理：又稱為信息管理，負責管理在外存上的文件，并把文件的存取、共享和保護等手段提供給用戶。整個文件系統管理要解決四個問題，單個文件如何組織，多個文件也就是目錄如何組織，系統磁盤如何存放大大小小的文件，如何盡可能地避免軟硬件的錯誤；

• 存儲管理：實質是對存儲“空間”的管理，主要指對主存的管理，它的目的是方便用戶使用和提高存儲器利用率。存儲管理的主要任務是為多道程序的運行提供良好的環境，方便用戶使用存儲器，提高存儲器的利用率以及從邏輯上擴充存儲器；

• 設備管理：實質是對硬件設備的管理，其中包括對輸入輸出設備的分配、啟動、完成和回收；

• 進程管理：實質上是對處理機執行“時間”的管理，即如何將CPU真正合理地分配給每個任務。

apt攻擊通常具有以下特點：

• 極強的隱蔽性：APT攻擊與被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合，在組織內部，這樣的融合很難被發現。

• 潛伏期長持續性強：APT攻擊是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環境中存在一年以上，他們不斷收集用戶信息，直到收集到重要情報。他們往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，持續搜索，直到充分掌握目標對象的使用行為。所以這種攻擊模式，本質上是一種“惡意商業間諜威脅”，因此具有很長的潛伏期和持續性。

• 目標性強：不同于以往的常規病毒，APT制作者掌握高級漏洞發掘和超強的網絡攻擊技術。發起APT攻擊所需的技術壁壘和資源壁壘，要遠高于普通攻擊行為。其針對的攻擊目標也不是普通個人用戶，而是擁有高價值敏感數據的高級用戶，特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感數據持有者。

• 技術高級：攻擊者掌握先進的攻擊技術，使用多種攻擊途徑，包括購買或自己開發的0day漏洞，而一般攻擊者卻不能使用這些資源。而且，攻擊過程復雜，攻擊持續過程中攻擊者能夠動態調整攻擊方式，從整體上掌控攻擊進程。

• 威脅性大：APT攻擊通常擁有雄厚的資金支持，由經驗豐富的黑客團隊發起，一般以破壞國家或大型企業的關鍵基礎設施為目標，竊取內部核心機密信息，危害國家安全和社會穩定。

等級保護備案到以下部門登記：

• 根據《信息安全等級保護管理辦法》第十五條規定，已運營（運行）或新建的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

備案依據：

• 《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法（公安部第33號令）》、公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》（以下簡稱《管理辦法》）。

網絡攻擊目的也主要是針對數據信息的安全性來進行破壞的。攻擊類型可分為主動攻擊與被動攻擊。主動攻擊大致可分為中斷、篡改、拒絕服務三種類型。被動攻擊一般分為兩類，一類是獲取信息內容，一類是進行業務流分析。

• DDoS 攻擊

  令人頭疼的 DDoS 攻擊想必都不陌生，其針對的就是信息安全三要素中的可用性，DDoS 攻擊是利用流量來攻擊服務器以及網站，假如服務器的帶寬只有 100M，這時突然進來了 200M 帶寬的流量，服務器是沒有辦法承載 200M 流量的，導致網絡瞬間崩潰，服務器無法連接，服務也無法訪問。因為突然進來的 200M 帶寬占滿了服務器 100M 帶寬，就好比電影 《古惑仔之臥虎藏龍》司徒浩南帶人占了陳浩南的餐廳所有的桌子，導致所有來正常吃年夜飯的人無法正常吃飯。

  • 防御手段：高防服務器、黑名單設置、流量清洗等。

• 暴力破解

  暴力破解主要是針對信息的”保密性”，攻擊原理非常簡單，就是攻擊者通過大量組合嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。有種開數字密碼鎖的感覺，兩者本質是相似的。

  • 防御手段：對服務器進行有效的監控和分析就可以避免這類攻擊。

• 惡意軟件

  惡意軟件是針對系統”完整性”的攻擊，主要分為兩大類：病毒和蠕蟲，兩者的區別在與需要交互的感染，病毒是需要用戶交互來感染的惡意軟件，而蠕蟲是利用網絡進行復制和傳播，無需任何明顯用戶交互就能進入設備的惡意軟件，像最近常聽到的 “挖礦蠕蟲”。

  • 防御手段：病毒是需要具體的交互來感染的惡意軟件，所以我們正確使用電子郵件和即時通訊軟件，遇到聊天過程中的陌生鏈接和郵件附件時，盡量不要打開這類鏈接和程序。蠕蟲可以通過防火墻過濾潛在的破壞性代碼，及時更新系統補丁和反病毒軟件來實現防護。

