技巧與問答

? Metasploit和Kali有什么區(qū)別？

Metasploit是一款開源的安全漏洞檢測工具，可以幫助安全和IT專業(yè)人士識別安全性問題，驗證漏洞的緩解措施，并對管理專家驅(qū)動的安全性進(jìn)行評估，提供真正的安全風(fēng)險情報。這些功能包括智能開發(fā)、密碼審計、Web應(yīng)用程序掃描、社會工程。

Kali Linux是基于Debian的Linux發(fā)行版，設(shè)計用于數(shù)字取證和滲透測試。由Offensive Security Ltd維護(hù)和資助。最先由Offensive Security的Mati Aharoni和Devon Kearns通過重寫B(tài)ackTrack來完成，BackTrack是他們之前寫的用于取證的Linux發(fā)行版。

Kali Linux預(yù)裝了許多滲透測試軟件，包括nmap（端口掃描器）、Wireshark（數(shù)據(jù)包分析器）、John the Ripper（密碼破解器），以及Aircrack-ng（一應(yīng)用于對無線局域網(wǎng)進(jìn)行滲透測試的軟件）.[2] 用戶可通過硬盤、live CD或live USB運(yùn)行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux, Metasploit一套針對遠(yuǎn)程主機(jī)進(jìn)行開發(fā)和執(zhí)行Exploit代碼的工具。

Kali Linux既有32位和64位的鏡像，可用于x86指令集，同時還有基于ARM架構(gòu)的鏡像，可用于樹莓派和三星的ARM Chromebook。

? ARP欺騙攻擊是什么意思？

ARP欺騙是一種黑客攻擊手段，分為對路由器ARP表的欺騙和對內(nèi)網(wǎng)的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常計算機(jī)無法收到信息。

第二種ARP欺騙的原理——偽造網(wǎng)關(guān)。它是通過建立假網(wǎng)關(guān)，讓被它欺騙的計算機(jī)向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在計算機(jī)看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時，認(rèn)為計算機(jī)沒有問題，交換機(jī)沒掉線的“本事”，電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

? 如何用日志排查計算機(jī)故障？

以下有幾則方法可以巧妙使用Windows系統(tǒng)內(nèi)置日志文件，來高效、快捷地尋找故障原因，最終實(shí)現(xiàn)有效改善網(wǎng)絡(luò)管理效率的目的。

（1）定位網(wǎng)絡(luò)訪問不通原因。

在計算機(jī)數(shù)量相對較多的局域網(wǎng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員一般會在局域網(wǎng)中架設(shè)DHCP服務(wù)器來為所有計算機(jī)自動分配合適的IP地址，以便提高網(wǎng)絡(luò)管理效率。一旦普通計算機(jī)無法從局域網(wǎng)的DHCP服務(wù)器那里申請得到合適的IP地址，Windows系統(tǒng)將會自動為其分配一個保留地址為目標(biāo)計算機(jī)，并且打開系統(tǒng)的日志文件時，我們還會看到其中包含一個ID為“1007”的事件記錄。

依照上述分析，我們完全可以通過查看日志文件的方法，來定位網(wǎng)絡(luò)訪問不通的原因。例如，如果看到目標(biāo)計算機(jī)系統(tǒng)不能正常訪問網(wǎng)絡(luò)時，我們可以嘗試打開對應(yīng)計算機(jī)系統(tǒng)的事件查看器窗口，從中找到系統(tǒng)日志文件，同時認(rèn)真篩查其中是否有ID為“1007”的事件記錄，如果找到了這個事件記錄，那么我們就能認(rèn)定網(wǎng)絡(luò)訪問不通的原因是目標(biāo)計算機(jī)系統(tǒng)沒有正確地從局域網(wǎng)DHCP服務(wù)器那里申請到合法的IP地址，這個時候我們只要將故障排查范圍鎖定在DHCP服務(wù)器上就可以了；如果發(fā)現(xiàn)局域網(wǎng)DHCP服務(wù)器能夠正常工作，我們只要仔細(xì)檢查目標(biāo)計算機(jī)與局域網(wǎng)DHCP服務(wù)器之間的網(wǎng)絡(luò)連接是否通暢，如此一來就能快速有效地解決網(wǎng)絡(luò)訪問不通的故障了。

（2）定位無法登錄網(wǎng)絡(luò)原因。

我們知道，MSN、QQ等通信類應(yīng)用程序，在工作過程中也會自動產(chǎn)生自己的日志文件，來將目標(biāo)應(yīng)用程序登錄網(wǎng)絡(luò)的情況記錄保存下來，我們同樣也可以利用它們的日志文件來定位登錄網(wǎng)絡(luò)失敗的故障原因。

例如，一旦在登錄QQ時出現(xiàn)了無法登錄網(wǎng)絡(luò)的故障提示時，大家不妨在故障提示界面中單擊“詳細(xì)信息”按鈕，之后就能從詳細(xì)信息提示中看到QQ應(yīng)用程序與多個TCP、UDP服務(wù)器嘗試建立了網(wǎng)絡(luò)連接，但是每個網(wǎng)絡(luò)連接都提示為域名解析失敗，最終造成了登錄網(wǎng)絡(luò)失敗故障。這時，可以單擊提示界面中的“疑難解決”按鈕，這樣QQ應(yīng)用程序就能對當(dāng)前網(wǎng)絡(luò)連接進(jìn)行自動診斷，診斷操作結(jié)束后，就可以初步判斷出TCP、UDP服務(wù)器的IP地址是否能夠被Ping通，本地網(wǎng)絡(luò)的網(wǎng)關(guān)地址測試是否能被Ping通。如果發(fā)現(xiàn)本地網(wǎng)關(guān)地址無法通過檢測時，基本就能斷定無法登錄網(wǎng)絡(luò)的原因多半是本地計算機(jī)與網(wǎng)關(guān)設(shè)備之間的網(wǎng)絡(luò)連接出現(xiàn)了故障，此時只要仔細(xì)檢查本地計算機(jī)的物理線路就能快速解決無法登錄網(wǎng)絡(luò)的故障了。

（3）定位應(yīng)用程序出錯原因。

在自己的計算機(jī)系統(tǒng)頻繁發(fā)生應(yīng)用程序出錯故障現(xiàn)象時，該怎么辦呢？其實(shí)，我們可以自己動手來查看系統(tǒng)的日志文件，從中找到應(yīng)用程序出錯的故障原因。

首先打開控制面板，雙擊“管理工具”圖標(biāo)，在彈出的“管理工具列表”窗口中，雙擊“事件查看器”圖標(biāo)，進(jìn)入對應(yīng)系統(tǒng)的“事件查看器”窗口。

其次，在“事件查看器”窗口的左側(cè)顯示區(qū)域，單擊“應(yīng)用程序”選項，在對應(yīng)該選項的右側(cè)顯示區(qū)域，能清楚地看到應(yīng)用程序運(yùn)行方面的事件記錄；一旦某個應(yīng)用程序發(fā)生崩潰現(xiàn)象時，我們就能從對應(yīng)的應(yīng)用程序日志中尋找到對應(yīng)的記錄內(nèi)容，通過記錄內(nèi)容就能快速尋找到應(yīng)用程序出錯的原因。