ARP欺骗是怎么回事
在公司或家庭局域网里,设备之间靠IP地址和MAC地址通信。ARP(地址解析协议)的作用就是把IP地址“翻译”成对应的MAC地址。但这个协议本身没有验证机制,攻击者可以伪造ARP响应,告诉你的电脑:‘我是路由器’,然后把流量引到他的设备上。这就是ARP欺骗,也叫ARP投毒。
常见攻击场景
比如你在咖啡厅连Wi-Fi,旁边有人用笔记本运行一个工具,几秒钟就让你的手机或电脑误以为他是网关。你接下来登录银行账户、输入密码,全都经过他的机器,他还能篡改网页内容。更隐蔽的是,这种攻击不中断网络,你根本察觉不到异常。
静态ARP绑定:最直接的防御
手动设置网关的MAC地址,系统就不会动态更新。以Windows为例,先查路由器的真实MAC:
arp -a确认网关IP对应的物理地址正确后,删除动态记录并绑定:
arp -d 网关IP
arp -s 网关IP 真实MAC地址比如:
arp -s 192.168.1.1 00-1a-2b-3c-4d-5e重启后失效,可写成批处理脚本开机运行。
交换机端口安全配置
如果是企业网络,管理员可以在交换机上启用端口安全功能,限制每个端口允许通过的MAC地址数量。比如只允许一台设备接入,一旦检测到多个MAC冒充,自动关闭端口或发出告警。同时开启DAI(动态ARP检测),它会检查ARP包的合法性,拦截伪造请求。
使用ARP防火墙软件
普通用户可以直接安装轻量级ARP防护工具,比如WinArpAttacker或AntiARP。这类软件后台持续监控ARP缓存,发现同一IP对应多个MAC时立即弹窗提醒,并自动恢复正确条目。有些杀毒软件也集成了ARP防护模块,保持开启就行。
划分子网与VLAN隔离
大型局域网中,尽量用VLAN把不同部门隔开。攻击者即使在同一物理网络,也无法跨VLAN广播ARP包。比如财务部单独一个VLAN,即便有人在销售部发起攻击,也影响不到其他区域。
定期检查ARP表
养成习惯,偶尔打开命令行输入 arp -a,看有没有可疑条目。比如网关IP突然换了MAC,或者出现陌生IP却有真实MAC,可能就是中间人攻击的迹象。家用路由器管理界面通常也能看到连接设备列表,对比一下是否多了未知设备。