大漠孤鹰

一大早,客户就打电话过来.缠个不停.说机房网关有问题.郁闷,怎么可能有问题?? 我倒,好像我收他维护费一样,火大的不行. 在网上查询相关资料,证实是ARP攻击. 最近ARP欺骗特别流行，很多人甚至不知道ARP，并以为自己网站被人入侵挂了木马。 ARP欺骗的最简单解释：正常的状态：你的服务器 --> 网关 --> 经过很多线路后 --> 到达网站访问者电脑 受攻击的状态：恶意者去攻击网关，把自己的服务器伪装成网关，让你的服务器把他的服务器认为是网关并连接。然后，任意在你传输的数据(网页)中嵌入任意的代码再输送到网站访问者的电脑。 唯一你能查到不同的就是所连接的mac地址是伪装网关的网卡MAC地址，所以很容易判断。可以用这个mac地址去找网络管理员进行查询，但是因为多种原因，有可能机房网管并没办法给你处理。 开始-->运行： arp -a 可查询到网关IP及对应MAC地址，正常会输出类似以下内容： Interface: 222.77.88.88 --- 0x10003 Internet Address Physical Address Type 222.77.88.1 00-00-0c-07-ac-46 static <---- 这条记录即是网关的，正常这条数据是固定的。 222.77.88.2 00-09-b6-16-24-ca dynamic 222.77.88.3 00-09-b6-17-0a-8a dynamic 222.77.88.50 00-0f-e2-13-5f-3b dynamic 临时解决方法： 1，建一个文件名为 arp.bat 的文件 2，文件内容为以下代码： @echo off arp -s 222.77.88.1 00-00-0c-07-ac-46 说明：arp -s 网关IP 网关MAC地址网关的IP看你网卡属性就能看到了。而且网关的MAC地址，在你服务器未受攻击的状态下用arp -a 输出的就是了。 3，设置计划任务，定时执行这个 arp.bat ，时间可以自己把握，例如5分钟自动执行一次。 这只是个临时的解决方法，你并不是时时刻刻在服务器前面，就算你被人ARP攻击，5分钟后也会自动恢复正常。 常用软件防攻击为:http://www.antiarp.com