看看你的服務(wù)的訪問日志，在防火墻中加過濾，或者在web服務(wù)器中加過濾吧。方法有以下幾種。

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),江華企業(yè)網(wǎng)站建設(shè),江華品牌網(wǎng)站建設(shè),網(wǎng)站定制,江華網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,江華網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

1.對(duì)于特定的IP訪問的情況，限制IP訪問
2.限制同一IP在單位時(shí)間內(nèi)的訪問次數(shù)

另一種方法是利用Iptables預(yù)防DOS腳本

#!/bin/bash

netstat -an|grep SYN_RECV|awk '{print$5}'|awk -F: '{print$1}'|sort|uniq -c|sort -rn|awk '{if ($1 >1) print $2}'

for i in $(cat /tmp/dropip)

do

/sbin/iptables -A INPUT -s $i -j DROP

echo “$i kill at `date`” >>/var/log/ddos

done

該腳本會(huì)對(duì)處于SYN_RECV并且數(shù)量達(dá)到5個(gè)的IP做統(tǒng)計(jì)，并且把寫到Iptables的INPUT鏈設(shè)置為拒絕。

SYN洪水**是DDOS中最常見的類型之一。是一種利用TCP 協(xié)議缺陷，者向被的主機(jī)發(fā)送大量偽造的TCP連接請(qǐng)求,從而使得被方主機(jī)服務(wù)器的資源耗盡(CPU 滿負(fù)荷或內(nèi)存不足) 的方式。SYN的目標(biāo)不止于服務(wù)器，任何網(wǎng)絡(luò)設(shè)備，都可能會(huì)受到這種，針對(duì)網(wǎng)絡(luò)設(shè)備的SYN往往會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。企業(yè)遭到SYN該如何防御呢？今天墨者安全就來分享一下如何利用iptables來緩解SYN。**

1、修改等待數(shù)
sysctl -w net.ipv4.tcp_max_syn_backlog=2048

2、啟用syncookies
sysctl -w net.ipv4.tcp_syncookies=1

3、修改重試次數(shù)
sysctl -w net.ipv4.tcp_syn_retries = 0

重傳次數(shù)設(shè)置為0，只要收不到客戶端的響應(yīng)，立即丟棄該連接，默認(rèn)設(shè)置為5次

4、限制單IP并發(fā)數(shù)
使用iptables限制單個(gè)地址的并發(fā)連接數(shù)量：
iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT

5、限制C類子網(wǎng)并發(fā)數(shù)
使用iptables限制單個(gè)c類子網(wǎng)的并發(fā)鏈接數(shù)量：
iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 24 -j REJECT

6、限制單位時(shí)間內(nèi)連接數(shù)
設(shè)置如下：

iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --set
iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --update --seconds 60 --hitcount 30 -j DROP

7、修改modprobe.conf
為了取得更好的效果，需要修改/etc/modprobe.conf
options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

作用：記錄10000個(gè)地址，每個(gè)地址60個(gè)包，ip_list_tot最大為8100,超過這個(gè)數(shù)值會(huì)導(dǎo)致iptables錯(cuò)誤

8、限制單個(gè)地址最大連接數(shù)
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j D

通過上述這些設(shè)置，可以緩解SYN**帶來的影響，但如果遭到幾百幾千G的T級(jí)流量洪水，那只能選擇像墨者安全那樣的商業(yè)級(jí)的防DDOS服務(wù)了。墨者盾高防可以隱藏服務(wù)器真實(shí)IP，利用新的WAF算法過濾技術(shù)，清除DDOS異常流量，保障服務(wù)器正常運(yùn)行**。

CC**原理者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對(duì)方服務(wù)器造成服務(wù)器資源耗盡，一直到宕機(jī)崩潰。CC主要是用來頁面的，每個(gè)人都有這樣的體驗(yàn)：當(dāng)一個(gè)網(wǎng)頁訪問的人數(shù)特別多的時(shí)候，打開網(wǎng)頁就慢了，CC就是模擬多個(gè)用戶(多少線程就是多少用戶)不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作(就是需要大量CPU時(shí)間)的頁面，造成服務(wù)器資源的浪費(fèi)，CPU長時(shí)間處于100%，永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞，正常的訪問被中止。CC防御策略**

