亚洲欧美另类激情综合区,国产+亚洲+欧洲,久久精品中文字幕一区二区三区,麻豆果冻传媒2021精品传媒一区,аⅴ天堂中文在线网

?

一、名詞解釋

ARP日志，記錄ARP攻擊時(shí)的相關(guān)信息

ARP攻擊---英文原義：Address resoulution protocol

? ? ? ? ? ? ?? 中文釋義：地址解析協(xié)議

ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)置的IP地址，查詢目標(biāo)設(shè)備的MAC地址以保證通信的順利進(jìn)行。

?

二、如何使用

?

?

ARP的攻擊主要有以下幾種方式???
1.簡單的欺騙攻擊?
這是比較常見的攻擊,通過發(fā)送偽造的ARP包來欺騙路由和目標(biāo)主機(jī),讓目標(biāo)主機(jī)認(rèn)為這是一個(gè)合法的主機(jī).便完成了欺騙.這種欺騙多發(fā)生在同一網(wǎng)段內(nèi).
2.交換環(huán)境的嗅探?
在最初的小型局域網(wǎng)中我們使用HUB來進(jìn)行互連,這是一種廣播的方式,每個(gè)包都會(huì)經(jīng)過網(wǎng)內(nèi)的每臺(tái)主機(jī),通過使用軟件,就可以嗅談到整個(gè)局域網(wǎng)的數(shù)據(jù).現(xiàn)在的網(wǎng)絡(luò)多是交換環(huán)境,網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的傳輸被鎖定的特定目標(biāo).既已確定的目標(biāo)通信主機(jī).在ARP欺騙的基礎(chǔ)之上,可以把自己的主機(jī)偽造成一個(gè)中間轉(zhuǎn)發(fā)站來監(jiān)聽兩臺(tái)主機(jī)之間的通信.???

3.MAC?Flooding?
這是一個(gè)比較危險(xiǎn)的攻擊,可以溢出交換機(jī)的ARP表,使整個(gè)網(wǎng)絡(luò)不能正常通信

4.基于ARP的DOS
這是新出現(xiàn)的一種攻擊方式,D.O.S又稱拒絕服務(wù)攻擊,當(dāng)大量的連接請求被發(fā)送到一臺(tái)主機(jī)時(shí),由于主機(jī)的處理能力有限,不能為正常用戶提供服務(wù),便出現(xiàn)拒絕服務(wù).這個(gè)過程中如果使用ARP來隱藏自己,在被攻擊主機(jī)的日志上就不會(huì)出現(xiàn)真實(shí)的IP.攻擊的同時(shí),也不會(huì)影響到本機(jī).?

防護(hù)方法:?
1.?IP+MAC訪問控制.?
單純依靠IP或MAC來建立信任關(guān)系是不安全,理想的安全關(guān)系建立在IP+MAC的基礎(chǔ)上.這也是我們校園網(wǎng)上網(wǎng)必須綁定IP和MAC的原因之一.?

2.?靜態(tài)ARP緩存表.?
每臺(tái)主機(jī)都有一個(gè)臨時(shí)存放IP-MAC的對應(yīng)表ARP攻擊就通過更改這個(gè)緩存來達(dá)到欺騙的目的,使用靜態(tài)的ARP來綁定正確的MAC是一個(gè)有效的方法.在命令行下使用arp?-a可以查看當(dāng)前的ARP緩存表.以下是本機(jī)的ARP表?C:Documents?and?Settingscnqing>arp?-a?
Interface:?210.31.197.81?on?Interface?0x1000003?Internet?Address?Physical?Address?Type?210.31.197.94?00-03-6b-7f-ed-02?dynamic?
其中"dynamic"?代表動(dòng)態(tài)緩存,即收到一個(gè)相關(guān)ARP包就會(huì)修改這項(xiàng).如果是個(gè)非法的含有不正確的網(wǎng)關(guān)的ARP包,這個(gè)表就會(huì)自動(dòng)更改.這樣我們就不能找到正確的網(wǎng)關(guān)MAC,就不能正常和其他主機(jī)通信.靜態(tài)表的建立用ARP?-S?IP?MAC.?執(zhí)行"arp?-s?210.31.197.94?
00-03-6b-7f-ed-02"后,我們再次查看ARP緩存表.?C:Documents?and?Settingscnqing>arp?-a?
Interface:?210.31.197.81?on?Interface?0x1000003?Internet?Address?Physical?Address?Type?
210.31.197.94?00-03-6b-7f-ed-02?static?
此時(shí)"TYPE"項(xiàng)變成了"static",靜態(tài)類型.這個(gè)狀態(tài)下,是不會(huì)在接受到ARP包時(shí)改變本地緩存的.從而有效的防止ARP攻擊.靜態(tài)的ARP條目在每次重啟后都要消失需要重新設(shè)置.

