Wireshark 4.2 实战:5分钟定位局域网 ARP 欺骗攻击(附过滤规则)
当网络突然变慢,网页加载卡顿,或是内网服务频繁掉线时,很多运维工程师的第一反应是检查带宽或设备负载。但你可能没想到,这些症状背后很可能隐藏着一种古老却依然活跃的攻击手段——ARP欺骗。今天我们将用Wireshark 4.2最新版本,带你在5分钟内完成从异常发现到攻击确认的全过程诊断。
1. ARP欺骗攻击的核心原理
ARP协议作为局域网通信的"翻译官",负责将IP地址转换为MAC地址。这种设计原本是为了提高效率,却埋下了安全隐患:
正常ARP交互: 主机A广播:谁是192.168.1.1?请告诉00:11:22:33:44:55 网关回复:192.168.1.1在aa:bb:cc:dd:ee:ff ARP欺骗攻击: 攻击者持续发送伪造响应:192.168.1.1在66:77:88:99:00:11 (这个MAC实际是攻击者网卡地址)攻击效果矩阵:
| 攻击类型 | 目标影响 | 典型症状 |
|---|---|---|
| 网关欺骗 | 全网断网 | 所有外网访问异常 |
| 主机欺骗 | 中间人攻击 | 特定服务登录劫持 |
| 双向欺骗 | 流量监听 | 敏感信息泄露 |
关键提示:现代ARP欺骗工具(如Ettercap)默认采用静默模式,不会造成明显的网络中断,这使得攻击更具隐蔽性
2. 快速捕获攻击证据
启动Wireshark 4.2后,按以下步骤操作:
选择监听接口:
ifconfig | grep "flags" # Linux查看活跃网卡 ipconfig /all # Windows查看网卡描述设置捕获过滤器(避免抓包过量):
arp or icmp # 只捕获ARP和ICMP基础检测包关键显示过滤器(发现异常后使用):
arp.duplicate-address-frame or (arp.opcode == 2 and !(eth.src matches 网关真实MAC前6位))
实时分析技巧:
- 在Statistics > Protocol Hierarchy中查看ARP包占比
- 异常情况下ARP响应包会显著多于请求包(正常比例应≈1:1)
3. 攻击特征深度解析
通过Wireshark的专家系统(右下角状态栏),我们可以识别这些关键特征:
正常ARP与欺骗ARP对比表:
| 特征项 | 正常ARP | 欺骗ARP |
|---|---|---|
| 响应间隔 | 毫秒级 | 持续高频 |
| 源MAC | 固定网关MAC | 非常见厂商MAC |
| 目标IP | 特定请求IP | 常为广播地址 |
| Opcode | 按需响应 | 主动推送 |
| 包大小 | 60字节 | 可能携带额外填充 |
典型攻击流分析:
No. Time Source Destination Protocol Info 12345 0.001000 66:77:88:99:00:11 ff:ff:ff:ff:ff:ff ARP 192.168.1.1 is at 66:77:88:99:00:11 12346 0.001200 66:77:88:99:00:11 ff:ff:ff:ff:ff:ff ARP 192.168.1.1 is at 66:77:88:99:00:11 12347 0.001400 66:77:88:99:00:11 ff:ff:ff:ff:ff:ff ARP 192.168.1.1 is at 66:77:88:99:00:11(持续高频的相同ARP响应是典型攻击特征)
4. 应急响应与防御策略
确认攻击后的处理流程:
立即隔离:
arp -d 192.168.1.1 # 清除错误ARP缓存 arp -s 192.168.1.1 aa:bb:cc:dd:ee:ff # 静态绑定正确MAC溯源攻击源:
- 在交换机执行:
show mac address-table | include 6677.8899.0011 - 或在Wireshark中过滤:
eth.src == 66:77:88:99:00:11 && !(arp.src.proto_ipv4 == 攻击者真实IP)
- 在交换机执行:
长期防御方案:
- 网络设备启用DAI(动态ARP检测)
- 部署802.1X端口认证
- 关键服务器使用ARP防火墙
企业级防护配置示例(Cisco交换机):
interface GigabitEthernet1/0/1 ip arp inspection trust ! ip arp inspection vlan 100 ip arp inspection validate src-mac dst-mac ip5. 高阶分析技巧
对于隐蔽性更强的攻击,需要结合这些特征判断:
TTL值异常:
frame.time_delta < 0.0005 && arp.opcode == 2(正常ARP响应应有合理处理延迟)
MAC/IP不符:
arp.src.hw_mac != arp.src.proto_ipv4.oui(OUI查询显示MAC厂商与IP登记信息不符)
流量模式分析:
(arp.dst.proto_ipv4 == 192.168.1.255) && (arp.src.hw_mac[0:3] == 00:0c:29)(VMware虚拟网卡MAC发起广播请求需警惕)
实际案例中,某金融企业内网渗透测试时,攻击者使用树莓派伪造了30台设备的ARP响应,导致核心交换机MAC表溢出。通过Wireshark的arp.duplicate-address-frame过滤,我们仅在17秒内就定位到了攻击源。