• 獲取信息內容

  竊聽，是最常用的手段。目前應用最廣泛的局域網上的數據傳送是基于廣播方式進行的，這就使一臺主機有可能受到在子網中傳送的所有信息。

• 業務流分析

  通過對系統進行長期監聽，利用統計分析方法諸如通信頻度、通信的信息流向、通信總量的變化等參數進行研究，從中發現有價值的信息規律。

  • 防御手段：由于被動攻擊不會對被攻擊的信息做任何修改，因而非常難以檢測，抗擊這類攻擊的重點在于預防，具體措施有虛擬專用網VPN，采用加密技術保護信息以及使用交換式網絡設備等。

引導型病毒的主要特點如下：

• 繁殖性：計算機引導型病毒可以像生物病毒一樣進行繁殖，當正常程序運行的時候，它也進行運行自身復制，是否具有繁殖、感染的特征是判斷某段程序為計算機引導型病毒的首要條件。

• 破壞性：計算機中毒后，可能會導致正常的程序無法運行，把計算機內的文件刪除或受到不同程度的損壞。通常表現為：增、刪、改、移。

• 傳染性：計算機引導型病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產生變種，其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界，病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下，它可得到大量繁殖，并使被感染的生物體表現出病癥甚至死亡。同樣，計算機引導型病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機引導型病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執行，它就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺電腦上迅速擴散，計算機引導型病毒可通過各種可能的渠道，如軟盤、硬盤、移動硬盤、計算機網絡去傳染其他的計算機。當您在一臺機器上發現了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機引導型病毒的最重要條件。

• 潛伏性：有些病毒像定時炸彈一樣，讓它什么時間發作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統進行破壞。一個編制精巧的計算機引導型病毒程序，進入系統之后一般不會馬上發作，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到運行機會，就又要四處繁殖、擴散，繼續危害。潛伏性的第二種表現是指，計算機引導型病毒的內部往往有一種觸發機制，不滿足觸發條件時，計算機引導型病毒除了傳染外不做什么破壞。觸發條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執行破壞系統的操作，如格式化磁盤、刪除磁盤文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等。

• 隱蔽性：計算機引導型病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現、變化無常，這類病毒處理起來通常很困難。

• 可觸發性：病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件，這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時，觸發機制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續潛伏。

• 在安裝操作系統之前進入內存：引導型病毒是在安裝操作系統之前進入內存的，寄生對象又相對固定，因此該類型病毒基本上不得不采用減少操作系統所掌管的內存容量的方法來駐留內存高端。而正常的系統引導過程一般是不減少系統內存的。

• 把病毒傳染給軟盤：一般是通過修改INT 13H的中斷向量，而新INT 13H中斷向量段址必定指向內存高端的病毒程序。

• 感染硬盤時駐留在硬盤的主引導扇區或引導扇區：感染硬盤時必定駐留在硬盤的主引導扇區或引導扇區中，并且只駐留一次。因此，引導型病毒一般都是在軟盤啟動過程中把病毒傳染給硬盤的。而正常的引導過程一般是不對硬盤主引導區或引導區進行寫盤操作的。

• 寄生對象相對固定：所以可以把當前的系統主引導扇區和引導扇區與干凈的主引導扇區和引導扇區進行比較，如果內容不一致，可認定系統引導區異常。

入侵檢測系統主要執行功能有：

• 評估敏感系統和數據的完整性;

• 識別攻擊行為、對異常行為進行統計;

• 自動收集與系統相關的補丁;

• 審計、識別、跟蹤違反安全法規的行為;

• 監視并分析用戶和系統的行為;

• 審計系統配置和漏洞;

• 阻斷攻擊，告警。

安全審計在安全保障四階段中屬于檢測階段也稱為檢查階段，安全保障階段中將信息安全體系歸結為四個主要環節分別是保護階段、檢測階段、響應階段和恢復階段，檢查階段主要是依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查。安全審計就是依據相關法律由專業的審計人員對計算機網絡環境下的有關活動進行檢測并作出評價。

安全審計的主要作用：

• 對潛在攻擊者起到威懾和警示作用。

• 及時檢測系統，保證與安全策略和操作規程協調一致。

• 對破壞事件做出評估并提供有效的解決策略。

• 對系統控制、安全策略與規程中的變更進行評價和反饋，以便修訂決策和部署。

• 協助系統管理員及時發現網絡系統入侵或潛在的系統漏洞及隱患。

高防IP是服務器商提供高防IP段，針對用戶DDOS攻擊進行防護。高防IP原理：

用戶購買高防IP，把域名解析到高防IP上，同時設置轉發規則，web業務只要把域名指向高防IP即可。非web業務，把業務IP換成高防IP即可。全部公網流量都會走向高防IP，在通過端口協議轉發的方式將用戶的訪問通過高防IP轉發到源站IP。在這一過程中，惡意攻擊流量在高防IP上進行清洗過濾后正常回到源站IP，從而達到源站IP訪問的安全防護。

