一、ARP攻击原理与症状
原理:攻击者伪造虚假的ARP响应包,篡改其他主机的ARP缓存表,将流量劫持到自身(中间人攻击)或导致网络瘫痪。
常见症状:
-
网络频繁断线或网速异常下降。
-
ARP缓存表中出现多个IP映射到同一MAC地址。
-
安全软件告警(如提示“ARP欺骗”)
二、定位ARP攻击主机的步骤
1. 检查本地ARP表
【若发现多个IP指向同一MAC(尤其是网关IP被篡改),可能存在攻击】
Windows:
arp -a # 查看当前ARP缓存表
-------
Linux:
arp -n # 显示ARP表(不解析主机名)
2. 利用抓包工具分析流量
推荐使用工具:Wireshark
操作流程:
1、在受影响主机或网关设备上启动抓包
2、过滤ARP流量: arp # Wireshark过滤语法
3、查找异常的ARP响应包:
-大量重复的ARP请求/响应
-非网关IP宣称自己是网关(如攻击者伪造网关MAC)。
3. 利用ARP检测工具
【1】ARPwatch(Linux):
sudo apt install arpwatch
sudo arpwatch -i eth0 # 监控网卡eth0的ARP变动,记录到日志(/var/log/arpwatch.log)
【2】日志中会记录异常的MAC/IP绑定变化
【3】XArp:实时监控ARP表,通过颜色标记异常主机(红色为高风险)
【4】Cain & Abel(Windows):工具中的“ARP Poisoning”模块可检测局域网内的ARP欺骗行为
4. 利用交换机定位(管理员权限)
【1】查看交换机MAC表:
show mac-address-table # Cisco命令
display mac-address # 华为命令
【2】定位异常MAC对应的交换机端口,确定攻击主机物理位置,并启用端口安全
interface GigabitEthernet0/1
switchport port-security # 启用端口安全
switchport port-security maximum 1 # 限制每个端口仅允许1个MAC
switchport port-security violation shutdown # 违规时关闭端口
5. 隔离排查法(笨方法)
【1】逐台断网测试:
断开可疑主机(如频繁发送ARP包的设备)的网络连接。
观察网络是否恢复正常。
若恢复,则被断开的设备为攻击源。
三、防御措施
【1】静态ARP绑定
# Windows绑定网关ARP
arp -s 网关IP 网关MAC
# Linux绑定
sudo arp -i eth0 -s 网关IP 网关MAC
【2】启用交换机安全功能
-DHCP Snooping:防止伪造DHCP服务器
-Dynamic ARP Inspection (DAI):校验ARP包的合法性。
【3】部署网络准入控制
通过802.1x认证(或其他方式做强绑定认证),仅允许授权设备接入网络
四、常用工具清单
| 工具名称 |
平台 | 用途 |
| Wireshark |
跨平台 |
深度分析ARP流量,捕获伪造包【抓包】 |
| XArp | Windows |
图形化实时监控ARP表异常 |
| ARPwatch | Linux | 日志记录ARP绑定变化,检测异常 |
|
Colasoft Capsa | Windows | 网络分析工具,支持ARP攻击告警 |
| Netdiscover | Linux | 主动扫描局域网设备,识别可疑主机 |
总结
1、先通过抓包软件或监控软件,缩小排查范围
2、找到后,根治攻击解决终端问题,并复盘降低下次其他终端发生
3、最好用强绑定的认证方式+网络设备的安全策略来避免
等等...
你还知道哪些方法和排错思路,可以在评论区留言互动,祝大家技能UP!加薪!顺利!
也麻烦大家给来个免费的点赞、关注、转发,感谢~~~
扫一扫
664