已经知道攻击我计算机的IP和MIC，请问能不能确定攻击源？会不会是假的IP和MIC?我是被ARP攻击，请高手分析

ARP攻击一般不是黑客攻击，而是病毒或木马攻击。你这种情况是计算找到攻击源也没用，它根本就不是黑客攻击。而且，攻击源一般在你的局域网里。你找到了也没用。。。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

RARP的工作原理：

1 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；

2 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；

3 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；

4 如果不存在，RARP服务器对此不做任何的响应；

5 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。

6如果在第1-3中被ARP病毒攻击，则服务器做出的反映就会被占用，源主机同样得不到RARP服务器的响应信息，此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。

IC：介绍 MIC（Mobile Internet Card）是一种全新的智能卡产品，以移动用户熟悉的 SD/MMC 或 Micro-SD卡作为产品形态，自成一个完整系统，有独立的对外联系通道、独立的处理能力和存储能力，其外部通信不依赖手机，借助终端的显示能力就可以完成各种应用的下载、运行等。MIC 卡可以直接装载在目前主流的2G/3G 手机终端、数码相机、手持导航仪、PMP 等移动设备中使用，用户无需作任何设置，即可完成与无线宽带网络的连接，并自动将个人账号与远端服务器进行关联，实现统一计费和运营。

大致是有以下几种原因：

1、SERVER的SSHD会去DNS查找访问的CLIENT IP的HOSTNAME，如果DNS不可用或者没有相关记录，就会消耗一段时间。

2、在authentication gssapi-with-mic有时候也会消耗一段时间

一、测试查找具体原因：

1、使用ssh -v host进行debug

<span style="font-size:18px;"># ssh -v 19216810010</span>

然后就会输出一大堆debug，通过debug信息就可以看到连接到什么地方被耽搁了

比如会显示如下信息：

debug1: Next authentication method: gssapi-with-mic

debug1: Unspecified GSS failure Minor code may provide more information

No credentials cache found

2、检测连接时间

<span style="font-size:18px;"># time ssh root@19216810010 exit</span>

二、解决方法（建议一个个设置，因为每个人连接慢的原因都不一样）：

注意：修改之后记得重启sshd服务

# service sshd restart

1、关闭DNS反向解析

在linux中，默认就是开启了SSH的反向DNS解析,这个会消耗大量时间，因此需要关闭。

# vi /etc/ssh/sshd_config

UseDNS=no

在配置文件中，虽然UseDNS yes是被注释的，但默认开关就是yes

2、关闭SERVER上的GSS认证

在authentication gssapi-with-mic有很大的可能出现问题，因此关闭GSS认证可以提高ssh连接速度。

# vi /etc/ssh/sshd_config

GSSAPIAuthentication no

3、修改server上nsswitchconf文件

# vi /etc/nsswitchconf

找到

hosts： files dns

改为

hosts：files

hosts： files dns这一行含义是对于访问的主机进行域名解析的顺序，是先访问file，也就是/etc/hosts文件，如果hosts中没有记录域名，则访问dns，进行域名解析，如果dns也无法访问，就会等待访问超时后返回，因此等待时间比较长。

注意：如果SERVER需要通过域名访问其他服务器，则需要保留此行。

4、修改SERVER上resolvconf文件

41、删除/etc/resolvconf中所有不使用的IP。

42、把nameserver全部删除，问题也能解决，但是服务器就无法上网了。

43、如果SERVER曾经配置过双网卡，则在该文件中会有一行目前不使用的IP地址，删除该行即可。

5、修改SERVER上hosts文件

在SERVER上/etc/hosts文件中把客户端的IP和HOSTNAME加入

6、打开SERVER上的IgnoreRhosts参数

IgnoreRhosts参数可以忽略以前登录过主机的记录，设置为yes后可以极大的提高连接速度

# vi /etc/ssh/sshd_config

IgnoreRhosts yes

----------------以上的均在SERVER上设置，以下的均在CLIENT上设置-------------------

7、修改客户端的hosts文件

将目标SERVER的IP和域名加上去,使得本机的DNS服务能解析目标地址。

# vi /etc/hosts

19216810011 doiidocom

注：hosts文件格式为'目标SERVER_IP 目标SERVER_NAME'。但是使用这个方法有一个弊端，如果需要给每台SERVER都添加一个域名解析。

8、修改客户端配置文件ssh_conf（注意，不是sshd_conf）

# vi /etc/ssh/ssh_conf

找到

GSSAPIAuthentication yes

改为

GSSAPIAuthentication no