关于DNS的问题？（欢迎有这方面管理经验的大虾回答。）

1,用微软自带的DNS服务器,在添加组件里加上DNS服务
2,打开他,在里面建立区域(aaacom),在里面正向区域里添加主机名(例如abc)
IP地址指向要用这个主机名的电脑,那么abcaaacom就是那个电脑的域名
明白不
XP是没有DNS服务的,需要安装WIN2000 SERVER版或者WIN2003
3,至于原理,就是通过DNS(UDP包)查询DNS主机，DNS主机负责递归解析，先找com的根域，再找aaacom的域（第2点建的那个DNS区域就是aaacom域）从中找到abc这个主机，返回给电脑

内网只保留一个DHCP服务器就可以了，至于掉线问题要看具体是由什么引起的，如果是由于DHCP冲突的话，那么采用固定地址或是固定一个DHCP服务器就可以了，arp在艾泰路由器中有自动绑定ip/mac功能

针对TCP/IP协议的薄弱环节进行攻击；
发动攻击时，只要很少的数据流量就可以产生显著的效果；
攻击来源无法定位；
在服务端无法区分TCP连接请求是否合法。
二、系统检查
一般情况下，可以一些简单步骤进行检查，来判断系统是否正在遭受TCP SYN Flood攻击。
1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时；
2、通过 netstat -an 命令检查系统，发现有大量的SYN_RECV连接状态。
三、防范
如何才能做到有效的防范呢
1、 TCP Wrapper
使用TCP Wrapper(只有unix-like系统支持该功能，NT可怜)可能在某些有限的场合下有用，比如服务端只处理有限来源IP的TCP连接请求，其它未指定来源的连接请求一概拒绝。这在一个需要面向公众提供服务的场合下是不适合的。而且攻击者可以通过IP伪装(IP Spoof)来直接攻击受TCP Wrapper保护的TCP服务，更甚者可以攻击者可以伪装成服务器本身的地址进行攻击。
2、增加TCP Backlog容量
增加TCP Backlog容量是一种治标不治本的做法。它一方面要占用更多的系统内存，另一方面延长了TCP处理缓存队列的时间。攻击者只要不停地的进行SYN Flood一样可以达到拒绝服务的目的。
3、 ISP接入
所有的ISP在边界处理进入的主干网络的IP数据包时检测其来源地址是否合法，如果非指定来源IP地址范围，可以认为是IP Spoofing行为并将之丢弃。
在实际环境中，应为涉及的范围太过广泛，该方案无法实施。这是一个社会问题而非技术问题。
TCP SYN Flood检测与防范
一、TCP连接监控(TCP Interception)
为了有效的防范TCP SYN Flood攻击，在保证通过慢速网络的用户可以正常建立到服务端的合法连接的同时，需要尽可能的减少服务端TCP Backlog的清空时间，大多数防火墙采用了TCP连接监控的工作模式。
1防火墙接到来自用户端Z的SYN连接请求，在本地建立面向该连接的监控表项；
2防火墙将该连接请求之转发至服务端A；
3服务端A相应该连接请求返回SYN/ACK，同时更新与该连接相关联的监控表项；
4防火墙将该SYN/ACK转发至用户端Z；
5防火墙发送ACK至服务端A，同时服务端A中TCP Backlog该连接的表项被移出；
6这时，根据连接请求是否合法，可能有以下两种情况发生:
a如果来自用户端Z的连接请求合法，防火墙将该ACK转发至服务端A，服务端A会忽略该ACK，因为一个完整的TCP连接已经建立；
b如果来自用户端Z的连接请求非法(来源IP地址非法)，没有在规定的时间内收到返回的ACK，防火墙会发送RST至服务端A以拆除该连接。
7开始TCP传输过程。
由此可以看出，该方法具有两个局限:
1不论是否合法的连接请求都直接转发至服务端A，待判断为非法连接(无返回ACK)时才采取措施拆除连接，浪费服务端系统资源；
2防火墙在本地建立表项以监控连接(一个类似TCP Backlog的表)，有可能被攻击者利用。
二、天网DoS防御网关
天网防火墙采用经过优化的TCP连接监控工作方式。该方式在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端Z与服务端A是隔断的。
1防火墙接到来自用户端Z的SYN连接请求；
2防火墙返回一个经过特殊处理的SYN/ACK至客户端Z以验证连接的合法性；
3这时，根据连接请求是否合法，可能有以下两种情况发生:
a．防火墙接收到来自客户端Z的ACK回应，该连接请求合法。转至第4步继续；
b．防火墙没有接收到来自客户端Z的ACK回应，该连接请求非法，不进行处理；
4防火墙在本地建立面向该连接的监控表项，并发送与该连接请求相关联的SYN至服务端A；
5防火墙接到来自服务端A的SYN/ACK回应；
6防火墙返回ACK以建立一个完整的TCP连接；
7防火墙发送ACK至客户端Z，提示可以开始TCP传输过程。
其中，在第2/3/4/7步过程中，防火墙内部进行了如下 *** 作:
1在第2步中，为了验证连接的合法性，防火墙返回的SYN/ACK是经过特殊处理的，并提示客户端Z暂时不要传送有效数据；
2在第3步中，防火墙接收到来自客户端Z的ACK，检验其合法性。
3在第4步中，防火墙在本地建立面向该连接的监控表项，同时发送与该连接相关的SYN至服务端A；
4在第7步中，防火墙通过将TCP数据传输与监控表项进行比对，并调整序列号和窗口以使之匹配。开始TCP数据传输。
在这里，天网防火墙通过高效的算法（64K位的Hash）提供了超过30万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。