3.?ARP?高速緩存超時(shí)設(shè)置?
在ARP高速緩存中的表項(xiàng)一般都要設(shè)置超時(shí)值,縮短這個(gè)這個(gè)超時(shí)值可以有效的防止ARP表的溢出.

4.?主動(dòng)查詢?
在某個(gè)正常的時(shí)刻,做一個(gè)IP和MAC對應(yīng)的數(shù)據(jù)庫,以后定期檢查當(dāng)前的IP和MAC對應(yīng)關(guān)系是否正常.定期檢測交換機(jī)的流量列表,查看丟包率.?

總結(jié):ARP本身不能造成多大的危害,一旦被結(jié)合利用,其危險(xiǎn)性就不可估量了.由于ARP本身的問題.使得防范ARP的攻擊很棘手,經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài),監(jiān)控流量對一個(gè)網(wǎng)管員來說是個(gè)很好的習(xí)慣。

?

三、ARP問題處理思路

1、什么是ARP欺騙

ARP欺騙（英語：ARP spoofing），又稱ARP毒化（ARP poisoning，網(wǎng)上上多譯為ARP病毒）或ARP攻擊，是針對以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)，通過欺騙局域網(wǎng)內(nèi)訪問者PC的網(wǎng)關(guān)MAC地址，使訪問者PC錯(cuò)以為攻擊者更改后的MAC地址是網(wǎng)關(guān)的MAC，導(dǎo)致網(wǎng)絡(luò)不通。此種攻擊可讓攻擊者獲取局域網(wǎng)上的數(shù)據(jù)包甚至可篡改數(shù)據(jù)包，且可讓網(wǎng)上上特定計(jì)算機(jī)或所有計(jì)算機(jī)無法正常連線。最早探討ARP欺騙的文章是由Yuri Volobuev所寫的《ARP與ICMP轉(zhuǎn)向游戲》（ARP and ICMP redirection games）。

來自百度百科：

https://baike.baidu.com/item/ARP%E6%AC%BA%E9%AA%97

?

2、ARP欺騙的癥狀

??? （1）網(wǎng)絡(luò)時(shí)斷時(shí)通；

??? （2）網(wǎng)絡(luò)中斷，重啟網(wǎng)關(guān)設(shè)備，網(wǎng)絡(luò)短暫連通

??? （3）內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；

??? （4）頻繁提示IP地址沖突；

??? （5）硬件設(shè)備正常，局域網(wǎng)不通；

??? （6）特定IP網(wǎng)絡(luò)不通，更換IP地址，網(wǎng)絡(luò)正常；

??? （7）禁用-啟用網(wǎng)卡，網(wǎng)絡(luò)短暫連通；

??? （8）網(wǎng)頁被重定向。

?

3、如何解決ARP日志中出現(xiàn)的ARP攻擊記錄

ARP欺騙基于愛快ARP日志分為兩種情況

第一種情況：

ARP沖突（內(nèi)網(wǎng)雙終端使用相同IP地址與路由通信）

解決辦法：

如果mac地址熟知是哪個(gè)終端，直接到對應(yīng)終端的IPV4上查詢是

否使用靜態(tài)IP地址，故意造成沖突存在（解決辦法：修改非沖突

IP或者使用愛快自動(dòng)獲取即可）。

如果mac地址不熟知，那么可以把IP沖突的兩個(gè)設(shè)備的Mac地址添加到Mac訪問控制里，禁止這兩個(gè)使用相同IP的終端上網(wǎng)，等待不能上網(wǎng)的人員聯(lián)系你就OK了哈；或者從物理架構(gòu)上逐一排查，從一級(jí)交換到二級(jí)交換逐層拔掉網(wǎng)線，驗(yàn)證拔到哪里時(shí)候ARP日志不再次出現(xiàn)，即發(fā)現(xiàn)設(shè)備，順網(wǎng)線找到設(shè)備核準(zhǔn)上述問題情況或者檢查內(nèi)網(wǎng)是否有其他DHCP服務(wù)端，未校驗(yàn)分配狀態(tài)，導(dǎo)致雙DHCP工作條件下的IP重復(fù)分發(fā)（解決辦法：關(guān)閉其他DHCP服務(wù)，同局域網(wǎng)標(biāo)準(zhǔn)僅允許一個(gè)DHCP服務(wù)）

