中了ARP-Cheat的典型症状

问题机器中木马，开始arp欺骗，其他机器收到arp广播，认为问题机器是网关，于是走这条路，问题机器将http请求开头加上那个iframe……
　　一上班，就有报告说email没办法用的，过去一看，是台通过Wi-Fi上网的笔记本，现象是打开web登录界面速度奇慢无比，因为手头还有别的事情，所以直接打开OE添加了个帐号，说先这样用吧，我那边去找找原因。

　　接下来就开始有三三两两的说网络不正常的，包括web浏览、股票行情、视频直播，都出现问题，这下麻烦大了。在自己机器上开ping，外部网站、DNS，都不正常，从30ms到丢包，不规律重复出现。

　　查看已经打开的页面源文件，第一行有一个iframe，访问一个直接数字ip开头的vip.htm页面，但是那个页面打不开，这个应该就是所有网站打开缓慢的原因之一。

　　打电话给isp，让他们反向ping回来，过了几分钟，反馈说一切ok，维持在1-2ms之间，isp嫌疑排除，继续。

　　询问isp是否做广告推送(因为3)，确认没有。

　　带笔记本到机房，直接接到ForitGate上，一切ok，故障定位在下层交换机。

　　怀疑arp欺骗(已经碰到过n次了)，笔记本看一下网关，到别的地方看一下，果然不同，确定故障。

　　到FortiGate的dhcp log里面查找那个问题mac，居然没有，想不通。

　　先群发bqq消息，通知有问题的人下载antiARP安装，继续查。

　　找一台有问题的机器，做全c段ip scan，然后arp –a，看到那个问题机器的mac对应的ip。

　　\问题ipd$，出现登录窗口，看到问题机器名，找到。

　　将问题机器断网，杀毒，杀木马(有空的话再写个文章说，也比较有代表性)，搞定。

　　整个流程是这样：问题机器中木马，开始arp欺骗，其他机器收到arp广播，认为问题机器是网关，于是走这条路，问题机器将http请求开头加上那个iframe，目的是为了流量或者广告或者再传播。

　　总结一下：

　　现在基础网络，稳定性还是可以的，出现大面积问题，首先怀疑arp欺骗。

　　有条件的，做双向ip-mac绑定，可以解决大部分此类问题。

　　无条件的，建立机器-mac对应表，出现问题之后可以非常迅速的找到问题机器。

　　尽量在每台机器上装杀毒软件(推荐kav和nod32)和杀木马软件(推荐avg和360safe)，可以减少不少麻烦。