【正文】 若發(fā)現(xiàn)有某IP相應(yīng)的主機(jī)行為異常，如不斷發(fā)送ARP請(qǐng)求包，則該主機(jī)一般就是病毒源。在受到ARP攻擊后，沉著應(yīng)對(duì)，按照下面步驟一步步解決： 局域網(wǎng)內(nèi)出現(xiàn)異常情況時(shí)，看看是否符合ARP欺騙的幾種類型。但是如果出現(xiàn)攻擊性ARP欺騙(其實(shí)就是時(shí)間很短的量很大的欺騙ARP，1秒有個(gè)幾百上千的)，它是不斷的發(fā)起ARP欺騙包來(lái)阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷廣播正確的包也會(huì)被他大量的錯(cuò)誤信息給淹沒(méi)。 這類路由器以前聽(tīng)說(shuō)的很少，對(duì)于這類路由器中提到的ARP防護(hù)功能，其實(shí)它的原理就是定期的發(fā)送自己正確的ARP信息。 PPPoE方式下局域網(wǎng)間無(wú)法互訪，在很多網(wǎng)絡(luò)都有局域網(wǎng)內(nèi)部的域控服務(wù)器、DNS服務(wù)器、郵件服務(wù)器、OA系統(tǒng)、資料共享、打印共享等等，需要局域網(wǎng)間相互通信的需求，而PPPoE方式使這一切都無(wú)法使用，是無(wú)法被接受的。因此，在現(xiàn)有的交換網(wǎng)絡(luò)上實(shí)施ARP防范措施，屬于以子之矛攻子之盾，而且操作維護(hù)復(fù)雜。這根本不適合移動(dòng)終端的使用，從辦公室到會(huì)議室，這臺(tái)電腦恐怕就無(wú)法上網(wǎng)了。也就是說(shuō)，把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險(xiǎn)解除了。但同樣，必須要確保這臺(tái)ARP 服務(wù)器不被攻擊，若這臺(tái)服務(wù)器受到攻擊，則會(huì)造成整個(gè)局域網(wǎng)的終端都會(huì)受到攻擊，易造成單點(diǎn)故障引起整個(gè)網(wǎng)絡(luò)的癱瘓，因此，ARP服務(wù)器的保護(hù)就顯得至關(guān)重要。 因此，ARP個(gè)人防火墻并沒(méi)有提供可靠的保證。即使配置中不默認(rèn)而發(fā)出提示，缺乏網(wǎng)絡(luò)知識(shí)的用戶恐怕也無(wú)所適從。 使用ARP防護(hù)軟件在一些殺毒軟件中加入了ARP個(gè)人防火墻的功能，它是通過(guò)在終端電腦上對(duì)網(wǎng)關(guān)進(jìn)行綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而保護(hù)自身數(shù)據(jù)不被竊取的措施。換個(gè)網(wǎng)卡或更換IP，都需要重新配置路由。 終端進(jìn)行ARP綁定的方法：利用ARP命令編寫(xiě)批處理程序，加入到系統(tǒng)的啟動(dòng)選項(xiàng)里面。 它既能夠分發(fā)正確的網(wǎng)關(guān)信息，又能夠?qū)Τ霈F(xiàn)的假網(wǎng)關(guān)信息立即封殺。 從技術(shù)原理上，徹底解決ARP欺騙和攻擊，要有三個(gè)技術(shù)要點(diǎn)。 當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)高頻率發(fā)送虛假ARP數(shù)據(jù)包，欺騙局域網(wǎng)內(nèi)路由器和所有網(wǎng)絡(luò)主機(jī)，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。對(duì)于未登記網(wǎng)卡，可以這樣限定其上線：只要設(shè)定好所有已知用戶（登記）后，將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線即 可阻止所有未知的網(wǎng)卡上線。 