MTU=最大传输单元 单位：字节 英文：Maximum Transmission Unit”我们平时上网时的各种操作，都是通过一个又一个“数据包”传输来实现的。而MTU指定了网络中可传输数据包的最大尺寸，在我们常用的以太网中，MTU是1500字节。超过此大小的数据包就会将多余的部分拆分再单独传输。就像货车通过限高的桥洞一样，货物高度超过限制高度了，就需要卸下一些货物，分两批通过限高路段。

MTU跟我的网络有神马关系？

关系还是挺密切的，在windows里，默认的MTU是1500，但是不同的网络接入方式，不同地区的网络运营商，甚至不同的路由器，它们的MTU值都可能是不同的。

例如：ADSL接入时MTU为1492字节，假设A需要给B传输3000字节数据，如果整个传输过程中各个环节的MTU都是1500，那么2个数据包就可以传输完成。可是偏偏这时ADSL接入方式的MTU是1492字节，数据包就因为这个MTU差异额外拆分为3个（为了便于理解，暂时不将“数据包报头”纳入考虑范围）显然这额外增加了需要传输的数据包数量，而且拆包组包的过程也浪费了时间。如果从本地到网络采用一致的MTU就可以避免额外拆包。

我该怎么合理设置MTU呢？

更快的网速，这个理由够不够让你折腾一趟呢？显然是值得的，可是MTU值不是一个数字，天下通用的。所以在我们动手设置的时候，讲究一个合理！

那么什么情况下MTU值是合理的呢？我们先来看看不合理的。

1、本地MTU值大于网络MTU值时，本地传输的数据包过大导致网络会拆包后传输，不但产生额外的数据包，而且消耗了“拆包、组包”的时间。

2、本地MTU值小于网络MTU值时，本地传输的数据包可以直接传输，但是未能完全利用网络给予的数据包传输尺寸的上限值，传输能力未完全发挥。

这样我们就知道，所谓合理的设置MTU值，就是让本地的MTU值与网络的MTU值一致，既能完整发挥传输性能，又不让数据包拆分。

MTU多少才是合理的？

操作步骤：

1、按win+r组合键呼叫运行菜单，输入cmd后回车。

2、在出现的“命令提示符”窗口中输入“ping -l 1472 -f www.rkxy.com.cn”然后回车。

接下来Teamo稍微解释下：

ping：发起一个探测请求；

-l（L的小写）：限制探测包大小；

1472：包大小为1472字节；

-f：禁止路由器拆分数据包；

www.rkxy.com.cn：设www.gxjlyf.com 扒房网为探测目标。

3、按下回车后，会出现两种返回结果：

（1）、如果收到了回复，那么说明你的网络允许最大MTU值就是1500字节，与系统默认值相同，只需要将路由器的MTU值也设置为1500即可。

（2）、如果出现需要拆分数据包但是设置 DF，或是Packer needs to be fragmented but DF set.的提示，那就说明数据包大小超过了网络限定的MTU大小。需要减小探测包大小再次尝试。（为了截效果图，我将探测包改为1473了）

4、按“上箭头”恢复刚才输入的命令，然后以5为跨度减小包大小为1467字节，再次回车探测。

5、这时同样也有两种可能：

（1）、如果有返回，说明数据包小于MTU限制，就将包大小+3再次探测，如果+3之后没有返回，那就以1为跨度降低数据包大小进行探测。

（2）、如果还是没有返回，就继续以5为跨度减小包大小，直至有返回后进行5（1）中的操作。

6、直至你发现数据包-1后，有了返回，就说明你探测到了MTU允许的准确数据包大小。

（例如从1465降低到1464就有了返回，那么允许的数据包大小就是1464）

7、不过上面得到的值还不能设置为操作系统或路由器的MTU，你找到的数据包大小需要加上28字节的“数据包报头”，才是完整的数据包尺寸。

（例如：探测到的数据包大小是1464，那么加上28字节，最终MTU=1492字节）

8、最后，只需要将路由器和操作系统中的MTU值设置为你得出的结果即可进入小极后台，高级选项中的MTU设置中填入测得的数值即可。

END

以上便是今天说说路由器MTU的设置方法以及合理的MTU值解析，当然，理论上来说路由器MTU值设置1500即可，为了空下一些跨度空间，我们可以留下8字节。

Ping （Packet Internet Grope），因特网包探索器，用于测试网络连接量的程序。Ping发送一个ICMP回声请求消息给目的地并报告是否收到所希望的ICMP回声应答。