1.取消域名綁定取消域名綁定后Web服務(wù)器的CPU能夠馬上恢復(fù)正常狀態(tài)，通過IP進(jìn)行訪問連接一切正常。但是不足之處也很明顯，取消或者更改域名對(duì)于別人的訪問帶來了不變，另外，對(duì)于針對(duì)IP的CC它是無效的，就算更換域名者發(fā)現(xiàn)之后，者也會(huì)對(duì)新域名實(shí)施。

2.更改Web端口一般情況下Web服務(wù)器通過80端口對(duì)外提供服務(wù)，因此者實(shí)施就以默認(rèn)的80端口進(jìn)行，所以，可以修改Web端口達(dá)到防CC的目的。

3.IIS屏蔽IP我們通過命令或在查看日志發(fā)現(xiàn)了CC的源IP，就可以在IIS中設(shè)置屏蔽該IP對(duì)Web站點(diǎn)的訪問，從而達(dá)到防范IIS的目的。

**CC*的防范手段

1.優(yōu)化代碼盡可能使用緩存來存儲(chǔ)重復(fù)的查詢內(nèi)容，減少重復(fù)的數(shù)據(jù)查詢資源開銷。減少復(fù)雜框架的調(diào)用，減少不必要的數(shù)據(jù)請(qǐng)求和處理邏輯。程序執(zhí)行中，及時(shí)釋放資源，比如及時(shí)關(guān)閉MySQL連接，及時(shí)關(guān)閉memcache連接等，減少空連接消耗。

2.限制手段對(duì)一些負(fù)載較高的程序增加前置條件判斷，可行的判斷方法如下：必須具有網(wǎng)站簽發(fā)的session信息才可以使用（可簡單阻止程序發(fā)起的集中請(qǐng)求）；必須具有正確的referer（可有效防止嵌入式代碼的***）；禁止一些客戶端類型的請(qǐng)求（比如一些典型的不良蜘蛛特征）；同一session多少秒內(nèi)只能執(zhí)行一次。

3.完善日志盡可能完整保留訪問日志。日志分析程序，能夠盡快判斷出異常訪問，比如單一ip密集訪問；比如特定url同比請(qǐng)求激增。

**一、Dos*（Denial of Service attack）

是一種針對(duì)服務(wù)器的能夠讓服務(wù)器呈現(xiàn)靜止?fàn)顟B(tài)的**方式。有時(shí)候也叫服務(wù)停止或拒絕服務(wù)。其原理就是發(fā)送大量的合法請(qǐng)求到服務(wù)器，服務(wù)器無法分辨這些請(qǐng)求是正常請(qǐng)求還是請(qǐng)求，所以都會(huì)照單全收。海量的請(qǐng)求會(huì)造成服務(wù)器停止工作或拒絕服務(wù)的狀態(tài)。這就是Dos*。

**二、DDOS*****

概念
分布式拒絕服務(wù)**（Distributed Denial of Service），簡單說就是發(fā)送大量請(qǐng)求是使服務(wù)器癱瘓。DDos是在DOS基礎(chǔ)上的，可以通俗理解，dos是單挑，而ddos是群毆，因?yàn)楝F(xiàn)代技術(shù)的發(fā)展，dos的殺傷力降低，所以出現(xiàn)了DDOS，者借助公共網(wǎng)絡(luò)，將大數(shù)量的計(jì)算機(jī)設(shè)備聯(lián)合起來，向一個(gè)或多個(gè)目標(biāo)進(jìn)行。**

案例

SYN Flood ,簡單說一下tcp三次握手，客戶端服務(wù)器發(fā)出請(qǐng)求，請(qǐng)求建立連接，然后服務(wù)器返回一個(gè)報(bào)文，表明請(qǐng)求以被接受，然后客戶端也會(huì)返回一個(gè)報(bào)文，最后建立連接。那么如果有這么一種情況，者偽造ip地址，發(fā)出報(bào)文給服務(wù)器請(qǐng)求連接，這個(gè)時(shí)候服務(wù)器接受到了，根據(jù)tcp三次握手的規(guī)則，服務(wù)器也要回應(yīng)一個(gè)報(bào)文，可是這個(gè)ip是偽造的，報(bào)文回應(yīng)給誰呢，第二次握手出現(xiàn)錯(cuò)誤，第三次自然也就不能順利進(jìn)行了，這個(gè)時(shí)候服務(wù)器收不到第三次握手時(shí)客戶端發(fā)出的報(bào)文，又再重復(fù)第二次握手的操作。如果者偽造了大量的ip地址并發(fā)出請(qǐng)求，這個(gè)時(shí)候服務(wù)器將維護(hù)一個(gè)非常大的半連接等待列表，占用了大量的資源，最后服務(wù)器癱瘓。
CC，在應(yīng)用層http協(xié)議上發(fā)起，模擬正常用戶發(fā)送大量請(qǐng)求直到該網(wǎng)站拒絕服務(wù)為止。

