办公室里,小张突然发现电脑连不上打印机,网页打开慢得像加载古董网站,同事的微信发不出去——查来查去,IP地址没变、网线插得好好的,Wireshark一抓包,满屏都是重复的ARP请求和应答,源MAC地址却总在跳变。这不是网络拥堵,是有人在搞ARP欺骗。
ARP攻击为啥难防?
ARP协议本身不带身份验证,设备只认“谁说它有这个IP,就信谁”。攻击者发一个假的ARP响应:“192.168.1.1(网关)的MAC是aa:bb:cc:dd:ee:ff”,你的电脑就真把后续所有上网流量都发给了攻击者——中间人劫持、断网、窃听,全在这一步完成。
数据包过滤怎么出手?
不是靠杀毒软件,也不是升级路由器固件,而是直接在系统或交换机层面卡住异常ARP包。核心思路就一条:只放行符合预设映射关系的ARP通信。
比如,在Linux服务器上启用iptables配合arptables,先静态绑定网关:
arp -s 192.168.1.1 00:11:22:33:44:55再用arptables丢掉来源MAC不匹配的ARP响应:
arptables -A IN --source-mac ! 00:11:22:33:44:55 -j DROPWindows用户也能用防火墙高级策略:新建入站规则,协议类型选“ARP”,条件设为“源IP=网关IP且源MAC=真实网关MAC”,否则阻止。
交换机上的硬核过滤
企业环境更推荐在接入层交换机上配DAI(动态ARP检测)。思科交换机只需三步:
ip arp inspection vlan 10
interface GigabitEthernet0/1
ip arp inspection trust
interface GigabitEthernet0/2
ip arp inspection limit rate 15信任上联口(接路由器),限制普通端口每秒最多15个ARP请求——超出即视为扫描或泛洪,自动关闭端口。
家用路由器也没被落下。华硕、TP-Link高端型号的“ARP防护”开关背后,其实就是内置了静态绑定表+异常包丢弃逻辑。打开后,它会拒绝任何未登记MAC对已分配IP发起的ARP宣告。
别只盯着ARP包本身
真正管用的过滤,还得结合DHCP Snooping。先让交换机记住“哪个端口学到哪个IP-MAC组合”,再拿这张表去校验每个ARP包。没有这张表,光拦MAC容易被绕过;有了它,连伪造源IP的ARP Reply都进不来。
上周隔壁公司财务部中招,攻击者用手机开热点伪造网关,结果新部署的DAI+DHCP Snooping组合直接把那个MAC地址拉黑,整条VLAN都没受影响——防御不是堆功能,是让数据包在进门之前就被认出不对劲。