爱快检测到ARP欺骗：如何定位并解决eth1接口的192.168.10.103攻击源？

一、ARP欺骗告警的初步识别与信息提取

当爱快路由器在eth1接口触发ARP欺骗告警，并提示192.168.10.103为攻击源时，首先应从系统日志中提取关键信息：

• 告警时间戳：用于关联其他设备日志进行交叉验证。
• 源MAC地址：通常伴随IP一同显示，是后续追踪的核心标识。
• 冲突IP/MAC对：确认是否存在多个MAC声称拥有同一IP。
• 接口位置：eth1所属VLAN及物理区域，缩小排查范围。

通过爱快Web界面进入【安全】→【ARP防护】→【ARP欺骗日志】，记录下完整的IP-MAC-Port三元组。此时可初步判断该行为是否为偶发性误报（如虚拟机迁移）或持续性异常。

二、基于MAC地址的设备定位流程

获取攻击源MAC地址后，需在局域网交换机层面定位其接入端口。以下为通用排查路径：

1. 登录核心/接入层交换机（支持SNMP或CLI访问）。
2. 执行命令查询MAC地址表：
   display mac-address | include XX-XX-XX-XX-XX-XX （华为/H3C）
   show mac address-table | grep xx:xx:xx:xx:xx:xx （Cisco）
3. 获取对应交换机端口（如GigabitEthernet 1/0/23）。
4. 结合拓扑图和端口描述（description），确定物理位置（如楼层、房间、工位）。

若网络规模较大，建议使用自动化脚本定期采集各交换机MAC表并构建映射数据库。

三、设备合法性验证：ARP表与DHCP客户端比对

为判断192.168.10.103是否为合法设备，需进行多维度数据比对：

若该IP未出现在DHCP租约中，且ARP表频繁刷新，则高度怀疑为伪造设备仿冒。

四、抓包分析确认伪造ARP响应行为

在eth1接口部署抓包以捕获真实流量：

# 使用tcpdump抓取ARP相关数据包
tcpdump -i eth1 arp -w /tmp/arp_spoof.pcap

# 过滤发送自192.168.10.103的ARP响应
tcpdump -r /tmp/arp_spoof.pcap arp and src host 192.168.10.103
    

分析重点包括：

• ARP响应包是否为非请求而主动广播（Gratuitous ARP）？
• 同一MAC是否声明多个不同IP？
• 目标IP的正常网关MAC是否被篡改为192.168.10.103？

通过Wireshark打开pcap文件，使用显示过滤器arp.opcode == 2查看所有ARP回复，检查是否存在“spoofed”标记。

五、复杂场景处理：IP频繁变化与环路排查

若告警持续不断且IP变动频繁，可能涉及以下深层问题：

• 网络环路：生成树协议（STP）失效导致广播风暴，引发ARP泛洪误判。
• 中毒主机：感染蠕虫病毒的终端自动发起ARP投毒攻击。
• 双网卡桥接：用户私自搭建软路由或共享网络，造成MAC/IP混乱。

此时应启动拓扑级排查：

# 在交换机上启用环路检测
[SW] loopback-detection enable

# 查看端口错包计数
display interface brief | exclude up
    

六、综合防御策略与自动化响应流程图

为提升响应效率，建议建立标准化处置流程。以下是基于事件驱动的应急响应模型：

该流程可集成至SIEM系统实现自动封禁，结合802.1X认证防止未授权设备接入。