******往期经典
网络安全:
1、HCIE-Security心得
2、华为交换机抓包上传至PC分析
3、ARP Miss攻击处置
4、ARP网关欺骗攻击处置
5、基于wireshark快速定位内网DHCP Server仿冒攻击
6、wireshark过滤使用及常见网络攻击检测过滤
渗透测试:
1、基于brupsuite的web弱口令扫描
2、渗透测试/应急演练过程中metasploit制作木马连接失败问题排查
3、DVWA搭建中遇到的无法连接数据库问题及处理
企业安全:
1、企业网络信息安全意识宣贯——屏保制作
2、记一次勒索病毒攻击事件的处理过程
3、网络信息安全意识宣贯屏保CSDN.pptx
4、网络信息安全意识宣贯屏保CSDN.scr
安全合规:
1、信息安全技术-网络安全等级保护三级测评要求.xlsx
安全事件处置及应急管理:
1、linux抓取僵尸网络进程脚本
2、windows一键关闭高危端口
3、自动关闭高危端口脚本
4、windows server进程内存占用及CPU使用率自动监控并记录脚本
5、网络信息安全应急演练方案 .docx
6、网络信息安全应急演练报告 .docx
7、飞客蠕虫病毒?分析、定位、处理
主机安全:
1、linux抓取僵尸网络进程脚本
1 ARP Miss攻击介绍
攻击简介:
交换机转发三层报文时,如果目的ip与交换机直连并且交换机没有该目的ip的arp表项,触发arp miss消息,交换机发送arp请求至目的ip,询问mac地址。
内网端口扫描,ip扫描,会造成大量的arp miss消息,形成攻击。
2 ARP MISS攻击发现
查看ARP Miss数量
系统视图查看攻击源:displayarp anti-attack arpmiss-record-info
3 ARP MISS攻击处置
a 调整arp-miss的cpcar值来缓解CPU过高问题
#
cpu-defend policy test
car packet-type arp-miss cir 64 cbs 12032
#
slot3
cpu-defend-policy test
b 提高arp表老化时间(默认时间:5s)
接口视图:arp-fake expire-time 30
c 降低基于源ip限制arp包发送速率
系统视图:arp-miss speed-limit source-ip maximum 5
开启arp arp-miss攻击防御及告警检测
系统视图:arp anti-attack rate-limit enable
系统视图:arp anti-attack rate-limit alarm enable
系统视图:arp-miss anti-attack rate-limit enable
系统视图:arp-miss anti-attack rate-limit alarm enable
d 查找源ip用户,查杀病毒