惊心动魄修复ARP攻击

美好的夜晚，就在某人发来“晚安～”之后被ARP攻击毁掉了... 20:07:32，blue问我是不是对服务器进行操作了，页面显示不正常。 检查发现这样的状况：

‹������´VOo#5?©ßÁ5Rè2N²Ý²M2Alº‚ETlpª<cÏŒµ{°=¤ˆÏÃXqZq¡'+Hœ¸pCâÎ…Ï3ùÛ¦¥ZÁ2cûýý½÷ÎhÿäãÉô‹ÓÇ(s¹D§Ÿ>zúd‚p‡ÏîO9™ž Ïߟøõ‚.š\Zª¬pB+*    yüF8s®RUUPÝ´IÉô2ó¶z^yñÙqš
s÷Z£Úã,—ʆ;ìôŽõF˜SæßN8ÉÇ'ÂÆåÅ>z—åB    æ6oY4ÑÊ yPÅåˆ4 •sG‘÷Ñá_–â<Ä^+יΎQܬBìøÌïsˆâŒ\ZË]˜FÏë�¤PÏQfx œ¦ÜêÝÇ‘:*ˆ­ÅÈpbëæ’ÛŒs‡‘õ�ñÆÈ2Q8$©JK0âè9}Voz¯"9°&AA Ä$†æÜ’«Ôeh?DÝ{諽Ö›2RÇÔ2—ùæÎp¯õõ^+)UìW)†Çî 4²1S    Åtµ’/$y-Ð(H°=2Ëõ__#\ZIŽ*Á\â£n£HÆMˆá3æR”1¡Ò?lÖ¶ q½öç’Zhˆ\ZÒÚP¾3[>nðxäØÒÏÃ.,‰c›{½îÆæõÓþ•µâÌÂs]NèQ.ÒÌ »Å¬ö<n«ÈÃZÚ²UˆBñˆ@Zj©k©ÍàÍž££a ×±â‚z‡Å¬YVyÀJ²!ÿüí«?üñë%@fÆ7zù— ®on¬S¼šÎ;}üŸîòŸh“#ÑL³ÚÂÔ(hôE­1¢uÆx1nA‘ï4£ιmÒB¥[ŒZ&ãji †Ñ9•%|«~ÿ={~«xcv¥
æo“†Á8ƒà+jÖN|kìÄ“J‘BÆW¹|ùÍå߃,“gë>¥žô!ÿ´Îw
léÒµi^=jµY˜ò„ó.kƒ70f0Æ|æµ€}¨IÄðYDöêǍßXŽ;ù‚çû?×áoT@ù+í1i`ªëv¶Þõâþ¼;Œ»Guc«_;&!Öı¯-£\¸õD¥sZ­ úÓïè»—ž·GÄC>¾³7X×ß    Û©    œÚƒ{ÏÞ)•×€ãžØÆ?Ü›žº
Ö×�>

P.S. 我之所以没有隐藏掉iframe里的src，完全是SEO需要，下一个中招的弟兄可以搜到这篇文章。我知道你年少轻狂，也别动去访问那一页的念头！

总之就是所有页面前面都被加了一个iframe，明显的ARP攻击症状。 搜索从来不删除邮件的Gmail，我发现上次ARP攻击之后，我们的真正网关的MAC被换过了...所以这也是我不想轻易执行arp -s绑定的原因：机房会换网关的，而一旦换了我们不知道，就回导致断网。 于是我只好不断执行arp命令查看当前的MAC，发现是错误的MAC，就执行以下命令清除ARP缓存：

arp -s 网关IP地址 网关真正的MAC地址

然而我悲壮地发现ARP缓存更新非常快，不到两分钟呢。我总不能一夜都手工干这个啊。于是我还是动了-s的念头。最终-s暂时躲过了这一劫，下面到了21点30分，例行宕机时间了...