谁偷了你的网速？用Wireshark解码ARP攻击流量

第3章 第12.2天

同学们！今天咱们来深扒一下局域网里那个默默无闻却又至关重要的“翻译官”——ARP协议。它负责把咱们熟悉的IP地址（比如 192.168.1.1）翻译成网卡能认的物理地址（MAC地址，如 AA:BB:CC:DD:EE:FF）。没有它，宿舍里的电脑、手机、路由器就算IP设对了也“找不着北”，数据根本发不出去！更关键的是，它有个“致命弱点”，常被用来搞网络攻击。我会用开黑被限速、校园网掉线这些惨痛经历，带你看透ARP的原理和风险，并用Wireshark亲手抓包分析！( •̀ ω •́ )✧

---

标题：宿舍网络“身份证”危机：ARP协议原理、抓包实战与防限速攻防指南

---

一、ARP协议原理：局域网里的“地址翻译官”

1. ARP是啥？为啥非它不可？

定义： ARP (Address Resolution Protocol)，中文叫地址解析协议。它的核心工作就一句话：根据已知的IP地址，找出对应的MAC地址。*
为什么需要它？(痛点场景)：
场景1： 你在宿舍电脑 (IP: 192.168.1.100) 想访问百度。你的电脑知道百度的IP（通过DNS），但数据包要发出宿舍，必须先交给宿舍路由器（网关，IP: 192.168.1.1）。
问题： 电脑知道网关的IP* (192.168.1.1)，但网卡在物理层面发送数据帧时，必须知道网关接口的MAC地址！否则数据帧没法在局域网里“投递”到正确的设备（路由器）。
解决： ARP登场！电脑会广播一个ARP请求：“谁是 192.168.1.1？ 请告诉 192.168.1.100 你的MAC地址！” 路由器收到后，单播回复：“我是 192.168.1.1，我的MAC是 AA:BB:CC:DD:EE:FF”。电脑拿到MAC，就能把数据帧的目标MAC填上路由器的地址发出去啦！(◕‿◕) 翻译完成！
核心价值： 桥接了逻辑网络层 (IP) 和物理链路层 (MAC)，让只知道IP的上层应用（浏览器、游戏）能顺利在底层发送数据。
致命弱点 (安全隐患根源)： ARP协议设计时没有身份验证机制！任何人都可以伪造ARP响应*。这就给 “ARP欺骗/攻击” 留下了后门，也是宿舍里“P2P终结者”这类限速软件的原理所在！(╯°□°)╯︵┻━┻

2. ARP数据包结构：拆解“寻人启事”和“回执”

ARP请求和响应包结构非常简单，但字段含义很重要。抓包时全靠看懂它们！

// ARP 数据包结构 (RFC 826) - 关键字段详解
// ----------------------------------------------------------------
// | 字段名 (Field)| 长度 (字节) | 说明与常见值|
// |----------------------|-------------|--------------------------|
// | Hardware Type (HTYPE)| 2| **链路层类型**|
// ||| 1 = 以太网 (绝大多数情况)|
// | Protocol Type (PTYPE)| 2| **网络层协议类型**|
// ||| 0x0800 = IPv4 (绝大多数)|
// | Hardware Size (HLEN) | 1| MAC地址长度 (以太网=6)|
// | Protocol Size (PLEN) | 1| IP地址长度 (IPv4=4)|
// | Operation (Opcode)| 2| **包类型！关键！**|
// ||| 1 = ARP请求 (Request)|
// ||| 2 = ARP响应 (Reply)|
// | Sender MAC Address| 6 (HLEN)| **发送方MAC地址**|
// | Sender IP Address| 4 (PLEN)| **发送方IP地址**|
// | Target MAC Address| 6 (HLEN)| **目标MAC地址**|
// ||| **请求包中为 00:00:00:00:00:00 (全0)！** |
// | Target IP Address| 4 (PLEN)| **目标IP地址**|
// ----------------------------------------------------------------

关键字段解读 & 宿舍案例分析：
Opcode (操作码)： 最重要的字段！ 一眼区分是请求 (1)** 还是响应 (2)。
请求包 (Opcode=1)： 一定是广播发送 (目标MAC = FF:FF:FF:FF:FF:FF)。Target MAC 是全0，因为它正在询问：“谁知道 Target IP 的MAC？”
响应包 (Opcode=2)： 一定是单播发送 (发给请求者)。Target MAC 和 Target IP 填的就是请求方的MAC和IP。
Sender MAC & Sender IP： 声明“我是谁”。这是攻击者伪造的核心字段！在欺骗攻击中，攻击者会伪造一个响应包，声称 Sender IP = 网关IP，但 Sender MAC = 攻击者自己的MAC，从而把流量引向自己。
Target MAC & Target IP：
*在请求包中：Target IP 是要查询的IP** (如网关IP)，Target MAC 是全0。
*在响应包中：Target IP 和 Target MAC 对应的是最初发出请求的那台设备。

