网页源文件被注入iframe代码：ARP欺骗木马解决方案

今天早上开始，公司局域网就很不正常，频繁断网。

中午休息时打开我的博客，卡巴立即提示含有木马。很纳闷，难道网站被种木马了？查看网页源代码，发现在顶部有
 

<iframe src=http://****.com/ width=0 height=0 frameborder=0></iframe>

这样一行代码，原来是被加入了〈iframe〉嵌套框架网页，进而执行此网站上的木马程序。

第一反应就是登陆上FTP，将文件下载下来查看了一遍，没有发现异常。网站文件没问题，应该就是数据在发送的过程中被篡改了。进百度打算搜索，却发现百度的首页也被加入了，汗！再开Google，晕死，也有！新浪，有！天涯，有！不会这么疯狂吧！！！查找了一些资料，才知道是ARP欺骗。
找到一些解决的方法，稍微整理了一下。


一、什么是“ARP欺骗”？

ARP的意思是Address Resolution Protocol（地址解析协议），它是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

这次是公司局域网中某台电脑中了木马，造成局域网内的ARP欺骗，使得浏览网页时会自动在页面顶部加入 iframe 代码。


二、故障现象及原因分析

情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如10.15.3.0这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病毒主机上网。

由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。

情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。


三、故障诊断

如果发现以上疑似情况，可以通过如下操作进行诊断：点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。注："arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。


四、故障处理

1、中毒者：使用趋势科技ARP病毒专杀工具查杀病毒（已提供下载）

下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文档便知是否中毒。

2、被害者：使用AntiArp软件抵御ARP攻击（已提供下载）

运行AntiArp。输入本网段的网关ip地址后，点击"获取网关MAC地址"，检查网关IP地址和MAC地址无误后，点击"自动保护"。若不知道网关IP地址，可通过以下操作获取：点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车，"Default Gateway"后的IP地址就是网关地址。AntiArp软件会在提示框内出现病毒主机的MAC地址。

这次算是领教了ARP，呵呵。