ARP欺骗注入iframe木马

今天早上刚打开才宝  的博客，卡巴斯基就弹出警告提示。糟糕，网站被种木马了？！查看网页源代码，发现页面顶部加上了<iframe. src=http://****.com/ width=0 height=0 frameborder=0></iframe>这样一行代码，iframe木马！第一反应就是登录上FTP，查看一遍文件没有更新日 期的啊，将文件下载下来查，服务器里源代码中没有发现异常。用浏览器打开查看源代码还是有iframe木马。见鬼了。进百度查找了一些资料，才知道是 ARP欺骗。

一、什么是“ARP欺骗”？

ARP的意思是Address Resolution Protocol（地址解析协议），它是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就 是上不了网了，“网络掉线了”。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

二、故障现象及原因分析

情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如10.15.3.0这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病毒主机上网。

由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。

情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

三、如何检查本机是否中了ARP欺骗木马病毒

如果发现以上疑似情况，可以通过如下操作进行诊断：

“CTRL”+“ALT”+“DELETE”键打开“Windows任务管理器”窗口，查看有没有“MIR0.dat”的进程，如果有，表示中毒了，需要立即“结束该进程”。

点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。注："arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

四、如何检查局域网内感染ARP欺骗木马病毒的计算机

“开始”菜单“运行”“cmd”打开MSDOS窗口，输入“ipconfig”获得“Default Gateway”默认网关。

继续执行命令“arp -a”，查看默认网关IP对应的“Physical Address”值，在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址，然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同，那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。

五、故障处理

1、中毒者：使用“趋势科技ARP病毒专杀工具”查杀病毒（已提供下载）

下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文档便知是否中毒。

2、被害者：使用AntiArp软件抵御ARP攻击（已提供下载）

运行AntiArp。输入本网段的网关ip地址后，点击"获取网关MAC地址"，检查网关IP地址和MAC地址无误后，点击"自动保护"。若不知道 网关IP地址，可通过以下操作获取：点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按 回车，"Default Gateway"后的IP地址就是网关地址。AntiArp软件会在提示框内出现病毒主机的MAC地址。

六、如何防范计算机遭受ARP欺骗

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。
3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），
注意，使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。
8、管理员定期轮询，检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。

推荐工具：欣向ARP工具