常見(jiàn)ARP欺騙攻擊現(xiàn)象——欺騙網(wǎng)關(guān)攻擊者偽造虛假的ARP報(bào)文，欺騙網(wǎng)關(guān)。主機(jī)訪問(wèn)網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。 ARP攻擊類型—ARP欺騙常見(jiàn)ARP欺騙現(xiàn)象有： 仿冒網(wǎng)關(guān)、欺騙終端用戶 、欺騙網(wǎng)關(guān)、ARP泛洪攻擊。 ARP攻擊類型——ARP掃描一般常見(jiàn)的ARP攻擊類型為：ARP掃描和ARP欺騙。D對(duì)接收到A發(fā)送給C的數(shù)據(jù)包可沒(méi)有轉(zhuǎn)交給C，此時(shí)如果D進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來(lái)的。 例如對(duì)目標(biāo)A進(jìn)行欺騙，A去Ping主機(jī)C卻發(fā)送到了DD:DD:DD:DD:DD:DD。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。二、ARP攻擊原理 每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，在cmd界面下輸入arpa可以查詢ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的，如下表所示。 　　6．如果在第13中被ARP病毒攻擊，則服務(wù)器做出的反映就會(huì)被占用，源主機(jī)同樣得不到RARP服務(wù)器的響應(yīng)信息，此時(shí)并不是服務(wù)器沒(méi)有響應(yīng)而是服務(wù)器返回的源主機(jī)的IP被占用。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的 MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一 ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址。Arp request和reply的數(shù)據(jù)幀長(zhǎng)都是42字節(jié)（28字節(jié)的arp數(shù)據(jù)、14字節(jié)的以太幀頭） ARP協(xié)議工作原理首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū) (ARP Cache)中建立一個(gè)ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。 ARP協(xié)議的基本功能就是主機(jī)在發(fā)送報(bào)文前將目標(biāo)主機(jī)的IP地址解析成目標(biāo)主機(jī)的MAC地址，以保證通信的順利進(jìn)行。 (3) 黑客在方法2的基礎(chǔ)上再加一條ARP廣播，就可以騙過(guò)DHCP Relay ，申請(qǐng)到的IP地址不會(huì)被釋放。這時(shí)如果你查看客戶機(jī)的IP地址（執(zhí)行ipconfig命令），就會(huì)發(fā)現(xiàn)它來(lái)自于DHCP服務(wù)器預(yù)留的IP地址空間。而無(wú)須為每臺(tái)客戶機(jī)設(shè)置IP地址、網(wǎng)關(guān)地址、子網(wǎng)掩碼等屬性。步驟二，出現(xiàn)如圖317所示“作用域選項(xiàng)”對(duì)話框，選擇“006 DNS服務(wù)器”復(fù)選框，然后輸入DNS服務(wù)器的IP地址，點(diǎn)按“添加”按鈕。例如，DHCP服務(wù)器在為DHCP客戶端分配IP地址同時(shí)，設(shè)置其DNS服務(wù)器、默認(rèn)網(wǎng)關(guān)、WINS服務(wù)器等配置。 