高防IP是針對互聯網服務器在遭受大流量的DDoS攻擊后導致服務不可用的情況下，推出的付費增值服務，用戶可以通過配置高防IP，將攻擊流量引流到高防IP，確保源站的穩定可靠。（無需轉移數據，理論上任何主機都可以使用高防IP來防護DDOS攻擊。）

高防ip是指高防機房所提供的ip段，主要是針對網絡中的DDoS攻擊進行保護。在網絡世界中，ip就相當于服務器的門牌號，無論是訪問還是管理服務器，都是通過ip來進行。同理，如果一個網絡攻擊者想對目標進行DDoS攻擊，都需要知道目標的ip地址，并用大量的無效流量數據對該IP的服務器進行請求,導致服務器的資源被大量占用，無法對正確的請求作出響應。同時，這些大量的無效數據還會占用該IP所在服務器的帶寬資源，造成信息的堵塞。

滲透測試過程搜集管理員信息有以下用處：

• 丟社工庫里看看有沒有泄露密碼，然后嘗試用泄露的密碼進行登錄后臺。

• 用郵箱做關鍵詞進行丟進搜索引擎。

• 利用搜索到的關聯信息找出其他郵進而得到常用社交賬號。

• 社工找出社交賬號，里面或許會找出管理員設置密碼的習慣。

• 利用已有信息生成專用字典。

• 觀察管理員常逛哪些非大眾性網站，拿下它，你會得到更多好東西。

復合型計算機病毒有以下傳播途徑：

• E-mail：如果用戶在一臺存在漏洞的電腦上打開一個被Nimda感染的郵件附件，病毒就會搜索這臺電腦上存儲的所有郵件地址，然后向它們發送病毒郵件。

• 網絡共享：Nimda會搜索與被感染電腦連接的其他電腦的共享文件，然后它以NetBIOS作為傳送工具，來感染遠程電腦上的共享文件，一旦那臺電腦的用戶運行這個被感染文件，那么那臺電腦的系統也會被感染。

• Web服務器：Nimda會搜索Web服務器，尋找MicrosoftIIS存在的漏洞，一旦它找到存在漏洞的服務器，它就會復制自己的副本過去，并感染它和它的文件。

• Web終端：如果一個Web終端訪問了一臺被Nimda感染的Web服務器，那么它也會被感染。

• 通過硬盤：通過硬盤傳染也是重要的渠道, 由于帶有病毒機器移到其它地方使用、維修等, 將干凈的軟盤傳染并再擴散。

• 通過光盤：因為光盤容量大，存儲了海量的可執行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。

可以通過以下方法來檢測是否存在病毒程序：

• 直接檢查法：感染了病毒的計算機系統的內部會發生某些變化，并會在一定的條件下表現出來，因而可以通過直接觀察法來判斷系統是否感染病毒。

• 特征代碼法：特征代碼法是檢測已知病毒的最簡單、最經濟的方法。為了實現特征代碼法，需要采集已知病毒樣本，依據如下原則抽取特征代碼抽取的代碼比較特殊，不大可能與普通的正常程序代碼吻合；抽取的代碼要有適當的長度，一方面要維持特征代碼的唯一性，另一方面要盡量使特征代碼長度短些，以減少空間與時間開銷。

• 校驗和法：校驗和法是指計算正常文件內容的校驗和，并將該校驗和寫入文件中或寫入別的文件中進行保存。在文件使用過程中，定期地或每次使用文件前，檢查文件當前內容算出的校驗和與原來保存的校驗和是否一致，從而發現文件是否被感染。

• 行為監測法：利用病毒的特有行為來監測病毒的方法，稱為行為監測法。通過對病毒多年的觀察和研究發現，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監視其行為，如果發現了病毒行為，立即報警。

• 軟件模擬法：多態性病毒在每次感染時都會變化其病毒密碼，對付這種病毒，特征代碼法將失效。因為多態性病毒代碼實施密碼化，而且每次所用密鑰不同，所以即使將感染了病毒的代碼相互比較，也無法找出相同的可能作為特征的穩定代碼。雖然行為檢測法可以檢測多態性病毒，但是在檢測出病毒后，因為不清楚病毒的種類，所以難以做消毒處理。為了檢測多態性病毒，可應用新的檢測方法——軟件模擬法，即用軟件方法來模擬和分析程序的運行。

