从流量视角拆解ARP欺骗Wireshark实战取证指南当你发现公司内网突然出现诡异的网络延迟或是某些敏感数据莫名其妙泄露时会不会怀疑遭遇了中间人攻击ARP欺骗作为局域网渗透的经典手段往往在受害者毫无察觉的情况下完成流量劫持。本文将以防御者视角带你用Wireshark亲手解剖一次ARP Spoof攻击后的网络流量掌握关键取证技巧。1. ARP欺骗的流量特征解析ARP协议作为局域网通信的电话簿其设计缺陷导致它极易被滥用。正常ARP交互遵循请求-响应模式而攻击流量则呈现明显异常ARP应答包激增正常情况下设备收到ARP请求后只会回复一次应答。但在欺骗攻击中攻击者会持续发送伪造的应答包维持欺骗状态。在Wireshark统计窗口可以看到ARP包比例异常升高。MAC地址冲突同一个IP对应多个MAC地址是典型攻击迹象。通过以下Wireshark显示过滤器可快速定位arp.duplicate-address-frame || eth.addr[攻击者MAC]单向ARP应答攻击者常主动发送未经请求的ARP应答包Gratuitous ARP。使用这个过滤条件捕捉异常arp.opcode 2 !arp.src.hw_mac [网关合法MAC]关键取证点在流量分析时建议先导出ARP协议统计Statistics → Protocol Hierarchy观察ARP包占比。正常网络该值通常低于1%而攻击环境下可能飙升至5%以上。2. Wireshark实战分析流程2.1 环境准备与数据采集搭建实验环境需要受害主机192.168.1.100网关192.168.1.1攻击机Kali Linux在攻击者执行以下命令后开始抓包arpspoof -i eth0 -t 192.168.1.100 192.168.1.1采集建议在网关或镜像端口进行抓包确保获取完整双向流量使用环状缓冲区避免丢包Capture → Options → Output设置捕获过滤器减少噪音host 192.168.1.100 and arp2.2 攻击流量深度解析打开捕获文件后按时间线观察三个阶段的变化阶段正常网络特征攻击后特征初始定期ARP请求突发大量ARP应答持续稳定MAC映射IP-MAC映射频繁变更通信目标MAC为网关目标MAC变为攻击者重点关注这些报文细节Operation Code正常应答应为2但攻击包可能带有异常字段Sender MAC地址对比网关真实MAC判断是否伪造Packet Time Delta攻击包通常以固定间隔如1秒持续发送通过以下Tshark命令可提取关键证据tshark -r attack.pcap -Y arp.opcode2 -T fields -e frame.time -e arp.src.hw_mac -e arp.src.proto_ipv4 | sort | uniq -c3. 高级取证技巧3.1 时间线关联分析将ARP异常与TCP会话建立时间轴对照往往能发现HTTP流量突然转向新MAC地址SSL/TLS握手出现未知中间证书DNS查询响应时间异常延长使用Wireshark的Flow Graph功能Statistics → Flow Graph可直观展示流量路径变化。3.2 数据包负载检测虽然ARP欺骗本身不加密数据但结合其他攻击可能导致明文密码出现在POST请求中注入的恶意JavaScript代码被篡改的下载文件哈希值建议使用如下过滤器筛查敏感数据http.request.method POST || tcp contains password || http contains script4. 防御方案与自动化检测基于流量特征可部署以下防护措施动态ARP检测DAIinterface GigabitEthernet0/1 ip arp inspection trustZeek脚本监控event arp_reply(mac: string, src_ip: addr, dst_ip: addr) { if (src_ip in gateway_ips mac ! gateway_macs[src_ip]) NOTICE([$noteARP::Spoofing, $msgfmt(ARP spoof detected: %s claims %s, mac, src_ip)]); }Suricata规则示例alert arp any any - any any (msg:ARP Spoofing Detected; arp.opcode:2; arp.src.hw_mac:!00:11:22:33:44:55; metadata:policy security-ips drop; sid:1000001;)在实际企业环境中建议结合NetFlow/sFlow数据建立基线模型当检测到以下异常时触发告警单个MAC对应多个IP的频次超过阈值ARP应答包数量突增3个标准差以上关键设备的MAC地址发生变更