**被*的原因

服務(wù)器帶寬不足，不能擋住者的流量

預(yù)防
最直接的方法增加帶寬。但是者用各地的電腦進(jìn)行，他的帶寬不會(huì)耗費(fèi)很多錢，但對(duì)于服務(wù)器來說，帶寬非常昂貴。
云服務(wù)提供商有自己的一套完整DDoS解決方案，并且能提供豐富的帶寬資源。------如果是阿里云推薦使用高防。

1、采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對(duì)抗某些種類的DDOS是非常有效的。

2、盡量避免NAT的使用
無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力，其實(shí)原因很簡單，因?yàn)镹AT需要對(duì)地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間，但有些時(shí)候必須使用NAT，那就沒有好辦法了。

3、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會(huì)超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。

4、把網(wǎng)站做成靜態(tài)頁面
大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗*能力，而且還給**帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去，免的遭受*時(shí)連累主服務(wù)器，當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因?yàn)榻?jīng)驗(yàn)表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

常見web安全及防護(hù)原理

sql注入原理
就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令
總的來說有以下幾點(diǎn):

1.永遠(yuǎn)不要信任用戶的輸入，要對(duì)用戶的輸入進(jìn)行校驗(yàn)，可以通過正則表達(dá)式，或限制長度，對(duì)單引號(hào)和雙”-“進(jìn)行轉(zhuǎn)換等

2.永遠(yuǎn)不要使用動(dòng)態(tài)拼裝SQL，可以使用參數(shù)化的SQL或者直接使用存儲(chǔ)過程進(jìn)行數(shù)據(jù)查詢存取

3.永遠(yuǎn)不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個(gè)應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫連接

4.不要把機(jī)密信息明文存放，請(qǐng)加密或者h(yuǎn)ash掉密碼和敏感的信息
XSS原理及防范

Xss(cross-site scripting)**指的是者往Web頁面里插入惡意html標(biāo)簽或者javascript代碼。比如：者在論壇中放一個(gè)看似安全的鏈接，騙取用戶點(diǎn)擊后，竊取cookie中的用戶私密信息；或者者在論壇中加一個(gè)惡意表單，當(dāng)用戶提交表單的時(shí)候，卻把信息傳送到*者的服務(wù)器中，而不是用戶原本以為的信任站點(diǎn)

XSS防范方法

首先代碼里對(duì)用戶輸入的地方和變量都需要仔細(xì)檢查長度和對(duì)”<”,”>”,”;”,”’”等字符做過濾；其次任何內(nèi)容寫到頁面之前都必須加以encode，避免不小心把html tag 弄出來。這一個(gè)層面做好，至少可以堵住超過一半的XSS ***
XSS與CSRF有什么區(qū)別嗎？

XSS是獲取信息，不需要提前知道其他用戶頁面的代碼和數(shù)據(jù)包。CSRF是代替用戶完成指定的動(dòng)作，需要知道其他用戶頁面的代碼和數(shù)據(jù)包。要完成一次CSRF***，受害者必須依次完成兩個(gè)步驟

登錄受信任網(wǎng)站A，并在本地生成Cookie

在不登出A的情況下，訪問危險(xiǎn)網(wǎng)站B
CSRF的防御

服務(wù)端的CSRF方式方法很多樣，但總的思想都是一致的，就是在客戶端頁面增加偽隨機(jī)數(shù)
通過驗(yàn)證碼的方法
是否了解 Web 注入***（最常見 XSS 和 CSRF）？