域名劫持攻擊方法有以下這些：

• 假扮域名注冊人和域名注冊商通信：這類域名盜竊包括使用偽造的傳真，郵件等來修改域名注冊信息，有時候，受害者公司的標識之類的也會用上。增加可信度。hushmail.com被盜竊就是一次典型的例子。當時一名域名劫持者使得注冊服務提供商相信了他的身份，然后修改了該公司的域名管理員郵件信息。然后攻擊者使用管理員郵件提交了密碼重設請求。最后。攻擊者登錄域名服務商。修改密碼。更改DNS記錄,然后指向自己的服務器。

• 偽造域名注冊人在注冊商處的賬戶信息：攻擊者偽造域名注冊人的郵件和注冊商聯系。然后賣掉域名或者是讓買家相信自己就是域名管理員。

• 偽造域名注冊人的域名轉移請求：這類攻擊通常是攻擊者提交一個偽造的域名轉讓請求，來控制域名信息。在2001年，攻擊者向服務商提交了一封信。謊稱原注冊人已經被公司解雇，須將域名轉移給自己，結果他成功地控制了sex.com域名。最后被判了6500萬美元罰款。

• 直接進行一次域名轉移請求：這類攻擊有可能改dns，也有可能不改，如果不改的話。是很隱蔽的。但最終盜竊者的目的就是賣掉域名。兩個域名是由美國一家公司通過godaddy注冊管理的。結果某一天，一個盜竊者使用該公司管理員的帳號密碼登錄到域名管理商，執行了轉移請求。注意。他沒有更改dns記錄。域名在轉移期間。一切服務都沒有受到影響。

• DNS放大攻擊：DNS放大攻擊是一種流行的DDoS攻擊形式，其中目標系統被來自公共DNS服務器的查詢響應淹沒。攻擊者向公共DNS服務器發送DNS名稱查詢，使用受害者的地址作為源地址，導致公共DNS服務器的響應都被發送到目標系統。攻擊者通常會查詢盡可能多的域名信息，以最大限度地發揮放大效果。通過使用僵尸網絡，攻擊者也可以毫不費力地生成大量虛假DNS查詢。此外，由于響應是來自有效服務器的合法數據，因此很難防止DNS放大攻擊。

• DNS緩存投毒攻擊：DNS緩存投毒又稱DNS欺騙，是一種通過查找并利用DNS系統中存在的漏洞，將流量從合法服務器引導至虛假服務器上的攻擊方式。在實際的DNS解析過程中，用戶請求某個網站，瀏覽器首先會查找本機中的DNS緩存，如果DNS緩存中記錄了該網站和IP的映射關系，就會直接將結果返回給用戶，用戶對所得的IP地址發起訪問。如果緩存中沒有相關記錄，才會委托遞歸服務器發起遞歸查詢。這種查詢機制，縮短了全球查詢的時間，可以讓用戶獲得更快的訪問體驗，但也存在一定的安全風險。如果攻擊者通過控制用戶的主機或者使用惡意軟件攻擊用戶的DNS緩存，就可以對DNS緩存中的域名映射關系進行篡改，將域名解析結果指向一個虛假IP。

預防網站域名被黑客劫持的方法有以下這些：

• 注意查看可疑電子郵件：留意域名注冊中的電子郵件，因為您的網站已被入侵，因此需要您登錄。

• 投資額外的安全預防措施：與您的域名注冊商注冊多步驗證。額外的步驟會讓黑客更難訪問您的信息。另外，考慮在您的域名上放置“注冊商鎖定”，這需要您“解鎖”才能將其傳輸。有了這個，黑客將需要您的電子郵件地址和您的注冊商帳戶。

• 查看注冊商：該注冊商在輸入多個不正確的密碼后會自動鎖定，并且不會向任何電子郵件地址發送登錄憑據。同時支付更多費用以獲取您的聯系信息，包括隱藏公眾視角的電子郵件。

• 保持細致的記錄：當您的域名被盜時，如果您可以隨時提供所有權信息，例如注冊和賬單記錄，那么它有助于起訴或恢復您的域名。

• 選擇一個企業級域名注冊表：小企業的小領域最容易受到黑客的攻擊，因為他們往往不像大公司那樣擁有高度的安全性，將您的計劃和保護提升到同一級別可以為您的域提供更多保護。

• 隨時關注安全補丁和軟件：確保您將最新的安全補丁應用于您的Web服務器，以便黑客無法利用已知的軟件漏洞。

• 向注冊商索取DNSSEC：DNSSEC是一種安全擴展，可以添加到您的域名系統中，以確保用戶在點擊訪問您的網站和抵達您的網站時不會被重定向。