3. ARP缓存表：本地的“地址通讯录”

作用： 为了避免每次通信都发ARP广播，操作系统会把最近查询到的IP-MAC对应关系*保存在内存里，这就是 ARP缓存（ARP Cache）。它就像你手机里的联系人，存着“张三 (IP) -> 手机号 (MAC)”的映射。
*查看ARP缓存：
*Windows：

arp -a
# 输出示例：
# 接口: 192.168.1.100 --- 0xb
#Internet 地址物理地址类型
#192.168.1.1aa-bb-cc-dd-ee-ff动态# <-- 网关的映射
#192.168.1.255ff-ff-ff-ff-ff-ff静态# 广播地址
#224.0.0.2201-00-5e-00-00-16静态# 组播地址
# 类型：动态 (Dynamic) - 通过ARP协议学习到的，会老化失效（通常2分钟）
#静态 (Static) - 手动添加或系统保留，不会失效

*Linux/Mac：

arp -n# -n 不解析主机名，显示IP
# 输出示例：
# AddressHWtypeHWaddressFlags MaskIface
# 192.168.1.1etheraa:bb:cc:dd:ee:ffCeth0 # C 表示通过ARP学习

*操作ARP缓存：
*清除缓存 (强制重新学习)： 怀疑缓存被污染或网络变化时常用。

# Windows
arp -d *# 清除所有条目， 或 arp -d 192.168.1.1 清除指定IP条目

# Linux/Mac
sudo ip neigh flush all# 清除所有，或 sudo ip neigh del 192.168.1.1 dev eth0

*添加静态ARP条目 (防欺骗手段之一)：

# Windows (管理员CMD)
arp -s 192.168.1.1 AA-BB-CC-DD-EE-FF# 绑定网关IP和正确MAC

# Linux/Mac
sudo arp -s 192.168.1.1 AA:BB:CC:DD:EE:FF# 绑定
# 查看： arp -n

---

二、ARP协议实战：Wireshark抓包，透视“寻址”过程与风险

1. 实战步骤：捕获一次标准的ARP交互

让我们模拟电脑首次访问网关的场景，捕获完整的ARP请求和响应。

1.准备：获取关键信息
*打开命令提示符 (CMD) 或终端 (Terminal)。
*查询本机IP和默认网关IP：

# Windows
ipconfig
# 记下 "IPv4 地址" 和 "默认网关"

# Linux/Mac
ip route show default | grep via
# 输出示例：default via 192.168.1.1 dev eth0 ...
# 网关IP是 192.168.1.1

2.启动Wireshark，设置抓包
*打开 Wireshark。
选择 你正在使用的、连接局域网的网卡 (Wi-Fi 或有线)。
关键过滤 (抓包前)： 为了精准抓到ARP，在捕获过滤框输入 arp (BPF语法)。
*双击网卡开始捕获。
3.触发ARP请求：清除缓存并Ping网关
*在 CMD/Terminal 中：

# Windows
arp -d *# 清除ARP缓存
ping <网关IP># 例如 ping 192.168.1.1

# Linux/Mac
sudo ip neigh flush all# 或 sudo arp -d <网关IP>
ping -c 4 <网关IP># ping 4次

原理： ping 命令需要先知道网关的MAC才能发包。因为刚刚清除了缓存，电脑必定会发起一次ARP请求去查询网关MAC！
4.停止抓包，分析关键帧*
*回到 Wireshark，点红色按钮停止捕获。
*过滤： 显示过滤栏输入 arp (Wireshark语法)。你应该能看到至少两个包：一个请求 (Request)，一个响应 (Reply)。
*分析请求包 (ARP Request)：
*在列表中找到 Info 类似 Who has 192.168.1.1? Tell 192.168.1.100 的包。选中它。
*重点看详情区：
*Ethernet II > Destination: Broadcast (ff:ff:ff:ff:ff:ff) -> 广播地址，全宿舍都能收到！
*Ethernet II > Source: <你的电脑MAC> -> 谁在问？
*Address Resolution Protocol (request)：
*Opcode: request (1) -> 操作码=1，这是请求包！
*Sender MAC address: <你的电脑MAC>
*Sender IP address: <你的电脑IP>
*Target MAC address: 00:00:00:00:00:00 -> 全0！关键特征！
*Target IP address: <网关IP> -> 我要找谁的MAC？
*分析响应包 (ARP Reply)：
*找到紧接着的包，Info 类似 192.168.1.1 is at <网关MAC>。选中它。
*重点看详情区：
*Ethernet II > Destination: <你的电脑MAC> -> 单播回复给你！
*Ethernet II > Source: <网关MAC> -> 谁来回答了？
*Address Resolution Protocol (response)：
*Opcode: reply (2) -> 操作码=2，这是响应包！
*Sender MAC address: <网关MAC> -> “我是网关，这是我的真MAC！”
*Sender IP address: <网关IP>
*Target MAC address: <你的电脑MAC> -> 我是回答谁的？
*Target IP address: <你的电脑IP>