所谓网络丢包率是数据包丢失部分与所传数据包总数的比值。正常传输时网络丢包率应该控制在一定范围内。网络是否稳定，是否延迟，是否丢包，用ping命令都可以看出来，先使用ping命令查看网络是否稳定。

方法如下：

一、用ping命令检测网络是否稳定

1、在桌面上按win+R打开运行窗口，输入CMD打开命令提示符窗口。

在命令提示符窗口输入ping 你要测试的网址 -t进行测试，

2、下面用百度服务器测试网络丢包

3、数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

最短 = 28ms，最长 = 35ms，平均 = 32ms

4、上面的信息意思是说，我们向百度服务器发送了4条数据的请求，结果全部收到4条数据包的返回，没有丢失，往返的时间最短为28ms，最长为35ms，平均为32ms。

5、这就说明我们的网络是稳定的！没有数据丢失！当然一般来说ping 的时间越久越能测试网络的稳定性，一般ping一分钟左右，不丢包，就说明网络很稳定!

二、ping期间有Request timed out，提示就说明网络有丢包现象，说明网络不稳定，当然ping一分钟左右，如果有2、3条数据包丢失也算比较正常，如果丢失5个数据包以上就不正常了，造成丢包的原因可能是硬件问题或者软件问题

1、设备故障

设备故障主要是指设备硬件方面的故障，不包含软件配置不当造成的丢包。网卡是有问题稳定性差的，网线质量不好，路由器有问题等原因。更换质量好的网线，路由器放在通风的地方。

2、网络拥塞，带宽不足

网络拥塞造成丢包率上升的原因很多，主要是路由器资源被大量占用造成的。主要玩游戏等对宽带要求高的要建议使用电信或者联通100兆以上宽带。

3、软件问题，可以重置一下网络，手动设置IP和DNS

（一）重置一下网络

①在桌面按WIN+R输入CMD点击确定打开命令提示符窗口

②在命令提示符中输入：netsh winsock reset （可复制用鼠标右键粘贴）稍后，会有成功的提示，成功地重置Winsock目录，重启计算机完成重置。

（二）手动设置一下IP地址和DNS

①用手机连接WIFI，打开设置，无线WIFI设置，WIFI配置查看连接WIFI的IP

②设置IP地址和DNS

③点桌面任务栏上网络图标，打开网络与共享中心（win10用鼠标右键点任务栏的网络图标）

④有线点本地连接（WIFI点无线连接），点属性，双击IPV4进行手动设置

安全，在局域网当中，有一个协议由于它的特性一旦遭受攻击就非常麻烦。首先是它的攻击门槛比较低，找到一些小工具就能实现攻击，而且危害极大。这个协议就是ARP协议。
ARP攻击是局域网攻击的常用手段，那么我们就从以下几个方向来谈一下ARP协议，了解ARP的危害，并提供一些防护的建议。
ARP的原理
ARP攻击现象及危害
ARP攻击的原理
ARP防护
一、ARP的原理
arp协议（address resslution protocol）-----地址解析协议
作用是将IP地址解析为以太网MAC地址的协议
基本原理是发送ARP广播请求对方MAC地址 然后对方发送ARP应答，解析的结果存储在ARP缓存表中
当主机接收到ARP应答数据包时，就会对自己的ARP缓存进行更新，将应答中的ip地址和MAC地址存储在ARP缓存中。
二、ARP攻击现象及危害。
攻击现象：
1用户网络发生异常，经常掉线或者显示IP地址冲突，甚至大范围断网
2ping有时延，经常丢包或不通
3设备CPU占用率较高
危害：
1基本的危害是阻塞正常的网络带宽，造成网络拥堵。
2ARP可以造成中间人攻击，攻击者可以窃取用户敏感信息，实现数据的监听、篡改、重放、钓鱼等
三、ARP攻击的原理
ARP攻击的原理，主要是ARP协议自身设计的缺陷，在主机收到arp应答时，不管以前是否发出请求，都会接收并更新arp缓存
这就可以导致虚假的arp应答。
下面就通过模拟来看一下arp的攻击
环境：一台服务器（win server）一台PC（winxp） 一台攻击机器：kali
手段：我们通过kali去模拟攻击者对服务器和PC进行ARP攻击
kali:1921689310
xp:19216893137
server:19216893138
我们先打开kali的ettercap
image_8065png
然后先扫描局域网的ip，扫描完成后点击host list，发现了我们的两个目标主机。
2png
然后开始用ettercap对其目标及进行arp欺骗攻击，点第一个哈，然后出来个小d窗点击ok
3png
4png
现在其实arp欺骗已经成功了哈，我们打开xp 看一下arp列表，发现MAC地址都一样哈
5png
这个mac地址其实就是这台kali机的
6png
这就是一个简单的arp毒化攻击。
我们也可以用arpspoof来进行对目标机的断网攻击
也可以用driftnet 获取目标机的浏览
也可以bettercap获取登陆页面的账号密码
也可以进行钓鱼攻击等等
我这就不做演示了，有感兴趣的小伙伴也可以深入研究一下

---