它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，Ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。

Ping 是Windows系列自带的一个可执行命令。利用它可以检查网络是否能够连通，用好它可以很好地帮助我们分析判定网络故障。应用格式：Ping IP地址。该命令还可以加许多参数使用，具体是键入Ping按回车即可看到详细说明。

Ping指的是端对端连通，通常用来作为可用性的检查，但是某些病毒木马会强行大量远程执行Ping命令抢占你的网络资源，导致系统变慢，网速变慢。

严禁Ping入侵作为大多数防火墙的一个基本功能提供给用户进行选择。

Linux下Ping包的默认大小为64Byte，次数不限。但有时我们需要尝试Ping大数据包，来测试网络的状况，这时，就要指定Ping包的大小了。

Linux下Ping大数据包的格式：

语 法：Ping [-dfnqrRv][-c<完成次数>][-i<间隔秒数>][-I<网络界面>][-l<前置载入>][-p<范本样式>][-s<数据包大小>][-t<存活数值>][主机名称或IP地址]

例如：

1、指定数据包大小为1500Byte：Ping -s 1500 ip

2、指定次数为4次，数据包大小为32767Byte：Ping -c 4 -s 32767 ip

Windows下默认Ping包次数为4次，Ping包大小为32Byte：

1、指定Ping包大小为1500Byte：Ping -l 1500 ip

2、指定次数为6次，Ping包大小为1500：Ping -n 6 -l 1500 ip

注：查看使用帮助，输入Ping，回车即可。

Ping大包命令为Ping -l 65500，数据包的有效范围从 0 到 65500。Ping命令还有许多有用的功能，供您参考：

Ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] [-R] [-S srcaddr] [-c compartment] [-p] [-4] [-6] target_name

-t Ping 指定的主机，直到停止。若要查看统计信息并继续操作，请键入 Ctrl+Break；若要停止，请键入 Ctrl+C。

-a 将地址解析为主机名。

-n count 要发送的回显请求数。

-l size 发送缓冲区大小。

-f 在数据包中设置“不分段”标记（仅适用于 IPv4）。

-i TTL 生存时间。

-v TOS 服务类型（仅适用于 IPv4。该设置已被弃用，对 IP 标头中的服务类型字段没有任何影响）。

-r count 记录计数跃点的路由（仅适用于 IPv4）。

-s count 计数跃点的时间戳（仅适用于 IPv4）。

-j host-list 与主机列表一起使用的松散源路由（仅适用于 IPv4）。

-k host-list 与主机列表一起使用的严格源路由（仅适用于 IPv4）。

-w timeout 等待每次回复的超时时间（毫秒）。

-R 同样使用路由标头测试反向路由（仅适用于 IPv6）。如果使用此标头，某些系统可能丢弃回显请求。

-S srcaddr 要使用的源地址。

-c compartment 路由隔离舱标识符。

-p Ping Hyper-V 网络虚拟化提供程序地址。

-4 强制使用 IPv4。

-6 强制使用 IPv6。

当用户遇到Ping小包正常，Ping大包不通的时候，可以排除一下几点问题：

1、可以先尝试通过更改客户端/服务器网卡的MTU值，确认是否为MTU的问题。

2、若是MPLS VPN网络，建议在中间经过的所有节点设备设备上调整接口的MTU为1530。

3、若是中间网络参数不好调整，或者叠加的是其它VPN业务（例如 ipsec、l2tp/pptp、gre等），可以尝试在客户端的出口设备上行链路调整tcp的mss值来规避解决，具体配置命令如下：

interface GigabitEthernet 0/0

ip tcp adjust-mss 1300 //建议尝试调整为1300，也可以尝试调整为更小的数值

确实无法定位问题，可以在本端/对端设备以及中间网络进行镜像抓包，确认具体的问题点。

以上便是Ping大包命令格式，请用户遵守网络规则，勿使用Ping大包进行网络攻击。

首先来看看什么是网络安全？

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

如何做到网络安全？

第一、物理安全

除了要保证要有电脑锁之外，我们更多的要注意防火，要将电线和网络放在比较隐蔽的地方。我们还要准备UPS，以确保网络能够以持续的电压运行，在电子学中，峰值电压是一个非常重要的概念，峰值电压高的时候可以烧坏电器，迫使网络瘫痪，峰值电压最小的时候，网络根本不能运行。使用UPS可以排除这些意外。另外我们要做好防老鼠咬坏网线。