步驟三，在圖314中，單擊“添加”按鈕，將保留的IP地址添加到DHCP服務(wù)器的數(shù)據(jù)庫(kù)中。在“說(shuō)明”輸入框中輸入描述客戶的說(shuō)明文字，該項(xiàng)內(nèi)容可選。例如，可以輸入計(jì)算機(jī)名稱，但并不一定需要輸入客戶端的真正計(jì)算機(jī)名稱，因?yàn)樵撁Q只在管理DHCP服務(wù)器中的數(shù)據(jù)時(shí)使用。這在實(shí)際中很有用處，例如你管理單位的網(wǎng)絡(luò)，采用DHCP服務(wù)一方面可以避免用戶隨意更改IP地址，用戶也無(wú)需設(shè)置自己的IP地址、網(wǎng)關(guān)地址、DNS服務(wù)器等信息；另一方面可以通過(guò)此功能逐一為用戶設(shè)置固定的IP地址，即所謂“IPMAC”綁定，這會(huì)減少不少維護(hù)工作量。 完成上述設(shè)置，DHCP服務(wù)器就可以開(kāi)始接受DHCP客戶端索取IP地址的要求了。單擊“下一步”繼續(xù)。當(dāng)DHCP服務(wù)器在給DHCP客戶端分派IP地址時(shí)，同時(shí)將這些DHCP選項(xiàng)中的服務(wù)器數(shù)據(jù)指定給客戶端。 圖36 設(shè)置DHCP服務(wù)器IP地址范圍 步驟四，如果想禁止上面設(shè)置的IP作用域內(nèi)部分IP地址提供給DHCP客戶端使用，則可以在如圖所示37對(duì)話框中設(shè)置需排除的地址范圍。建立一個(gè)新的DHCP作用域的步驟如下： 步驟一，在圖33的窗口列表中，用鼠標(biāo)右鍵單擊要?jiǎng)?chuàng)建作用域的服務(wù)器，選擇“新建作用域”。完成安裝后，系統(tǒng)會(huì)在“開(kāi)始”/“程序”/“管理工具”程序組內(nèi)，添加“DHCP”管理應(yīng)用程序，供用戶管理與設(shè)置DHCP服務(wù)器。安裝DHCP服務(wù)器的步驟如下： 步驟一，選擇“開(kāi)始”/“設(shè)置”/“控制面板”/“添加或刪除程序”，選擇“添加/刪除Windows組件”。當(dāng)客戶機(jī)不需要使用此地址時(shí)，就由DHCP服務(wù)器收回，并提供給其他的DHCP客戶機(jī)使用。其他使用DHCP功能的客戶端也必須支持自動(dòng)向DHCP服務(wù)器索取IP地址的功能。 第二種動(dòng)態(tài)分配IP地址，由DHCP服務(wù)器將IP地址數(shù)據(jù)庫(kù)中的IP地址動(dòng)態(tài)的分配給局域網(wǎng)中的客戶機(jī)，從而減輕網(wǎng)絡(luò)管理員的負(fù)擔(dān)。因此，為了保證機(jī)房運(yùn)行的安全性和穩(wěn)定性，需要對(duì)機(jī)房場(chǎng)地設(shè)備及環(huán)境進(jìn)行集中監(jiān)控和管理，包括：UPS、精密空調(diào)、溫度、濕度、漏水、消防等系統(tǒng)監(jiān)控。 KVM及機(jī)房設(shè)備遠(yuǎn)程監(jiān)控系統(tǒng)就是實(shí)現(xiàn)以上功能的解決方案，通過(guò)IP網(wǎng)絡(luò)，可以實(shí)現(xiàn)對(duì)機(jī)房的所有設(shè)備以及電源進(jìn)行遠(yuǎn)程控制和管理，可以避免人員進(jìn)入設(shè)備機(jī)房。 視頻監(jiān)控 在各機(jī)房出入口、各功能區(qū)出入口及重點(diǎn)區(qū)域安裝攝像機(jī)，通過(guò)視頻電纜傳到硬盤(pán)錄像機(jī)，進(jìn)行實(shí)時(shí)監(jiān)視和錄像。 