技巧与问答

❖ Metasploit和Kali有什么区别？

Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并对管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发、密码审计、Web应用程序扫描、社会工程。

Kali Linux是基于Debian的Linux发行版，设计用于数字取证和渗透测试。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成，BackTrack是他们之前写的用于取证的Linux发行版。

Kali Linux预装了许多渗透测试软件，包括nmap（端口扫描器）、Wireshark（数据包分析器）、John the Ripper（密码破解器），以及Aircrack-ng（一应用于对无线局域网进行渗透测试的软件）.[2] 用户可通过硬盘、live CD或live USB运行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux, Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。

Kali Linux既有32位和64位的镜像，可用于x86指令集，同时还有基于ARM架构的镜像，可用于树莓派和三星的ARM Chromebook。

❖ ARP欺骗攻击是什么意思？

ARP欺骗是一种黑客攻击手段，分为对路由器ARP表的欺骗和对内网的网关欺骗。

第一种ARP欺骗的原理——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常计算机无法收到信息。

第二种ARP欺骗的原理——伪造网关。它是通过建立假网关，让被它欺骗的计算机向假网关发数据，而不是通过正常的路由器途径上网。在计算机看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为计算机没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

❖ 如何用日志排查计算机故障？

以下有几则方法可以巧妙使用Windows系统内置日志文件，来高效、快捷地寻找故障原因，最终实现有效改善网络管理效率的目的。

（1）定位网络访问不通原因。

在计算机数量相对较多的局域网网络中，网络管理员一般会在局域网中架设DHCP服务器来为所有计算机自动分配合适的IP地址，以便提高网络管理效率。一旦普通计算机无法从局域网的DHCP服务器那里申请得到合适的IP地址，Windows系统将会自动为其分配一个保留地址为目标计算机，并且打开系统的日志文件时，我们还会看到其中包含一个ID为“1007”的事件记录。

依照上述分析，我们完全可以通过查看日志文件的方法，来定位网络访问不通的原因。例如，如果看到目标计算机系统不能正常访问网络时，我们可以尝试打开对应计算机系统的事件查看器窗口，从中找到系统日志文件，同时认真筛查其中是否有ID为“1007”的事件记录，如果找到了这个事件记录，那么我们就能认定网络访问不通的原因是目标计算机系统没有正确地从局域网DHCP服务器那里申请到合法的IP地址，这个时候我们只要将故障排查范围锁定在DHCP服务器上就可以了；如果发现局域网DHCP服务器能够正常工作，我们只要仔细检查目标计算机与局域网DHCP服务器之间的网络连接是否通畅，如此一来就能快速有效地解决网络访问不通的故障了。

（2）定位无法登录网络原因。

我们知道，MSN、QQ等通信类应用程序，在工作过程中也会自动产生自己的日志文件，来将目标应用程序登录网络的情况记录保存下来，我们同样也可以利用它们的日志文件来定位登录网络失败的故障原因。

例如，一旦在登录QQ时出现了无法登录网络的故障提示时，大家不妨在故障提示界面中单击“详细信息”按钮，之后就能从详细信息提示中看到QQ应用程序与多个TCP、UDP服务器尝试建立了网络连接，但是每个网络连接都提示为域名解析失败，最终造成了登录网络失败故障。这时，可以单击提示界面中的“疑难解决”按钮，这样QQ应用程序就能对当前网络连接进行自动诊断，诊断操作结束后，就可以初步判断出TCP、UDP服务器的IP地址是否能够被Ping通，本地网络的网关地址测试是否能被Ping通。如果发现本地网关地址无法通过检测时，基本就能断定无法登录网络的原因多半是本地计算机与网关设备之间的网络连接出现了故障，此时只要仔细检查本地计算机的物理线路就能快速解决无法登录网络的故障了。

（3）定位应用程序出错原因。

在自己的计算机系统频繁发生应用程序出错故障现象时，该怎么办呢？其实，我们可以自己动手来查看系统的日志文件，从中找到应用程序出错的故障原因。

首先打开控制面板，双击“管理工具”图标，在弹出的“管理工具列表”窗口中，双击“事件查看器”图标，进入对应系统的“事件查看器”窗口。

其次，在“事件查看器”窗口的左侧显示区域，单击“应用程序”选项，在对应该选项的右侧显示区域，能清楚地看到应用程序运行方面的事件记录；一旦某个应用程序发生崩溃现象时，我们就能从对应的应用程序日志中寻找到对应的记录内容，通过记录内容就能快速寻找到应用程序出错的原因。