第二、系统安全（口令安全）

我们要尽量使用大小写字母和数字以及特殊符号混合的密码，但是自己要记住，我也见过很多这样的网管，他的密码设置的的确是复杂也安全，但是经常自己都记不来，每次都要翻看笔记本。另外我们最好不要使用空口令或者是带有空格的，这样很容易被一些黑客识破。

我们也可以在屏保、重要的应用程序上添加密码，以确保双重安全。

第三、打补丁

我们要及时的对系统补丁进行更新，大多数病毒和黑客都是通过系统漏洞进来的，例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以我们要及时对系统和应用程序打上最新的补丁，例如IE、OUTLOOK、SQL、OFFICE等应用程序。

另外我们要把那些不需要的服务关闭，例如TELNET，还有关闭Guset帐号等。

第四、安装防病毒软件

病毒扫描就是对机器中的所有文件和邮件内容以及带有.exe的可执行文件进行扫描，扫描的结果包括清除病毒，删除被感染文件，或将被感染文件和病毒放在一台隔离文件夹里面。所以我们要对全网的机器从网站服务器到邮件服务器到文件服务器知道客户机都要安装杀毒软件，并保持最新的病毒定义码。我们知道病毒一旦进入电脑，他会疯狂的自我复制，遍布全网，造成的危害巨大，甚至可以使得系统崩溃，丢失所有的重要资料。所以我们要至少每周一次对全网的电脑进行集中杀毒，并定期的清除隔离病毒的文件夹。

现在有很多防火墙等网关产品都带有反病毒功能，例如netscreen总裁谢青旗下的美国飞塔Fortigate防火墙就是，她具有防病毒的功能。

第五、应用程序

我们都知道病毒有超过一半都是通过电子邮件进来的，所以除了在邮件服务器上安装防病毒软件之外，还要对PC机上的outlook防护，我们要提高警惕性，当收到那些无标题的邮件，或是你不认识的人发过来的，或是全是英语例如什么happy99，money，然后又带有一个附件的邮件，建议您最好直接删除，不要去点击附件，因为百分之九十以上是病毒。我前段时间就在一个政府部门碰到这样的情况，他们单位有三个人一直收到邮件，一个小时竟然奇迹般的收到了2000多封邮件，致使最后邮箱爆破，起初他们怀疑是黑客进入了他们的网络，最后当问到这几个人他们都说收到了一封邮件，一个附件，当去打开附件的时候，便不断的收到邮件了，直至最后邮箱撑破。最后查出还是病毒惹的祸。

除了不去查看这些邮件之外，我们还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。

很多黑客都是通过你访问网页的时候进来的，你是否经常碰到这种情况，当你打开一个网页的时候，会不断的跳出非常多窗口，你关都关不掉，这就是黑客已经进入了你的电脑，并试图控制你的电脑。

所以我们要将IE的安全性调高一点，经常删除一些cookies和脱机文件，还有就是禁用那些Active X的控件。

第六、代理服务器

代理服务器最先被利用的目的是可以加速访问我们经常看的网站，因为代理服务器都有缓冲的功能，在这里可以保留一些网站与IP地址的对应关系。

要想了解代理服务器，首先要了解它的工作原理：

环境：局域网里面有一台机器装有双网卡，充当代理服务器，其余电脑通过它来访问网络。

1、内网一台机器要访问新浪，于是将请求发送给代理服务器。

2、代理服务器对发来的请求进行检查，包括题头和内容，然后去掉不必要的或违反约定的内容。

3、代理服务器重新整合数据包，然后将请求发送给下一级网关。

4、新浪网回复请求，找到对应的IP地址。

5、代理服务器依然检查题头和内容是否合法，去掉不适当的内容。

6、重新整合请求，然后将结果发送给内网的那台机器。

由此可以看出，代理服务器的优点是可以隐藏内网的机器，这样可以防止黑客的直接攻击，另外可以节省公网IP。缺点就是每次都要经由服务器，这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候，其余电脑将不能访问网络。

