一早上班就发现上网速度明显慢了,打开自己网站的网页,总是弹出个不良网页,首先想到的是网站被黑?经检查发现服务器上的网页脚本与我主机上收到的脚本不一样,我收到的脚本头部多了一个网址,百思不得其解,后来发现每打开一个其它网站的网页均有此网页弹出,这才想到了网关欺骗,用ARP -a命令一查看,果然有ARP欺骗存在,正是这个实施ARP欺骗的主机在充当中间人角色,修改了别人请求打开网页的数据包,加入了其欲作广告的网站网址。但那么多机器到底是哪台在作怪呢?我从网上下了个Anti ARP Sniffer软件,用其Scan MAC工具扫描了一遍,发现一台主机MAC地址和伪装的假网关MAC相同,根据其对应的IP地址,很快就把实施攻击的主机给揪出来了,用此方法连续找到两台中有此病毒的主机,杀毒软件无法清除干净,为了保障全网运行顺畅,只好令机主重装系统,攻击就此解除,网络恢复正常。希望我的经历能给大家提供一点启发。
附上Anti ARP Sniffer下载地址我所理解的ARP欺骗原理: 实施网关ARP欺骗的主机,所收到的数据包都是访问外网的包,因为被骗主机把它当作网关来对待了。假网关主机通常直接转发几乎所有TCP包到真实网关,由于没有修改数据包源地址,返回的数据包将从真实网关直接回到原来请求访问外网的主机,从而实现正常的网络访问,但是假网关主机针对那些访问外网网站的初始连接包实施拦截——通过包头上的80端口号和SNY标志来识别,修改该包的源地址为假网关主机的IP地址,然后发出去实施连接,使返回的的数据包能回到假网关主机,建立连接后,将收到的第一个数据传送包打开,在传过来的网页脚本头部加上欲附加的网络访问地址或有害代码,然后重组数据包发往受骗主机,从而实现挂接广告牟利和其他不可告人的目的。对于被访问网站的后续数据包则不进行拦截操作,直接转发,以减轻假网关主机的负担。在这种情况下,内网所有主机只要请求打开任何一个网页,均会被假网关插入一个特定的表现行为在其中,后果可想而知。
