本文目录导读:
要检查计算机是否遭受ARP攻击,可以按以下步骤操作,ARP攻击通常表现为IP地址冲突、网络频繁掉线、网速变慢或出现异常网关。
Windows系统检查方法
使用命令提示符查看ARP缓存
- 按
Win + R,输入cmd打开命令提示符。 - 输入命令:
arp -a
- :
- 查看网关IP对应的MAC地址是否与真实网关MAC一致。
- 如果出现同一MAC地址对应多个IP,或者网关MAC地址变化,则可能存在ARP欺骗。
查看IP地址冲突提示
- 如果系统弹出“IP地址与网络上的其他系统有冲突”的提示,说明可能有人在伪造你的IP地址。
- 交叉验证:断开网络后重新连接,观察提示是否消失,如果断开后冲突消失,则说明是局域网内ARP攻击。
使用第三方工具检测
- Wireshark(专业网络抓包工具):
- 启动Wireshark,选择当前上网的网卡(通常是有线或Wi-Fi网卡)。
- 在过滤栏输入
arp,只显示ARP报文。 - 观察是否有大量重复的“Who has 网关IP? Tell 任意IP”请求,或者“网关IP is at 异常MAC”的应答,如果出现每秒几十甚至上百条ARP请求,则可能正被攻击。
- ARP防火墙软件(如360 ARP防火墙、金山ARP防火墙等):安装后会自动检测并拦截ARP攻击,软件界面会显示攻击来源IP和MAC。
macOS系统检查方法
使用终端查看ARP表
- 打开“终端”(Terminal)。
- 输入命令:
arp -a
- 检查逻辑同Windows:核对网关MAC是否一致,是否有异常对应关系。
使用网络实用工具
- 打开“其他”文件夹中的“网络实用工具”(或通过Spotlight搜索)。
- 选择“Netstat”或“Ping”配合
arp命令手动交叉验证。
Linux系统检查方法
检查ARP缓存
arp -n
或
ip neigh show
监听网络流量
- 使用
tcpdump抓取ARP包:sudo tcpdump -i eth0 arp
(网卡名称根据实际情况替换,如
eth0、wlan0等) - 观察异常大量的ARP请求/应答。
检查双网卡/虚拟机虚拟网卡
- 虚拟机(如VMware、VirtualBox)中的虚拟网卡有时会广播ARP,但通常频率很低,如果出现持续高频ARP广播,且MAC地址来自主机物理网卡,也要警惕。
通用验证方法:手动绑定ARP
如果你怀疑网关被伪造,可以手动绑定正确的网关MAC地址,观察网络是否恢复:
Windows示例(需要管理员权限):
arp -s 网关IP 网关MAC
arp -s 192.168.1.1 00-11-22-33-44-55
- 注意:绑定后如果网络恢复正常,则说明之前确实存在ARP欺骗。
Linux/macOS示例:
sudo arp -s 网关IP 网关MAC
- 解除绑定:重启电脑或使用
arp -d 网关IP清除静态条目。
关键判断指标(
| 现象 | 可能性 |
|---|---|
| 网关MAC地址时变时不变 | 高 |
| arp -a 显示同一IP对应多个MAC | 高(如网关IP出现两个MAC) |
| 局域网内所有设备同时掉线或网速变慢 | 中(需要排除其他故障) |
| 只有你掉线,别人正常 | 可能你在被针对攻击 |
用arp -a发现非路由器的IP(如虚拟机IP)频繁广播ARP |
可能是误报或非恶意软件行为(需结合MAC厂商判断) |
如果发现ARP攻击,怎么办?
- 断开网络:拔掉网线或断开Wi-Fi,立即恢复正常。
- 记录证据:保存
arp -a输出、抓包文件(Wireshark保存的.pcapng)。 - 定位攻击源:
- 在Wireshark中查看攻击IP的MAC地址。
- 登录交换机(如有管理权限)查看该MAC对应的具体端口位置。
- 或者用
arp -a记录的MAC地址,去路由器后台的DHCP分配列表里查找对应设备名。
- 临时防御:
- 在电脑上开启ARP防火墙(Windows)。
- 在路由器上开启“静态ARP绑定”或“网关ARP保护”功能。
- 短期内可手动绑定静态ARP(如上文命令)。
- 彻底解决:
- 如果是同事/同学误装软件(如加速器、虚拟网络工具),要求其卸载。
- 如果是恶意攻击,联系网络管理员或采取法律措施。
重要提示
- ARP攻击只作用于同一广播域(如同一VLAN/同一Wi-Fi),跨网段或互联网攻击无效。
- 不要随意相信陌生Wi-Fi,公共热点中的ARP攻击非常常见。
- 如果网络中有多个合法网关(如双路由、VPN等),AFP缓存可能会出现异常,不一定是攻击。
如果你不确定自己操作是否正确,可以先安装一款免费的ARP防火墙(Win系统),它会在后台自动记录攻击信息,并弹出提示“IP冲突/ARP欺骗来自XX”。