第二種情況：

ARP欺騙（一般代指網(wǎng)關(guān)沖突，如愛快使用1.1，內(nèi)網(wǎng)其他終端也在使用1.1），沖突與欺騙分別對應(yīng)的是所處位置的看法（一般說使用者，也就是上網(wǎng)終端去理解）。對于使用相同IP的雙終端本身而言，他們之間就是ARP沖突；對于網(wǎng)關(guān)有多臺(tái)設(shè)備出現(xiàn)，這個(gè)就是對自己的欺騙。

解決辦法：
(1 ) 在網(wǎng)關(guān)沖突但是內(nèi)網(wǎng)沒有其他DHCP服務(wù)器沖突的條件時(shí)：
簡單處理方式：必須找到對應(yīng)也使用愛快路由器lan口，即網(wǎng)關(guān)地址的設(shè)備，
修改其使用IP地址，與局域網(wǎng)真實(shí)網(wǎng)關(guān)不同。
復(fù)雜處理方式：在無法找到或者無法修改，請直接修改愛快路由器的lan口IP
并伴隨修改愛快DHCP服務(wù)。

(2) 如果在愛快路由器上檢測有網(wǎng)關(guān)沖突并且內(nèi)網(wǎng)還有其他DHCP服務(wù)器的時(shí)候：
簡單處理方式：找到對應(yīng)也使用愛快路由器lan口，即網(wǎng)關(guān)地址的設(shè)備，修改其使
用IP地址，與局域網(wǎng)真實(shí)網(wǎng)關(guān)不同。關(guān)閉其DHCP服務(wù)。
復(fù)雜處理方式：直接修改愛快路由器的lan口IP并伴隨修改愛快DHCP服務(wù)。
并且在接入的交換機(jī)上啟用DHCPsnooping，接終端的網(wǎng)
口設(shè)為不信任口，接上級(jí)路由器的網(wǎng)口設(shè)為信任口；確?？蛻舳?/span>
從合法的DHCPServer獲取IP地址。

（3）如果上述方法沒有辦法實(shí)際操作，可以采用支持端口隔離功能的的交換機(jī)，在交
換機(jī)上開啟端口隔離功能實(shí)現(xiàn)此功能。不過端口隔離技術(shù)也有缺點(diǎn)，就是計(jì)算機(jī)之間不能實(shí)現(xiàn)互訪和共享。

?

?

三、常見問題

問:日志中心相關(guān)【用戶日志、功能日志、系統(tǒng)日志】的日志可以記錄多久?

答:日志中心是根據(jù)條數(shù)來循環(huán)的最大記錄條數(shù)如下;

sys_event? ? ? ? ? ? ? ? ? ? ? ? ?=5000，? ? ? ? ? ? ? ? ? ? ? ?系統(tǒng)日志

Pppd? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? =5000，? ? ? ? ? ? ? ? ? ? ? ?認(rèn)證日志

Arp? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? =20000，? ? ? ? ? ? ? ? ? ? ? ARP日志

Pppauth? ? ? ? ? ? ? ? ? ? ? ? ? ?=20000，? ? ? ? ? ? ? ? ? ? ? 認(rèn)證日志

ik_dhcpd? ? ? ?? ? ? ? ? ? ? ? ? ?=20000，? ? ? ? ? ? ? ? ? ? ? DHCP日志

Ddns? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? =5000，? ? ? ? ? ? ? ? ? ? ? ?動(dòng)態(tài)域名日志

Webadmin? ? ? ? ? ? ? ? ? ? ? ? =5000，? ? ? ? ? ? ? ? ? ? ? ? 操作日志

Wanpppoe? ? ? ? ? ? ? ? ? ? ? ? =5000，? ? ? ? ? ? ? ? ? ? ? ? 外網(wǎng)撥號(hào)日志

PPPoe_server? ? ? ? ? ? ? ? ? ? =500，? ? ? ? ? ? ? ? ? ? ? ? ? 推送通知日志

ap_action? ? ? ? ? ? ? ? ? ? ? ? ?=10000，? ? ? ? ? ? ? ? ? ? ? ?無線終端日志

rt_collect_event? ? ? ? ? ? ? ? =20000，? ? ? ? ? ? ? ? ? ? ? ?告警信息