如何检测ARP攻击？实用方案

ARP攻击是什么？为什么需要检测？
ARP（地址解析协议）是网络设备将IP地址转换为物理MAC地址的基础协议，ARP攻击则是攻击者通过发送伪造的ARP报文，欺骗网络设备建立错误的IP-MAC映射,导致：

• 网络中断： 目标设备无法正常通信（如断网）。
• 数据窃听： 攻击者将流量劫持到自身设备（中间人攻击），窃取账号密码、聊天记录等敏感信息。
• 网络瘫痪： 大规模ARP泛洪攻击可耗尽交换机资源,造成全网瘫痪。

如何检测ARP攻击？专业方法详解

基础检测：命令行工具（适合快速排查）

• Windows 系统 (arp -a):
  1. 打开命令提示符 (Win+R, 输入 cmd 回车)。
  2. 输入 arp -a 并回车。
  3. 分析结果： 查看同一IP地址是否对应多个不同的MAC地址。

     Internet Address      Physical Address
     192.168.1.1           aa-bb-cc-dd-ee-ff
     192.168.1.1           11-22-33-44-55-66  <-- 异常！同一IP有两个MAC！

• Linux/Mac 系统 (arp -n):
  1. 打开终端。
  2. 输入 arp -n (或 arp -a) 并回车。
  3. 分析结果： 同样重点检查同一IP是否绑定多个MAC地址，Linux输出更清晰：

     Address         HWtype  HWaddress         Flags Mask    Iface
     192.168.1.1     ether   aa:bb:cc:dd:ee:ff C            eth0
     192.168.1.1     ether   11:22:33:44:55:66 C            eth0  <-- 异常！

主动探测：ARP Ping 与双向检测

• arping 工具 (Linux常用)：
  1. 安装：sudo apt-get install arping (Debian/Ubuntu) 或 sudo yum install arping (RHEL/CentOS)。
  2. 检测网关真实性：arping -I eth0 -c 2 192.168.1.1 (将 eth0 换成你的网卡名，168.1.1 换成网关IP)。
  3. 分析结果： 如果返回了多个不同的MAC地址响应同一个IP的ARP请求,极可能存在ARP欺骗。
• 双向检测法：
  1. 在主机A上 ping 主机B的IP，同时用 arp -a 查看主机B的MAC地址（记为 MAC_B1）。
  2. 在主机B上 ping 主机A的IP，同时用 arp -a 查看主机A的MAC地址（记为 MAC_A1）。
  3. 对比： 如果主机A上看到的MAC_B1 与主机B实际的MAC地址不一致，或者主机B上看到的MAC_A1与主机A实际的MAC地址不一致,则表明存在ARP欺骗。

高级监控：专业工具（精准定位与分析）

• Wireshark (网络抓包分析 – 黄金标准)：
  1. 下载安装：Wireshark官网
  2. 选择监听的网卡,开始抓包。
  3. 在过滤栏输入：arp。
  4. 分析关键点：
     • 异常ARP响应 (Gratuitous ARP)： 大量非请求的ARP广播包，宣称自己是某个IP（尤其是网关IP）。
     • IP冲突： 多个不同MAC地址宣称拥有同一个IP。
     • MAC地址快速变化： 同一IP的MAC地址在短时间内频繁变更。
     • 请求与响应的MAC不一致： 观察ARP请求的Sender MAC和后续该IP响应的Sender MAC是否不同。
• Arpwatch / ArpGuard：
  • Arpwatch (Linux)： 专门监控ARP变化的工具，安装后自动运行，记录IP-MAC绑定变化并发送邮件报警，检查日志 /var/log/arpwatch.log 或 /var/log/syslog 寻找 flip flop (IP在两个MAC间切换) 或 new station (新MAC宣称拥有已知IP) 记录。
  • ArpGuard / XArp (Windows)： 图形化工具，实时监控网络ARP表变化,检测异常绑定并报警。
• 交换机端口安全 (企业级方案)：
  • 在接入层交换机上配置端口安全功能，限制每个端口允许学习的MAC地址数量（通常设为1）。
  • 配置违规动作：shutdown (关闭端口) 或 restrict (丢弃非法帧并告警)。
  • 示例命令 (Cisco风格)：

    interface GigabitEthernet0/1
     switchport mode access
     switchport port-security
     switchport port-security maximum 1
     switchport port-security violation shutdown
     switchport port-security mac-address sticky  <-- 可选，绑定第一个学习到的MAC

网络设备日志与监控系统

• 核心/汇聚交换机： 检查日志中是否有大量ARP报文告警、MAC地址漂移告警 (mac-address flapping detected)。
• 防火墙/UTM设备： 启用ARP欺骗防御功能,并查看相关拦截日志。
• 网络监控系统 (如Zabbix, Nagios, PRTG)： 配置自定义脚本或利用SNMP监控关键设备的ARP表变化速率、异常ARP包数量等指标,设置阈值告警。

检测到ARP攻击后怎么办？

1. 立即隔离： 根据检测到的异常MAC地址,在交换机上定位其接入端口并禁用该端口。
2. 清除ARP缓存：
   • Windows: arp -d * (需管理员权限)
   • Linux: ip neigh flush all 或 arp -d
3. 绑定关键ARP条目 (静态ARP)：
   • Windows (临时)： arp -s 192.168.1.1 aa-bb-cc-dd-ee-ff (绑定网关)
   • Linux (临时)： ip neigh add 192.168.1.1 lladdr aa:bb:cc:dd:ee:ff nud permanent dev eth0
   • 注意： 静态绑定是有效防御，但管理复杂，适用于网关、服务器等固定设备，客户端较多时,交换机端口安全更优。
4. 加固防御：
   • 在所有主机和网关上部署专业的ARP防火墙软件。
   • 在交换机上全面启用端口安全 (Port Security) 和 DHCP Snooping (配合DAI – 动态ARP检测效果最佳)。
   • 划分VLAN，缩小广播域,限制攻击影响范围。
   • 保持系统和网络设备固件更新。

检测ARP攻击需要结合多种手段，日常运维可使用 arp -a 和 arping 快速排查；出现复杂问题时，Wireshark抓包分析是定位根源的利器；企业环境务必在交换机启用端口安全、DHCP Snooping和DAI等防御措施，并利用监控系统实现主动预警，保持警惕并采取分层防御策略,是应对ARP攻击的关键。

本文参考了以下资源并结合网络工程实践：

• RFC 826 – The Ethernet Address Resolution Protocol
• Wireshark官方文档：ARP协议分析
• Cisco技术文档：Configuring Port Security, DHCP Snooping, Dynamic ARP Inspection
• Linux arp and arping man pages
• 网络安全最佳实践：纵深防御原则