血与泪的经验：服务器ARP的欺骗攻击与防范

ARP的发现：

ARP的通病就是掉线，在掉线的基础上可以通过以下几种方式判别，1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限，过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP，使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，他是不断的通过非常大量ARP欺骗来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2.打开被骗机器的DOS界面，输入ARP -A命令会看到相关的ARP表，通过看到的网关的MAC地址可以去判别是否出现ARP欺骗，但是由于时限性，这个工作必须在机器回复正常之前完成。如果出现欺骗问题，ARP表里面会出现错误的网关MAC地址，和真实的网关MAC一对黑白立分。

下面在谈谈几款ARP防火墙的使用感受：

安全狗

我首先想到的是安全狗，在服务器这块很出名，ARP攻击后，我第一时间装上了，这也是我悲催的开始。装好软件后，点“体检”，当初我还以为是查到木马了要重启，结果服务器开不了机了，反反复复好几次，我就意识到这不是杀毒呢，而是服务器关机了。

由于是周末，IDC值班人少，反复的关机、开机浪费了整整4个小时。最后才明白应该就是安全狗和服务器什么东西有冲突导致的。

网站地址：http://www.safedog.cn/

D盾

好几个朋友向我推荐了D盾，尤其是他的Web查杀工具，这款工具能够非常详细的检查每一个程序文件是否被挂马。正是因为用了这款工具检查后，我才意识到卢松松博客程序没有问题，

网站地址：http://d99net.net/

360ARP防火墙

上面两个都有ARP防火墙的，装上之后发现没一个管用的(也许是不会用的关系)，后面装了360ARP之后，iframe挂马立刻消失。为了确定到底能否使用，我反复启动和关闭软件几次，可以确定360ARP确实起作用了。

通过追踪ARP攻击来源，发现是同局域网下另一台服务器总是向我发送ARP欺骗请求，后面通过IP查到域名，通过域名找到了邮件，给她发了封邮件告诉她服务器被黑了。

强烈推荐一下360ARP，帮我解决了大问题：

免费的360ARP防火墙的下载地址是：http://dl.360.cn/360AntiArp.exe

写在最后：

说一千道一万，还是服务器安全做的不到位，ZSX告诉我：你博客真遭人黑，通过日志查到了各种扫描器。

注：相关网站建设技巧阅读请移步到建站教程频道。

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!