機(jī)房安防監(jiān)控系統(tǒng)機(jī)房安防監(jiān)控系統(tǒng)工程（含機(jī)房門(mén)禁、視頻監(jiān)控及紅外報(bào)警） 中心作為信息系統(tǒng)的核心重地，需要保證絕對(duì)的安全，所以需要一個(gè)結(jié)合視頻監(jiān)控、紅外報(bào)警以及門(mén)禁管理的綜合安保系統(tǒng)，可以實(shí)時(shí)監(jiān)控到進(jìn)入機(jī)房的人員以及對(duì)非法闖入進(jìn)行報(bào)警和錄像，為機(jī)房的安全提供保障。計(jì)算機(jī)機(jī)房應(yīng)設(shè)置疏散照明和安全出口標(biāo)志燈。機(jī)房照明使用明裝式菱紋燈盤(pán)連續(xù)安裝，防止直射眩光。消防系統(tǒng)還要具備火災(zāi)報(bào)警功能，滅火裝置具有自動(dòng)、手動(dòng)及機(jī)械應(yīng)急操作三種方式 。 防雷系統(tǒng)需要具備防雷資質(zhì)的專業(yè)公司才能設(shè)計(jì)施工，所以本系統(tǒng)一般采用合作方式進(jìn)行，由專業(yè)公司提供技術(shù)支持。機(jī)房信號(hào)防雷：與電源防雷一樣，通訊網(wǎng)絡(luò)的防雷主要采用通訊避雷器防雷。首先良好的接地線，可以把計(jì)算機(jī)信號(hào)的干擾濾掉。 計(jì)算機(jī)房采用氣體滅火，由于機(jī)房區(qū)域處于封閉狀態(tài)，一旦失火產(chǎn)生的有害煙塵將無(wú)法排除，鑒于此，在機(jī)房配置滿足消防規(guī)范的有關(guān)要求排風(fēng)設(shè)備。但是如果機(jī)房有恒溫恒濕的要求，也只能使用精密空調(diào)了。(精密)空調(diào)系統(tǒng)中心機(jī)房?jī)?nèi)都安裝有重要的計(jì)算機(jī)設(shè)備如小型機(jī)、存儲(chǔ)服務(wù)器服務(wù)器及網(wǎng)絡(luò)設(shè)備，而使用精密空調(diào)才能確保機(jī)房?jī)?nèi)各種網(wǎng)絡(luò)等重要服務(wù)器能可靠穩(wěn)定、并在最佳狀態(tài)下運(yùn)行的基礎(chǔ)。設(shè)備間電源設(shè)備應(yīng)具有過(guò)壓過(guò)流保護(hù)功能，已防止對(duì)設(shè)備的不良影響和沖擊。供電系統(tǒng)由于電網(wǎng)范圍大受各種因素的影響，時(shí)常會(huì)有不正常的現(xiàn)象發(fā)生，往往會(huì)對(duì)計(jì)算機(jī)系統(tǒng)造成不利的作用，為此，采用(UPS)不間斷電源極為重要，它不但能提供穩(wěn)定可靠的高質(zhì)量的電源，沒(méi)有瞬變和諧波，即使當(dāng)電網(wǎng)斷電時(shí)，它也可由后備電池支撐，繼續(xù)供電，使計(jì)算機(jī)有一定的時(shí)間進(jìn)行處理。 電氣分兩部分，UPS配電和市電配電； UPS配電是為服務(wù)器及網(wǎng)絡(luò)等重要設(shè)備供電； 市電是為UPS、空調(diào)、新風(fēng)、照明、維修插座等配電。 機(jī)房裝飾用材選用氣密性好、不起塵、易清潔、變形小，具有防火、防潮性能；宜選用亞光材料，避免在機(jī)房?jī)?nèi)產(chǎn)生各種干擾光線。洗漱間和衛(wèi)生間： 洗漱間和衛(wèi)生間設(shè)置靠近管理人員主要工作的區(qū)域。輔助功能區(qū)會(huì)議接待室：為機(jī)房的參觀人員及內(nèi)部的機(jī)房管理人員準(zhǔn)備的臨時(shí)接待場(chǎng)所。資料室：存放資料的房間。政府部門(mén)及企業(yè)根據(jù)客戶要求按照B級(jí)來(lái)設(shè)計(jì)。中心機(jī)房采用高速網(wǎng)絡(luò)與各個(gè)公辦點(diǎn)相連通，使整個(gè)數(shù)據(jù)群體形成一個(gè)強(qiáng)大的機(jī)房群，進(jìn)一步提高了辦公數(shù)據(jù)的可靠性及設(shè)備的使用效能，并建設(shè)統(tǒng)一的冗災(zāi)備份成為可能。 