第七、防火墙

提到防火墙，顾名思义，就是防火的一道墙。防火墙的最根本工作原理就是数据包过滤。实际上在数据包过滤的提出之前，都已经出现了防火墙。

数据包过滤，就是通过查看题头的数据包是否含有非法的数据，我们将此屏蔽。

举个简单的例子，假如体育中心有一场刘德华演唱会，检票员坐镇门口，他首先检查你的票是否对应，是否今天的，然后撕下右边的一条，将剩余的给你，然后告诉你演唱会现场在哪里，告诉你怎么走。这个基本上就是数据包过滤的工作流程吧。

你也许经常听到你们老板说：要增加一台机器它可以禁止我们不想要的网站，可以禁止一些邮件它经常给我们发送垃圾邮件和病毒等，但是没有一个老板会说：要增加一台机器它可以禁止我们不愿意访问的数据包。实际意思就是这样。接下来我们推荐几个常用的数据包过滤工具。

最常见的数据包过滤工具是路由器。

另外系统中带有数据包过滤工具，例如Linux TCP/IP中带有的ipchain等

Wndows 2000带有的TCP/IP Filtering筛选器等，通过这些我们就可以过滤掉我们不想要的数据包。

防火墙也许是使用最多的数据包过滤工具了，现在的软件防火墙和硬件防火墙都有数据包过滤的功能。接下来我们会重点介绍防火墙的。

防火墙通过一下方面来加强网络的安全：

1、策略的设置

策略的设置包括允许与禁止。允许例如允许我们的客户机收发电子邮件，允许他们访问一些必要的网站等。例如防火墙经常这么设置，允许内网的机器访问网站、收发电子邮件、从FTP下载资料等。这样我们就要打开80、25、110、21端口，开HTTP、SMTP、POP3、FTP等。

禁止就是禁止我们的客户机去访问哪些服务。例如我们禁止邮件客户来访问网站，于是我们就给他打开25、110，关闭80。

2、NAT

NAT，即网络地址转换，当我们内网的机器在没有公网IP地址的情况下要访问网站，这就要用到NAT。工作过程就是这样，内网一台机器192.168.0.10要访问新浪，当到达防火墙时，防火墙给它转变成一个公网IP地址出去。一般我们为每个工作站分配一个公网IP地址。

防火墙中要用到以上提到的数据包过滤和代理服务器，两者各有优缺点，数据包过滤仅仅检查题头的内容，而代理服务器除了检查标题之外还要检查内容。当数据包过滤工具瘫痪的时候，数据包就都会进入内网，而当代理服务器瘫痪的时候内网的机器将不能访问网络。

另外，防火墙还提供了加密、身份验证等功能。还可以提供对外部用户VPN的功能。

第八、DMZ

DMZ本来是朝鲜的南北大战的时候，提出的停火带。但是在我们网络安全里面，DMZ来放置例如网站服务器、邮件服务器、DNS服务器、FTP服务器等。

我们可以通过DMZ出去，这样就为黑客进来提供了通道，所以我们有必要添加第二台防火墙，来加强我们的网络安全。

这样带来的麻烦就是从网上下载，首先要来验证安全性，下载的时候要等一会。

第九、IDS

我们使用了防火墙和防病毒之后，使用IDS来预防黑客攻击。

IDS，就是分析攻击事件以及攻击的目标与攻击源，我们利用这些可以来抵御攻击，以将损坏降低到最低限度。

目前IDS还没有象防火墙那样用的普遍，但是这个也将是未来几年的趋势，现在一些政府已经开始使用。

国内著名的IDS厂家例如金诺网安、中联绿盟、启明星辰。

第十、VPN

以前我们都是通过电话和邮件来和外地的分公司联系。分公司从总公司找一些文件都是通过拨号上网，即使用点对点协议，这样安全，但是花费很高。VPN可以解决这一点。

第十一、分析时间日志与记录

我们要经常的来查看防火墙日志、入侵检测的日志以及查看防病毒软件的更新组件是否最新等。

以上小编给大家我来教你了做好网络安全管理的十一大要点，大家看明白了吗？仅仅使用一层安全保护系统是万万不够的，想要抵挡住病毒和黑客的侵袭，我们必须做好万全的防护措施。

前言：

域名系统（Domain Name System，DNS）是一个将Domain Name和IP Address进行互相映射的Distributed Database。DNS是网络应用的基础设施，它的安全性对于互联网的安全有着举足轻重的影响。