SQL注入

把SQL命令插入到表單或輸入U(xiǎn)RL查詢字符串提交，欺騙服務(wù)器達(dá)到執(zhí)行惡意的SQL目的
XSS(Cross Site Script)，跨站腳本***

者在頁面里插入惡意代碼，當(dāng)用戶瀏覽該頁之時(shí)，執(zhí)行嵌入的惡意代碼達(dá)到目的
CSRF(Cross Site Request Forgery)，跨站點(diǎn)偽造請(qǐng)求

偽造合法請(qǐng)求，讓用戶在不知情的情況下以登錄的身份訪問，利用用戶信任達(dá)到***目的

**如何防范 Web 前端*？

不要信任任何外部傳入的數(shù)據(jù)

針對(duì)用戶輸入作相關(guān)的格式檢查、過濾等操作
不要信任在任何傳入的第三方數(shù)據(jù)

使用 CORS，設(shè)置 Access-Control-Allow-Origin
更安全地使用 Cookie

設(shè)置Cookie為HttpOnly，禁止了JavaScript操作Cookie
防止網(wǎng)頁被其他網(wǎng)站內(nèi)嵌為iframe

服務(wù)器端設(shè)置 X-Frame-Options 響應(yīng)頭，防止頁面被內(nèi)嵌

**APR*發(fā)現(xiàn)

首先診斷是否為ARP病毒***

1、當(dāng)發(fā)現(xiàn)上網(wǎng)明顯變慢，或者突然掉線時(shí)，我們可以用arp -a命令來檢查ARP表：(點(diǎn)擊“開始”按鈕-選擇“運(yùn)行”-輸入“cmd”點(diǎn)擊"確定"按鈕，在窗口中輸入“arp -a”命令)如果發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址發(fā)生了改變，或者發(fā)現(xiàn)有很多IP指向同一個(gè)物理地址，那么肯定就是ARP欺騙所致。這時(shí)可以通過”arp -d“清除arp列表，重新訪問。

2、利用ARP防火墻類軟件(如：360ARP防火墻、AntiARPSniffer等)。

**如何判斷交換機(jī)是否受到ARP*以及處理方式

**一、如果網(wǎng)絡(luò)受到了ARP*，可能會(huì)出現(xiàn)如下現(xiàn)象：

1、用戶掉線、頻繁斷網(wǎng)、上網(wǎng)慢、業(yè)務(wù)中斷或無法上網(wǎng)。

2、設(shè)備CPU占用率較高、設(shè)備托管、下掛設(shè)備掉線、設(shè)備主備狀態(tài)震蕩、設(shè)備端口指示燈紅色快閃。

3、Ping有時(shí)延、丟包或不通。

局域網(wǎng)內(nèi)的機(jī)器遭到ARP病毒欺騙**，如果找到源頭的機(jī)器，將其病毒或殺掉，局域網(wǎng)內(nèi)機(jī)器就會(huì)恢復(fù)正常，那么如何才能快速定位到*的源頭機(jī)器呢?

1、用arp -a命令。當(dāng)發(fā)現(xiàn)上網(wǎng)明顯變慢，或者突然掉線時(shí)，我們可以用arp -a命令來檢查ARP表。如果發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址發(fā)生了改變，或者發(fā)現(xiàn)有很多IP地址指向同一個(gè)MAC地址，那么肯定就是ARP***所致。

2、利用彩影ARP防火墻軟件查看。如果網(wǎng)卡是處于混雜模式或者ARP請(qǐng)求包發(fā)送的速度大或者ARP請(qǐng)求包總量非常大，判斷這臺(tái)機(jī)器有可能就是“元兇”。定位好機(jī)器后，再做病毒信息收集工作。

3、通過路由器的“系統(tǒng)歷史記錄”查看。由于ARP的程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊阻塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP的程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過程中用戶會(huì)再斷一次線。這個(gè)消息代表了用戶的MAC地址發(fā)生了變化，在ARP**開始運(yùn)行的時(shí)候，局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址(即所有信息的MAC New地址都一致為病毒主機(jī)的MAC地址)，同時(shí)在路由器的“用戶統(tǒng)計(jì)”中看到所有用戶的MAC地址信息都一樣。

如果是在路由器的“系統(tǒng)歷史記錄”中看到大量MAC Old地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP(ARP的***程序停止運(yùn)行時(shí),主機(jī)在路由器上恢復(fù)其真實(shí)的MAC地址)。

