家里组了个小局域网,几台电脑、一台NAS、还有手机连着同一个路由器,用着用着突然发现网速变慢、网页打不开,甚至QQ登录不上——你可能正被ARP攻击悄悄盯上。
ARP攻击不是黑客电影,它就在你身边
ARP(地址解析协议)本是让设备知道“192.168.1.100 这个IP对应哪块网卡的MAC地址”的小帮手。但攻击者可以伪造ARP响应,比如发个假消息给你的电脑:“192.168.1.1(路由器)的MAC其实是 xx:xx:xx:xx:xx:aa”,于是你所有上网流量全被偷偷截走。轻则断网,重则账号密码被偷。
普通用户怎么防?靠路由器自带的数据包过滤
很多家用路由器(比如华硕、TP-Link新款、小米AX系列)都带“ARP防护”或“数据包过滤”功能,不用装软件、不折腾命令行,进后台点几下就能拦住大部分伪造包。
以常见操作为例:
1. 登录路由器后台
浏览器输入 192.168.1.1 或 192.168.0.1,输管理员账号密码(默认一般是 admin/admin,贴在路由器底部)。
2. 找到安全设置里的“ARP防护”或“数据包过滤”
路径通常在:高级设置 → 安全设置 → ARP防护 或 防火墙 → 数据包过滤。开启“ARP欺骗防护”、“IP/MAC绑定”、“禁止非法ARP响应”这类选项。
3. 绑定关键设备(推荐)
在“静态ARP表”或“IP与MAC绑定”里,把你家电脑、手机、NAS的IP和MAC地址手动填进去。比如:
192.168.1.100 → aa:bb:cc:dd:ee:ff
192.168.1.101 → 11:22:33:44:55:66这样路由器只认你填的这对组合,别人发再像的ARP包也进不来。
没高端路由器?Windows也能简单挡一挡
如果你用的是老款路由器,或者想多加一层保险,Windows系统本身也能做基础过滤:
打开 PowerShell(右键开始菜单→Windows PowerShell(管理员)),运行:
netsh interface ipv4 add neighbors "以太网" 192.168.1.1 aa-bb-cc-dd-ee-ff把 以太网 换成你实际的网卡名(用 netsh interface show interface 查),192.168.1.1 换成你家路由器IP,后面那一串是路由器的真实MAC(登录路由器后台首页一般能看到)。这条命令相当于在本机钉死“路由器就该是这个MAC”,别人冒充也没用。
顺便提醒两件事
• 不要随便连公共WiFi后还开着“文件共享”,ARP攻击在局域网里最活跃;
• 装机配好网络后,花3分钟开个ARP防护,比中招后再查木马快得多。
防攻击这事,真不玄乎——就像出门锁门,不是怕谁一定来撬,而是习惯让风险少一点。