什么是ARP?

ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

ARP病毒的危害性?

当局域网内某台主机感染了ARP病毒后，病毒伪装网关IP-MAC信息，欺骗局域网内其他主机，从而拦截发往网关的数据，导致网络时断时续。

ARP病毒的危害性极大，严重的将导致局域网内的用户隐私保密信息外泄，例如：用户名、密码、聊天记录、邮件内容等私密信息。

原理：

目的：通过arp欺骗来直接挂马

对服务器其下网站插入类似代码：＜iframe src=http://www.***.com/*.htm width=0 height=0＞＜/iframe＞

优点:可以直接通过arp欺骗来挂马.

通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码

但这样存在局限性:

1.管理员经常不登陆,那么要很久才能监听到密码

2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.

优点:
     1.可以不用获得目标主机的权限就可以直接在上面挂马

2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.

3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.

原理：arp中间人攻击，实际上相当于做了一次代理。

正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机

arp中间人攻击时候: A---->C---->B

B---->C---->A

实际上,C在这里做了一次代理的作用

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 ＜iframe＞...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了.在所有网页中查找类似 ＜iframe src='http://...' width=0 height=0＞＜/iframe＞ 的代码，全部删掉。 如果你是动态网页，比如动网论坛，有些代码在数据库里，需要进库里改。

治本：

如果你的服务器是虚空间，要治本只能找虚空间的管理员。如果是自己管理的服务器，可以参照下面的办法—— (以下说的是Windows服务器的)：

1、赶紧改系统管理员administrator的密码，另建一个管理员账号。密码都尽量设得复杂一点。

2、删除除了上述两个管理员账号及Web服务器用的IUSR_?和IWAM_?外的其它账号

3、服务器上安装杀毒软件，升级到最新版本，全面杀毒杀马。注意停止服务器上所有无关的服务和驱动。其中有一些没有公司签名的，可能就是病毒的。关于怎么彻底清理病毒和木马，这里就不       详细说明了。

4、用Windows Update补齐所有系统补丁。

5、如果是XP或2003系统，启用自带的防火墙，将除了80端口和你远程登陆端口外的所有端口，禁止ICMP访问。

6、如果你的网站有动态网页，数据库用的是MS SQL, 需要特别注意防止SQL Injection，要点如下(更详细的请自行查数据)：

  a 将MS SQL Server的xp_cmdshell扩展存储删掉

  b 减小你动态网页中连接数据库的那个账号在数据库系统中的访问权限

  c 仔细检查你的每个动态网页，确保每个输入(包括URL中的参数)都进行了检查，过滤      掉了「'-;」等非法字符

  如果是access数据库，要防止access库文件被人下载更换再传上来。

7、修改你数据库中各主要账号的密码。比如sa 动态网页的连接账号等

8、注意IIS的安全配置

   a 删掉IIS安装时那个缺省网站，删掉pinters等虚拟目录

   b 停止IIS带你ftp和smtp

   c 配置较详细的日志记录

   d 禁用脚本调试和向客户端发送详细调试信息

9、注意你用于文件上传的ftp服务器的安全(查看你所用ftp服务器的有关安全资料)

10、随时注意检查系统的登录信息(事件查看器)和IIS日志，如果多少收到这样的情况，建议服务端启用windows防火墙除外，还安装好一个ARP防火墙比较好，这是因为机房中也是一个大的局域网，小一点来看，机柜之间也是局域网，以被勉同机柜的主机，影响到你自已，