ARP欺骗是怎么回事
在公司或家里用Wi-Fi上网时,偶尔会遇到网络突然变慢,甚至网页打不开、聊天软件掉线。有时候不是宽带的问题,而是有人在局域网里搞小动作——ARP欺骗攻击。
ARP(地址解析协议)负责把IP地址翻译成MAC地址,设备之间靠这个“翻译”通信。但ARP本身没有验证机制,攻击者可以伪造回应,让别人的流量先经过他的电脑。比如你在咖啡厅连公共Wi-Fi,黑客的设备可能假装是路由器,你的所有浏览记录他都能看到。
常见攻击表现
如果你发现这些情况,就得留心了:同一局域网内的设备频繁断网;某台电脑网速特别慢,其他设备正常;杀毒软件突然弹出网络异常警告;或者用网络扫描工具发现多个设备使用同一个MAC地址。
静态ARP绑定:给设备配对上锁
最直接的办法是手动绑定网关和关键设备的IP与MAC地址。比如在Windows系统中,以管理员身份运行命令提示符:
arp -s 192.168.1.1 00-1a-2b-3c-4d-5e这条命令把路由器(192.168.1.1)的MAC地址固定下来,即使收到假的ARP回应也不认。每台电脑都要设置,适合小型办公室或家庭网络。
路由器也支持静态绑定。登录后台,在“ARP绑定”或“IP与MAC绑定”页面添加规则,效果更彻底。
启用交换机端口安全
企业网络通常用管理型交换机,可以开启端口安全功能。设定每个物理端口只允许一个或几个特定MAC地址接入,一旦检测到新设备冒充,自动关闭端口或发送警报。这招能有效阻止攻击者插进来的笔记本或树莓派搞ARP投毒。
使用ARP防护软件
普通用户不想折腾命令行,可以装像Agnitum Outpost、Alientech ARP Guardian这类工具。它们后台监控ARP数据包,发现异常立即拦截并提醒。有些杀毒软件如卡巴斯基、360安全卫士也集成了ARP防火墙模块,勾选启用就行。
划分VLAN隔离广播域
大型局域网建议用VLAN把不同部门或区域隔开。比如财务部和前台接待分在两个VLAN,广播包传不过去,ARP欺骗的影响范围就被限制住了。配置需要在交换机上进行,属于进阶防护手段。
启用DAI(动态ARP检测)
高端交换机支持DAI功能,它会检查ARP包的合法性,只允许来自合法DHCP服务器的映射通过。配置前需确保启用了DHCP Snooping,建立可信地址表。典型配置命令如下:
ip dhcp snooping<br>ip arp inspection vlan 10<br>interface GigabitEthernet0/1<br> ip arp inspection trust这样既能防攻击,又不影响正常上网。
保持网络环境可控
别让陌生人随意接入内网。办公室网口加物理锁,Wi-Fi用WPA2/WPA3加密并设置强密码。访客网络单独开一个SSID,和内部系统完全隔离。很多时候,防范攻击的第一步就是管住入口。