2. 实战案例：ARP欺骗攻击演示与防御 (宿舍版“P2P终结者”原理)

攻击原理： 攻击者伪造一个 ARP响应包 (Opcode=2)，广播（或单播给受害者）出去，声称：
*Sender IP = <网关IP>
*Sender MAC = <攻击者自己的MAC> <-- 这里是伪造的！
*Target IP = <受害者的IP>
*Target MAC = <受害者的真实MAC>
受害者电脑收到了这个包，会傻傻地更新自己的ARP缓存，把网关IP (192.168.1.1) 错误的绑定到攻击者的MAC上！(☉_☉) 从此，受害者所有想发给网关（出去上网）的流量，都被送到了攻击者的网卡！攻击者可以：
直接丢弃 → 造成受害者断网！ (传说中的“限速”)
偷看后再转发给真正的网关 → 进行流量监听 (中间人攻击)!
*篡改内容后再转发 → 注入广告/病毒！
模拟攻击流量特征 (在Wireshark中识别)：
异常大量ARP响应包： 尤其是没有对应请求的响应包 (is at ... 包特别多)。
异常的Sender IP和Sender MAC组合： 看到一个ARP响应声称 192.168.1.1 (网关IP) 对应了一个 非网关设备 的MAC地址（比如你室友电脑的MAC）？很可能就是攻击！
广播的ARP响应包： 正常的ARP响应通常是单播回复请求者的。攻击者为了快速污染整个网络，常常广播伪造的ARP响应 (Destination = FF:FF:FF:FF:FF:FF)。
防御策略 (宿舍自救指南)：
1.ARP静态绑定 (最有效但麻烦)： 像前面讲的那样，在你的电脑上手动绑定网关IP和它正确的MAC地址。

# Windows (管理员)
arp -s 192.168.1.1 AA-BB-CC-DD-EE-FF# 替换为你的真实网关MAC

缺点： 如果网关MAC变了（少见，除非换路由器），你需要手动更新。不能防止网关被欺骗。
2.启用交换机的“端口安全”功能 (最佳方案，找网管)： 企业级交换机支持将交换机端口绑定到特定设备的MAC地址。如果检测到该端口连接了其他MAC的设备（攻击者冒充），端口会自动关闭（Shutdown）！(๑•̀ㅂ•́)و✧ 这是对抗ARP欺骗最根本的办法，但需要管理宿舍路由器/交换机权限（通常是学校网络中心管）。
3.使用软件防护：
Anti-ARP Tools： 如 ARP防火墙、彩影ARP防火墙 (国产老牌)。它们能监控ARP缓存变化，检测并阻止非法的ARP欺骗包。
操作系统防护：
Windows： 开启 网络邻居 -> 属性 -> TCP/IPv4 -> 高级 -> WINS 选项卡 -> 勾选 启用 TCP/IP 上的 NetBIOS (效果有限)。更推荐用上面的工具或手动绑定。
Linux： 使用 arpwatch 工具监控ARP变化并报警。
4.保持警惕： 发现网络突然变慢或掉线，查看ARP缓存 (arp -a) 是否可疑（网关MAC变了？），并用Wireshark抓包排查。

---

三、课程总结：ARP - 便利与风险并存

1.原理核心：
使命： 解决 IP -> MAC 的地址翻译问题，是局域网通信的基石。
过程： 广播请求 (Opcode=1, Target MAC=0) -> 单播响应 (Opcode=2)。
缓存： arp -a / ip neigh show 查看，arp -d / ip neigh flush 清除。静态条目防欺骗。
2.安全风险：*
根源： 协议无认证机制。
攻击： ARP欺骗 (伪造响应包，篡改IP-MAC映射)，导致断网、监听、篡改。宿舍“限速软件”常用此招。
识别： Wireshark抓包看异常ARP响应 (广播响应、IP-MAC不符、数量异常)。
3.防御精髓：*
*静态绑定： 手动绑定网关正确MAC (治标)。
*交换机端口安全： 绑定端口-MAC (治本，需权限)。
*ARP防火墙： 监控并拦截非法ARP包 (软件防护)。
*Wireshark排查： 断网/卡顿时抓包利器！

学长最后叮嘱： 理解了ARP原理和风险，下次再遇到宿舍网络“神秘消失”，或者怀疑被人“限速”，别只会重启了！拿出Wireshark，抓个包看看ARP流量是否正常，检查下你的ARP缓存。知己知彼，才能守护好自己的网速！(ง •_•)ง 快去试试看吧！掌握这个，你已经是半个宿舍网络专家了！遇到问题随时讨论~