如果說防止arp攻擊的源頭就是找到arp的攻擊源。我想很多人都在查找arp的攻擊源。這個攻擊源非常的重要。至于Linux的查詢方法已經(jīng)總結在了常見電腦黑客攻擊類型與預防方法中。 linux如何查找arp攻擊源呢?您可以登錄佰佰安全網(wǎng)。

追蹤網(wǎng)絡攻擊就是找到事件發(fā)生的源頭。它有兩個方面意義:

一是指發(fā)現(xiàn)IP地址、MAC地址或是認證的主機名;

二是指確定攻擊者的身份。網(wǎng)絡攻擊者在實施攻擊之時或之后，必然會留下一些蛛絲馬跡，如登錄的紀錄，文件權限的改變等虛擬證據(jù)，如何正確處理虛擬證據(jù)是追蹤網(wǎng)絡攻擊的最大挑戰(zhàn)。

在追蹤網(wǎng)絡攻擊中另一需要考慮的問題是:IP地址是一個虛擬地址而不是一個物理地址，IP地址很容易被偽造，大部分網(wǎng)絡攻擊者采用IP地址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎去發(fā)現(xiàn)攻擊者變得更加困難。因此，必須采用一些方法，識破攻擊者的欺騙，找到攻擊源的真正IP地址。

使用netstat命令可以獲得所有聯(lián)接被測主機的網(wǎng)絡用戶的IP地址。Windows系列、Unix系列、Linux等常用網(wǎng)絡操作系統(tǒng)都可以使用“netstat”命令。 使用“netstat”命令的缺點是只能顯示當前的連接，如果使用“netstat”命令時攻擊者沒有聯(lián)接，則無法發(fā)現(xiàn)攻擊者的蹤跡。為此，可以使用Scheduler建立一個日程安排，安排系統(tǒng)每隔一定的時間使用一次“netstat”命令，并使用netstat>>textfile格式把每次檢查時得到的數(shù)據(jù)寫入一個文本文件中，以便需要追蹤網(wǎng)絡攻擊時使用。

Unix和Linux的日志文件較詳細的記錄了用戶的各種活動，如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄時間、登錄的終端、執(zhí)行的命令，用戶ID的賬號信息等。通過這些信息可以提供ttyname(終端號)和源地址，是追蹤網(wǎng)絡攻擊的最重要的數(shù)據(jù)。

佰佰安全網(wǎng)的網(wǎng)絡安全小知識回答了linux如何查找arp攻擊源的問題。

責任編輯:慕丹萍