了解客户端上网流程 发现网站是否挂马

　攻击点：

　　1.在客户端（网民）主机或网络中发送攻击代码，比如ARP攻击，插入恶意代码，诱使用户访问攻击者指定的站点，这时会影响该客户端或其所在的网络；

　　2.ISP服务商的网络，比如部分无良服务商强制插入广告。或者ISP服务商被攻击，用户访问了攻击者设定的内容。

　　解决办法：

　　用户到服务器之间的链路挂马，只能由用户端或ISP们解决。这种类型的挂马，表现为某用户或某地用户访问特定网站时发现挂马，而其它地区的客户未发现挂马。

　　源服务器和镜像服务器之间的链路：

　　1.服务器内容提供者管理源服务器的内容；

　　2.源服务器和镜像服务器按某种机制同步内容；

　　3.在用户访问镜像服务器上没有的内容时，镜像服务器从源服务器同步。

　　攻击点：

　　1.源服务器被入侵，攻击者直接修改了源内容。这样，通过镜像同步后，所有客户端访问该站点都会发现挂马。通常这种现象被称“服务器被黑了”

　　2.镜像服务器或服务器所在机房的网络中某台主机被入侵，攻击者通过会话劫持把被修改的内容提供给用户。这个情况较常见，比如机房中总能找到容易被入侵的主机，攻击者在这台主机上安装攻击程序，然后利用ARP攻击手段影响整个机房局域网。

　　3.在源和镜像同步的链路中间下手，劫持篡改了从源到镜像的数据，镜像得到的是被篡改后的源内容。

　　解决方案：

　　1.加固源服务器，恢复被篡改的内容；

　　2.查找机房的攻击源，隔离攻击源，机房各主机之间绑定MAC和IP地址，防止ARP攻击得手；

　　3.源服务器和镜像服务器之间采用加密通信，比如VPN，这样会消耗较多带宽，降低性能。

　　最安全的作法：

　　也最极端，从客户端到源服务器之间的通信全部加密，这样安全性会得到保证，但影响了用户体验。典型例子是网络银行客户端，全程加密所有数据。对普通网民来讲，本地安装的反病毒软件是保护电脑安全的最后一道防线，请及时升级，呼吁使用正版。

通常用户访问某个Web站点的过程