一、DNS SERVER的服务工作过程

DNS是一种实现Domain Name和IP Address之间转换的系统，它的工作原理就是在两者间进行相互映射，相当于起到翻译作用，所以称为域名解析系统。DNS System分为Server和Client两部分，Server的通用Port是53。当Client向Server发出解析请求时，Local DNS Server第一步查询自身的Database是否存在需要的内容，如果有则发送应答数据包并给出相应的结果;否则它将向上一层DNS Server查询。如此不断查询，最终直至找到相应的结果或者将查询失败的信息反馈给客户机。如果Local DNS Server查到信息，则先将其保存在本机的高速缓存中，然后再向客户发出应答。日常我们上网是通过Browser方式来申请从Domain Name到IP Address的解析，即Client向DNS Server提交域名翻译申请，希望得到对应的IP Address。这里以笔者所在院校为例，说明DNS的工作原理。

例如Client的Address为10.252.2.16，学校DNS Server为218.30.19.40，从此客户机来访问西安财经学院网站。在地址栏键入学校网站的www.xaufe.edu.cn，通过DNS Server查找其对应的IP Address。这个申请从10.252.2.16的一个随机PORT发送出去，由218.30.19.40的53绑定端口接收到此申请并进行翻译，首先在218.30.19.40的高速缓存中查找www.xaufe.edu.cn的IP Address，若存在对应的映射关系，就直接将IP Address发送给客户机，若缓存中没有，则218.30.19.40会向上层DNS SERVER查询，最后将查询到的结果先发送到218.30.19.40，最后由218.30.19.40将西安财经学院的IP Address（281.195.32.1）返回给Client 10.252.2.16。这样10.252.2.16就可以和西安财经学院站点建立连接并访问了。

二、DNS欺骗攻击原理

2.1 欺骗原理

Client的DNS查询请求和DNS Server的应答数据包是依靠DNS报文的ID标识来相互对应的。在进行域名解析时，Client首先用特定的ID号向DNS Server发送域名解析数据包，这个ID是随机产生的。DNS Server找到结果后使用此ID给Client发送应答数据包。Client接收到应答包后，将接收到的ID与请求包的ID对比，如果相同则说明接收到的数据包是自己所需要的，如果不同就丢弃此应答包。根据攻击者的查询和应答原理，可使用不同方法实现攻击，如：

（1）因为DNS Message仅使用一个简单的认证码来实施真实性验证，认证码是由Client程序产生并由DNS Server返回结果的，客户机只是使用这个认证码来辨别应答与申请查询是否匹配，这就使得针对ID认证码的攻击威胁成为可能。

（2）在DNS Request Message中可以增加信息，这些信息可以与客户机所申请查询的内容没有必然联系，因此攻击者就能在Request Message中根据自己的目的增加某些虚假的信息，比如增加其它Domain Server的Domain Name及其IP Address。此时Client在受到攻击的Domain Server上的查询申请均被转向此前攻击者在Request Message中增加的虚假Domain Server，由此DNS欺骗得以产生并对网络构成威胁。

（3）当DNS Server接收到Domain Name和IP Address相互映射的数据时，就将其保存在本地的Cache中。若再有Client请求查询此Domain Name对应的IP Address，Domain Server就会从Cache中将映射信息回复给Client，而无需在Database中再次查询。如果黑客将DNS Request Message的存在周期设定较长时间，就可进行长期欺骗。

2.2 DNS欺骗攻击的方式

DNS欺骗技术常见的有内应攻击和序列号攻击两种。内应攻击即黑客在掌控一台DNS Server后，对其Domain Database内容进行更改，将虚假IP Address指定给特定的Domain Name，当Client请求查询这个特定域名的IP时，将得到伪造的IP。

序列号攻击是指伪装的DNS Server在真实的DNS Server之前向客户端发送应答数据报文，该报文中含有的序列号ID与客户端向真实的DNS Server发出请求数据包中含有的ID相同，因此客户端会接收该虚假报文，而丢弃晚到的真实报文，这样DNS ID序列号欺骗成功。客户机得到的虚假报文中提供的域名的IP是攻击者设定的IP，这个IP将把客户带到攻击者指定的站点。