需要強(qiáng)調(diào)的一點(diǎn)是：ITIL不是一個(gè)正式標(biāo)準(zhǔn)，而是目前普遍實(shí)行的事實(shí)上的標(biāo)準(zhǔn)。 實(shí)際上，ITIL并不僅僅適用于企業(yè)內(nèi)部的IT服務(wù)管理，也適合于IDC數(shù)據(jù)托管中心?！盜TIL的原始開(kāi)發(fā)項(xiàng)目組成員Johnson說(shuō)。企業(yè)對(duì)IT系統(tǒng)的管理是通過(guò)IT管理軟件實(shí)現(xiàn)的，因此，選擇適當(dāng)?shù)能浖?duì)成功實(shí)現(xiàn)ITIL的目標(biāo)至關(guān)重要。 　　其次是要建立科學(xué)合理的流程。同時(shí)，還必須對(duì)企業(yè)相關(guān)人員進(jìn)行培訓(xùn)，培養(yǎng)一批了解ITIL的技術(shù)專家。 ITIL實(shí)施步驟 　　首先要閱讀ITIL資料，了解ITIL準(zhǔn)則，培養(yǎng)ITIL專家。 　　可以對(duì)服務(wù)質(zhì)量，可用性，可靠性和服務(wù)成本進(jìn)行更好的管理。加特納（Gartner）和國(guó)際數(shù)據(jù)集團(tuán)（IDC）等研究機(jī)構(gòu)的調(diào)查研究也表明，通過(guò)在IT部門(mén)實(shí)施ITIL的最佳服務(wù)管理實(shí)踐，可以將因重復(fù)呼叫、不當(dāng)?shù)淖兏纫鸬难诱`時(shí)間減少79%，每年可以為每個(gè)終端用戶平均節(jié)約800美元的成本，同時(shí)將每項(xiàng)新服務(wù)推出的時(shí)間縮短一半。 　　可用性管理 (Availability Management) 　　可用性管理是在正確使用資源、方法及技術(shù)的前提下保障IT服務(wù)的可用性和實(shí)踐可用性要求。 　　服務(wù)交付（Service Delivery） 　　服務(wù)級(jí)別管理(Service Level Management) 　　服務(wù)級(jí)別管理是一種嚴(yán)格的超前方法論和處理程序，是定義、協(xié)商、訂約、檢測(cè)和評(píng)審提供給客戶的服務(wù)質(zhì)量水準(zhǔn)的流程。 　　事件管理 (Incident Management) 　　事件管理指的是突發(fā)事件管理或意外事件管理，處理IT的危機(jī)并要從中恢復(fù)運(yùn)轉(zhuǎn)。 　　服務(wù)支持（Service Support） 　　配置管理 (Configuration Management) 　　配置管理是將一個(gè)系統(tǒng)中軟件和硬件等配置項(xiàng)資源進(jìn)行識(shí)別和定義，并記錄和報(bào)告配置狀態(tài)和變更請(qǐng)求以及檢驗(yàn)配置項(xiàng)的正確性和完整性等活動(dòng)構(gòu)成的過(guò)程。 ITIL的核心IT服務(wù)管理(ITSM)　　IT服務(wù)管理是ITIL框架的核心，它是一套協(xié)同流程（Process），并通過(guò)服務(wù)級(jí)別協(xié)議（SLA）來(lái)保證IT服務(wù)的質(zhì)量。應(yīng)用管理(Application Management) ——協(xié)調(diào)IT服務(wù)管理與應(yīng)用系統(tǒng)的開(kāi)發(fā)、測(cè)試和部署的關(guān)系，使它們一致的服務(wù)于客戶的業(yè)務(wù)運(yùn)營(yíng)。 　　質(zhì)量管理方法和標(biāo)準(zhǔn) ITIL內(nèi)含著質(zhì)量管理的思想。 ITIL的特點(diǎn) 　　公共框架 　　ITIL由世界范圍內(nèi)的有關(guān)專家共