ARP居然可以掛代碼

昨天網(wǎng)站突然癱瘓， 所有頁面都變成了亂碼

再看看服務(wù)器上的其他網(wǎng)站， 整個服務(wù)器的所有站點， 包括這個blog， 都在最前面加了一段 iframe 代碼， 加在了 <html> 標簽的前面， src 是 xxx.wofala.com/******** ， 里面多層嵌套， 木馬若干：（

頓時大汗， 莫非服務(wù)器被攻陷了？ 不應(yīng)該呀。

上服務(wù)器看看， 這個慢呀， 和蝸牛一樣。

沒有發(fā)現(xiàn)除我意外的登錄記錄， 最近幾天也沒有文件修改記錄， 用工具掃描也未發(fā)現(xiàn)木馬

按時間查一下系統(tǒng)目錄的文件修改情況， 也沒有異常， 這個奇怪呀！

上網(wǎng)查資料吧， google一下， 說這種情況一般是被人加了 isapi ， 可我服務(wù)器上沒有

想想能對整站加代碼的除了 isapi 還有什么呢？我想到了http壓縮， 難道壓縮的地方被人篡改了？

我把 http壓縮停掉， 果然網(wǎng)站不是亂碼了， 正常顯示了， 但是前面多了iframe代碼

顯而易見， 這是在壓縮之后前面又被加了代碼， 造成瀏覽器解壓縮時失敗， 所以顯示了亂碼

這么看iis服務(wù)器應(yīng)該是沒什么問題的。

找不到原因， 頓時有殺到機房重裝系統(tǒng)的沖動！

突然想到之前搜索時看到的一個帖子， 有人和我一樣被全站掛了代碼， 網(wǎng)上求助

一個兄弟回帖， 說有可能是 arp 攻擊， 好幾個兄弟回帖笑話這個說是 arp攻擊的， 說arp怎么能修改代碼呢， 我當時也是一笑， 覺得不太可能。 后來有人回帖說是 isapi的問題， 果然那個兄弟是被人入侵了， 刪掉了多余的isapi就沒問題了。 所以大家都沒有多考慮arp的問題。

莫非arp真的能掛代碼？ 我又一搜， 果然， arp不光能對mac地址進行欺詐， 同樣也可以過濾數(shù)據(jù)包， 篡改數(shù)據(jù)包！

趕緊裝了個 arp 的防御工具， 一切正常了！

接下來綁定漏油mac地址， 打電話找機房舉報等等不提。 。 。

事情過后， 大為感嘆， 網(wǎng)絡(luò)險惡呀！

也奉勸各位朋友遇到問題一定戒驕戒躁， 細心尋找問題， 避免走彎路。