2.3 DNS 序列号欺骗攻击原理

DNS 序列号（ID）欺骗以侦测ID和Port为基础。在Switch构建的网络中，攻击方首先向目标实施ARP欺骗。当Client、攻击者和DNS Server同在一个网络时，攻击流程如下：①攻击方向目标反复发送伪造的ARP Request Message，修改目标机的ARP 缓存内容，同时依靠IP续传使Data经过攻击方再流向目的地;攻击方用Sniffer软件侦测DNS请求包，获取ID序列号和Potr;②攻击方一旦获得ID和Potr，即刻向客户机发送虚假的DNS Request Message，Client接收后验证ID和Potr正确，认为接收了合法的DNS应答;而Client得到的IP可能被转向攻击方诱导的非法站点，从而使Client信息安全受到威胁;③Client再接收DNS Server的Request Message，因落后于虚假的DNS响应，故被Client丢弃。当Client访问攻击者指向的虚假IP时，一次DNS ID欺骗随即完成。

三、DNS欺骗检测和防范思路

3.1 检测思路

发生DNS欺骗时，Client最少会接收到两个以上的应答数据报文，报文中都含有相同的ID序列号，一个是合法的，另一个是伪装的。据此特点，有以下两种检测办法：

（1）被动监听检测。即监听、检测所有DNS的请求和应答报文。通常DNS Server对一个请求查询仅仅发送一个应答数据报文（即使一个域名和多个IP有映射关系，此时多个关系在一个报文中回答）。因此在限定的时间段内一个请求如果会收到两个或以上的响应数据报文，则被怀疑遭受了DNS欺骗。

（2）主动试探检测。即主动发送验证包去检查是否有DNS欺骗存在。通常发送验证数据包接收不到应答，然而黑客为了在合法应答包抵达客户机之前就将欺骗信息发送给客户，所以不会对DNS Server的IP合法性校验，继续实施欺骗。若收到应答包，则说明受到了欺骗攻击。

3.2 防范思路

在侦测到网络中可能有DNS欺骗攻击后，防范措施有：①在客户端直接使用IP Address访问重要的站点，从而避免DNS欺骗; ②对DNS Server和Client的数据流进行加密，Server端可以使用SSH加密协议，Client端使用PGP软件实施数据加密。

对于常见的ID序列号欺骗攻击，采用专业软件在网络中进行监听检查，在较短时间内，客户端如果接收到两个以上的应答数据包，则说明可能存在DNS欺骗攻击，将后到的合法包发送到DNS Server并对DNS数据进行修改，这样下次查询申请时就会得到正确结果。

四、DNS防护方案

4.1 进行IP地址和MAC地址的绑定

（1）预防ARP欺骗攻击。因为DNS攻击的欺骗行为要以ARP欺骗作为开端，所以如果能有效防范或避免ARP欺骗，也就使得DNS ID欺骗攻击无从下手。例如可以通过将Gateway Router 的Ip Address和MAC Address静态绑定在一起，就可以防范ARP攻击欺骗。

（2）DNS信息绑定。DNS欺骗攻击是利用变更或者伪装成DNS Server的IP Address，因此也可以使用MAC Address和IP Address静态绑定来防御DNS欺骗的发生。由于每个Network Card的MAC Address具有唯一性质，所以可以把DNS Server的MAC Address与其IP Address绑定，然后此绑定信息存储在客户机网卡的Eprom中。当客户机每次向DNS Server发出查询申请后，就会检测DNS Server响应的应答数据包中的MAC Address是否与Eprom存储器中的MAC Address相同，要是不同，则很有可能该网络中的DNS Server受到DNS欺骗攻击。这种方法有一定的不足，因为如果局域网内部的客户主机也保存了DNS Server的MAC Address，仍然可以利用MAC Address进行伪装欺骗攻击。

4.2 使用Digital Password进行辨别

在不同子网的文件数据传输中，为预防窃取或篡改信息事件的发生，可以使用任务数字签名（TSIG）技术即在主从Domain Name Server中使用相同的Password和数学模型算法，在数据通信过程中进行辨别和确认。因为有Password进行校验的机制，从而使主从Server的身份地位极难伪装，加强了Domain Name信息传递的安全性。

