ARP攻击是怎么回事
在局域网里,设备之间通信靠的是MAC地址,而ARP(地址解析协议)就是把IP地址转成MAC地址的“翻译官”。正常情况下,一台电脑问“谁是192.168.1.100?”,对应的设备会回“我是,我的MAC是aa:bb:cc:dd:ee:ff”。但要是有人冒充呢?这就是ARP欺骗或ARP攻击。
攻击者伪造ARP响应,告诉别人“我才是网关”,或者告诉网关“我才是某台主机”,这样一来,原本的流量就被引到攻击者的机器上,实现中间人窃听,甚至篡改数据。这种攻击悄无声息,用户根本察觉不到,上网照常,但密码、聊天记录可能已经被偷走了。
网络协议分析器怎么看穿伪装
网络协议分析器,比如Wireshark,能抓取并解析网络中的每一个数据包。它不像普通用户只看网页能不能打开,而是盯着每一帧数据的细节。ARP攻击虽然伪装得像模像样,但在协议分析器眼里,破绽很容易露出来。
异常的ARP响应频繁出现
正常情况下,设备只在需要时发ARP请求,收到一次响应就记下来,缓存几分钟。但如果某个MAC地址不停地发ARP响应,不管有没有人问,都在广播“我是网关”,这就很可疑。比如你在Wireshark里看到同一个MAC每隔几秒就发一次:
192.168.1.1 is at aa:bb:cc:dd:ee:ff而且来源不是你家路由器的真实MAC,那基本可以断定有ARP欺骗。
同一IP对应多个MAC地址
协议分析器能记录每个IP地址最近关联的MAC。如果发现192.168.1.1一会儿是00:11:22:33:44:55,一会儿变成aa:bb:cc:dd:ee:ff,说明有人在抢这个IP的身份。这种情况在Wireshark里用过滤器arp and ip.addr == 192.168.1.1一筛,立马就能看出端倪。
非网关设备发送网关ARP响应
真正的网关IP通常是192.168.1.1,它的MAC应该是固定的。如果你发现一台内网主机,比如IP是192.168.1.105,MAC是aa:bb:cc:dd:ee:ff,却在发“192.168.1.1 is at aa:bb:cc:dd:ee:ff”这种包,那它就是在冒充网关。协议分析器能通过比对已知的合法MAC列表,快速标出这类异常行为。
利用显示过滤快速定位问题
在Wireshark中,可以直接输入过滤规则来缩小范围。比如:
arp.opcode == 2 && arp.src.hw_mac != <合法网关MAC>这条规则的意思是:只显示ARP响应(opcode 2),且来源MAC不是合法网关的条目。一旦有结果出来,基本就是攻击源。
再比如,想看看有没有重复宣告同一IP的ARP包:
arp.duplicate-address-detected虽然这个字段是Wireshark自己标记的,但它能帮你快速发现冲突,提示哪里出了问题。
实战中的小技巧
有个公司员工反映,时不时断网,但重启路由器又好了。IT去查,用Wireshark抓包一看,发现每过30秒就有个陌生MAC在广播“我是192.168.1.1”。查了MAC厂商,发现是某款安卓手机的厂商,最后顺藤摸瓜找到是新来的实习生连了个开热点的手机,开了ARP攻击软件“测速”,结果把整个办公室的网搅乱了。
这事儿靠ping、靠看路由器日志都不一定看得出来,但协议分析器一眼识破。关键就在于它能看到“不该说话的设备在说话”。
主动防御也可以结合使用
光靠分析器事后抓包还不够,有些高级工具能实时监控ARP表变化。比如arpwatch,一检测到IP-MAC映射突变,就发告警邮件。配合协议分析器做深度排查,就能做到早发现、快处理。
说白了,网络协议分析器就像网络世界的“行车记录仪”,不声不响地录下所有通信细节。ARP攻击再隐蔽,只要动了,就会留下痕迹。只要你愿意翻记录,真相就在那里。