***方式：

**1. 簡單的詐騙*****

這是對(duì)比多見的，經(jīng)過發(fā)送偽造的ARP包來詐騙路由和方針主機(jī)，讓方針主機(jī)認(rèn)為這是一個(gè)合法的主機(jī)，便完成了詐騙，這種詐騙多發(fā)生在同一網(wǎng)段內(nèi)，因?yàn)槁酚刹粫?huì)把本網(wǎng)段的包向外轉(zhuǎn)發(fā)，當(dāng)然完成不一樣網(wǎng)段的也有辦法，便要經(jīng)過ICMP協(xié)議來告訴路由器從頭挑選路由。

2. 根據(jù)ARP的DOS

這是新呈現(xiàn)的一種辦法，D.O.S又稱拒絕服務(wù)，當(dāng)大量的銜接請(qǐng)求被發(fā)送到一臺(tái)主機(jī)時(shí)，因?yàn)橹鳈C(jī)的處理才能有限，不能為正常用戶提供服務(wù)，便呈現(xiàn)拒絕服務(wù)。這個(gè)過程中假如運(yùn)用ARP來躲藏自己，在被主機(jī)的日志上就不會(huì)呈現(xiàn)真實(shí)的IP，也不會(huì)影響到本機(jī)。

3. MAC Flooding

這是一個(gè)對(duì)比風(fēng)險(xiǎn)的***，能夠溢出交流機(jī)的ARP表，使全部網(wǎng)絡(luò)不能正常通訊。

4. 交流環(huán)境的嗅探

在開始的小型局域網(wǎng)中咱們運(yùn)用HUB來進(jìn)行互連，這是一種廣播的辦法，每個(gè)包都會(huì)經(jīng)過網(wǎng)內(nèi)的每臺(tái)主機(jī)，經(jīng)過運(yùn)用軟件，就能夠嗅談到全部局域網(wǎng)的數(shù)據(jù)。現(xiàn)在的網(wǎng)絡(luò)多是交流環(huán)境，網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的傳輸被鎖定的特定方針。既已斷定的方針通訊主機(jī)，在ARP詐騙的根底之上，能夠把自己的主機(jī)偽形成一個(gè)中心轉(zhuǎn)發(fā)站來監(jiān)聽兩臺(tái)主機(jī)之間的通訊。

**arp*的防護(hù)

1. ARP 高速緩存超時(shí)設(shè)置

在ARP高速緩存中的表項(xiàng)一般都要設(shè)置超時(shí)值，縮短這個(gè)這個(gè)超時(shí)值能夠有用的避免ARP表的溢出。

2. IP+MAC訪問操控 ? -----推薦使用

單純依托IP或MAC來樹立信賴聯(lián)系是不安全，抱負(fù)的安全聯(lián)系樹立在IP+MAC的根底上，這也是咱們校園網(wǎng)上網(wǎng)有必要綁定IP和MAC的因素之一。

3. 靜態(tài)ARP緩存表

每臺(tái)主機(jī)都有一個(gè)暫時(shí)寄存IP-MAC的對(duì)應(yīng)表ARP***就經(jīng)過更改這個(gè)緩存來到達(dá)詐騙的意圖，運(yùn)用靜態(tài)的ARP來綁定正確的MAC是一個(gè)有用的辦法，在命令行下運(yùn)用arp -a能夠檢查當(dāng)時(shí)的ARP緩存表。

4. 自動(dòng)查詢

在某個(gè)正常的時(shí)間，做一個(gè)IP和MAC對(duì)應(yīng)的數(shù)據(jù)庫，以后定時(shí)檢查當(dāng)時(shí)的IP和MAC對(duì)應(yīng)聯(lián)系是否正常，定時(shí)檢查交流機(jī)的流量列表，檢查丟包率。

ARP本省不能形成多大的損害，一旦被聯(lián)系使用，其風(fēng)險(xiǎn)性就不可估量，因?yàn)锳RP自身的疑問，使得防備ARP的***很棘手，經(jīng)常檢查當(dāng)時(shí)的網(wǎng)絡(luò)狀況，監(jiān)控流量對(duì)一個(gè)站長來說是個(gè)很好的風(fēng)氣