安全性和可靠性更好的Domain Name Service是使用域名系统的安全协议（Domain Name System Security， DNSSEC）），用Digital Signature的方式对搜索中的信息源进行分辨，对DATA的完整性实施校验，DNSSEC的规范可参考RFC2605。因为在设立Domain时就会产生Password，同时要求上层的Domain Name也必须进行相关的Domain Password Signature，显然这种方法很复杂，所以InterNIC域名管理截至目前尚未使用。然而就技术层次上讲，DNSSEC应该是现今最完善的Domain Name设立和解析的办法，对防范Domain Name欺骗攻击等安全事件是非常有效的。

4.3 优化DNS SERVER的相关项目设置

对于DNS Server的优化可以使得DNS的安全性达到较高的标准，常见的工作有以下几种：①对不同的子网使用物理上分开的Domain Name Server，从而获得DNS功能的冗余;②将外部和内部Domain Name Server从物理上分离开并使用Forwarders转发器。外部Domain Name Server可以进行任何客户机的申请查询，但Forwarders则不能，Forwarders被设置成只能接待内部客户机的申请查询;③采用技术措施限制DNS动态更新;④将区域传送（zone transfer）限制在授权设备上;⑤利用事务签名对区域传送和区域更新进行数字签名;⑥隐藏服务器上的Bind版本;⑦删除运行在DNS服务器上的不必要服务，如FTP、telnet和Http;⑧在网络外围和DNS服务器上使用防火墙，将访问限制在那些DNS功能需要的端口上。

4.4 直接使用IP地址访问

对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。由于DNS欺骗攻击中不少是针对窃取客户的私密数据而来的，而多数用户访问的站点并不涉及这些隐私信息，因此当访问具有严格保密信息的站点时，可以直接使用IP地址而无需通过DNS解析，这样所有的DNS欺骗攻击可能造成的危害就可以避免了。除此，应该做好DNS Server的安全配置项目和升级DNS软件，合理限定DNS Server进行响应的IP地址区间，关闭DNS Server的递归查询项目等。

4.5 对DNS数据包进行监测

在DNS欺骗攻击中，Client会接收到至少两个DNS的数据响应包，一个是真实的数据包，另一个是攻击数据包。欺骗攻击数据包为了抢在真实应答包之前回复给Client，它的信息数据结构与真实的数据包相比十分简单，只有应答域，而不包括授权域和附加域。因此，可以通过监测DNS响应包，遵循相应的原则和模型算法对这两种响应包进行分辨，从而避免虚假数据包的攻击。

以上给大家阐述了DNS欺骗攻击原理及其防护方案，应用以上方案，将大大提高DNS的安全性和可靠性，希望小编的我来教你能帮助到大家！

安卓游戏数据包放哪里？

目前安卓市场上主流的大型游戏厂商数据包的放置路径，具体如下：

注：***即解压后的游戏数据包文件。

1、Gameloft数据包的放置路径：sdcard/gameloft/games/***

2、EA数据包的放置路径：sdcard/Android/data/***

3、GLU数据包的放置路径：sdcard/glu/***

4、其它数据包的放置路径：sdcard/data/data/***

安卓游戏数据包安装时的注意事项：

1、对于有些大型安卓游戏而言，因其自带文件信息过多，为了占用更少内存故而将应用程序分为**.APK和数据包，其APK文件为游戏的主程序，数据包则是该游戏的必需数据文件，缺少安卓游戏数据包则无法运行。

2、下载大型安卓游戏时，请尽量在同一处下载APK主程序和数据包，这样可避免版本号不同造成的安装失败。因为APK程序安装包都是有各自的版本号的，下载安卓游戏数据包时必须要对应主程序的版本号。

3、下载数据包时请注意查看自己的手机是否适用，现在一般大型安卓游戏数据包都有不同CPU版本之分的，比如高通CPU专用数据包、德州仪器CPU专用数据包、Tegra 2 CPU专用数据包或者通用数据包等。

4、请下载最新版本的APK主程序，注意一部分大型安卓游戏还要求一并下载游戏所需的钛备份文件，未下载的话会出现游戏秒退的错误。

5、大型安卓游戏主程序和数据包目前可通过电脑PC端或手机WIFI两种方式下载，电脑端下载的游戏数据包一般都是压缩包格式，需要先解压数据包文件再放进相应的路径位置。

以上内容便是今天说说安卓游戏数据包放哪里的一些解答，随着安卓系统版本的更新换代，已经有很多APP支持打开安卓本体APP就会自行下载游戏数据包，即便是少数，但对于用户而言，帮助还是不小。