最近我的網(wǎng)站突然出現(xiàn)訪問的遲鈍，并且打開之后殺毒軟件立即提示含有木馬病毒。

我就很納悶，運行了4年的網(wǎng)站一直都好好的最近怎么出現(xiàn)病毒提示呢。職業(yè)習(xí)慣原因打開了網(wǎng)站的源代碼查看，原來在網(wǎng)頁源代碼的頭部被加入了<iframe>嵌套框架網(wǎng)頁，該網(wǎng)頁執(zhí)行木馬程序……

按照常理我心中一寒：估計是服務(wù)器被人攻陷了，所有文件代碼被加了此行代碼，于是FTP上去，下載文件下來查看卻沒有該代碼。

于是詢問服務(wù)器管理員含笑，他一聽就說：“是中ARP欺騙的病毒攻擊了”。

那么什么是“ARP欺騙”呢？

首先，ARP的意思是Address Resolution Protocol（地址解析協(xié)議），它是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負責(zé)將某個IP地址解析成對應(yīng)的MAC地址。

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。

第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

ARP欺騙木馬只需成功感染一臺電腦，就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓。

而本次我的網(wǎng)站服務(wù)器所在的托管機房同一局域網(wǎng)中的某臺服務(wù)器即被感染了ARP欺騙木馬，所以就影響了整個機房的其他服務(wù)器，于是服務(wù)器中成千上萬的虛擬主機網(wǎng)站就全部遭殃了，木馬種植者站點訪問量也是猛增，這還是小事，該木馬發(fā)作時除了會導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟損失。

如何檢查本機是否中了ARP欺騙木馬病毒

“CTRL”+“ALT”+“DELETE”鍵打開“Windows任務(wù)管理器”窗口，查看有沒有“MIR0.dat”的進程，如果有，表示中毒了，需要立即“結(jié)束該進程”。

如何檢查局域網(wǎng)內(nèi)感染ARP欺騙木馬病毒的計算機

“開始”菜單“運行”“cmd”打開MSDOS窗口，輸入“ipconfig”獲得“Default Gateway”默認網(wǎng)關(guān)。

繼續(xù)執(zhí)行命令“arp -a”，查看默認網(wǎng)關(guān)IP對應(yīng)的“Physical Address”值，在網(wǎng)絡(luò)正常時這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。也可以掃描本子網(wǎng)內(nèi)的全部IP地址，然后再查ARP表。如果有一個 IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個IP地址和物理地址就是中毒計算機的IP地址和網(wǎng)卡物理地址。

如何防范計算機遭受ARP欺騙

1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在ip基礎(chǔ)上或mac基礎(chǔ)上，（rarp同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在ip+mac基礎(chǔ)上。
2、設(shè)置靜態(tài)的mac-->ip對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。
3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中。
4、使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播。確保這臺ARP服務(wù)器不被黑。
5、使用"proxy"代理ip的傳輸。
6、使用硬件屏蔽主機。設(shè)置好你的路由，確保ip地址能到達合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。
7、管理員定期用響應(yīng)的ip包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性。
8、管理員定期輪詢，檢查主機上的ARP緩存。
9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。

推薦工具：欣向ARP工具，包括很全面的ARP防范的功能。（其中包括WinPcap_3_0.,請務(wù)必先安裝此軟件）下載地址： http://www.nuqx.com/downcenter.asp

ARP解決方法/工具+真假ARP防范區(qū)別方法+ARP終極解決方案
http://www.txwm.com/BBS384837.vhtml

ARP攻擊防范與解決方案專題
http://www.luxinjie.com/s/arp/

最新評論