Wireshark 4.2 实战5分钟定位局域网 ARP 欺骗攻击附过滤规则当网络突然变慢网页加载卡顿或是内网服务频繁掉线时很多运维工程师的第一反应是检查带宽或设备负载。但你可能没想到这些症状背后很可能隐藏着一种古老却依然活跃的攻击手段——ARP欺骗。今天我们将用Wireshark 4.2最新版本带你在5分钟内完成从异常发现到攻击确认的全过程诊断。1. ARP欺骗攻击的核心原理ARP协议作为局域网通信的翻译官负责将IP地址转换为MAC地址。这种设计原本是为了提高效率却埋下了安全隐患正常ARP交互 主机A广播谁是192.168.1.1请告诉00:11:22:33:44:55 网关回复192.168.1.1在aa:bb:cc:dd:ee:ff ARP欺骗攻击 攻击者持续发送伪造响应192.168.1.1在66:77:88:99:00:11 这个MAC实际是攻击者网卡地址攻击效果矩阵攻击类型目标影响典型症状网关欺骗全网断网所有外网访问异常主机欺骗中间人攻击特定服务登录劫持双向欺骗流量监听敏感信息泄露关键提示现代ARP欺骗工具如Ettercap默认采用静默模式不会造成明显的网络中断这使得攻击更具隐蔽性2. 快速捕获攻击证据启动Wireshark 4.2后按以下步骤操作选择监听接口ifconfig | grep flags # Linux查看活跃网卡 ipconfig /all # Windows查看网卡描述设置捕获过滤器避免抓包过量arp or icmp # 只捕获ARP和ICMP基础检测包关键显示过滤器发现异常后使用arp.duplicate-address-frame or (arp.opcode 2 and !(eth.src matches 网关真实MAC前6位))实时分析技巧在Statistics Protocol Hierarchy中查看ARP包占比异常情况下ARP响应包会显著多于请求包正常比例应≈1:13. 攻击特征深度解析通过Wireshark的专家系统右下角状态栏我们可以识别这些关键特征正常ARP与欺骗ARP对比表特征项正常ARP欺骗ARP响应间隔毫秒级持续高频源MAC固定网关MAC非常见厂商MAC目标IP特定请求IP常为广播地址Opcode按需响应主动推送包大小60字节可能携带额外填充典型攻击流分析No. Time Source Destination Protocol Info 12345 0.001000 66:77:88:99:00:11 ff:ff:ff:ff:ff:ff ARP 192.168.1.1 is at 66:77:88:99:00:11 12346 0.001200 66:77:88:99:00:11 ff:ff:ff:ff:ff:ff ARP 192.168.1.1 is at 66:77:88:99:00:11 12347 0.001400 66:77:88:99:00:11 ff:ff:ff:ff:ff:ff ARP 192.168.1.1 is at 66:77:88:99:00:11持续高频的相同ARP响应是典型攻击特征4. 应急响应与防御策略确认攻击后的处理流程立即隔离arp -d 192.168.1.1 # 清除错误ARP缓存 arp -s 192.168.1.1 aa:bb:cc:dd:ee:ff # 静态绑定正确MAC溯源攻击源在交换机执行show mac address-table | include 6677.8899.0011或在Wireshark中过滤eth.src 66:77:88:99:00:11 !(arp.src.proto_ipv4 攻击者真实IP)长期防御方案网络设备启用DAI动态ARP检测部署802.1X端口认证关键服务器使用ARP防火墙企业级防护配置示例Cisco交换机interface GigabitEthernet1/0/1 ip arp inspection trust ! ip arp inspection vlan 100 ip arp inspection validate src-mac dst-mac ip5. 高阶分析技巧对于隐蔽性更强的攻击需要结合这些特征判断TTL值异常frame.time_delta 0.0005 arp.opcode 2正常ARP响应应有合理处理延迟MAC/IP不符arp.src.hw_mac ! arp.src.proto_ipv4.ouiOUI查询显示MAC厂商与IP登记信息不符流量模式分析(arp.dst.proto_ipv4 192.168.1.255) (arp.src.hw_mac[0:3] 00:0c:29)VMware虚拟网卡MAC发起广播请求需警惕实际案例中某金融企业内网渗透测试时攻击者使用树莓派伪造了30台设备的ARP响应导致核心交换机MAC表溢出。通过Wireshark的arp.duplicate-address-frame过滤我们仅在17秒内就定位到了攻击源。