1. 初步了解：什么是ARP欺骗？

在讨论如何使用Wireshark区分正常ARP通信与恶意ARP流量之前，我们需要明确ARP（Address Resolution Protocol）的工作原理。ARP协议用于将IP地址解析为MAC地址，而ARP欺骗攻击则是通过伪造ARP响应包，误导网络中的设备错误地绑定IP-MAC关系。

正常ARP请求：发送方广播询问“谁拥有这个IP？”。正常ARP响应：目标设备回应其MAC地址。恶意ARP响应：攻击者伪造响应，声称自己是某个IP的所有者。

因此，识别伪造的ARP响应包是关键。

2. 技术分析：如何设置显示过滤器？

在Wireshark中，可以通过设置显示过滤器快速筛选出ARP流量：

arp || eth.src == [攻击者MAC]

具体步骤如下：

启动Wireshark并选择目标网络接口进行抓包。输入过滤器"arp"以显示所有ARP相关流量。观察源MAC地址、目标MAC地址和IP地址的变化。

例如，如果一个MAC地址多次声称自己对应多个不同的IP地址，则可能是攻击行为。

3. 深入探究：利用统计工具缩小范围

当网络存在大量ARP流量时，可以借助Wireshark的统计工具进一步分析：

工具名称功能描述Endpoints列出所有活动设备及其MAC/IP组合。Follow TCP Stream虽然主要用于TCP流跟踪，但也可辅助分析异常数据流。

结合统计结果，可以确认哪些MAC/IP组合频繁发送可疑ARP包。

4. 高级判断：Gratuitous ARP的作用

某些看似可疑的ARP包可能是合法的Gratuitous ARP（免费ARP）。这种类型的ARP包通常用于：

检测IP地址冲突。在网络拓扑变化后更新其他设备的ARP缓存。

例如，当一台设备更换了网络接口卡或重新启动时，它可能会发送Gratuitous ARP来通知其他设备其新的MAC地址。

5. 流程图：完整分析过程

以下是使用Wireshark定位ARP欺骗攻击的完整流程：

graph TD;

A[启动Wireshark] --> B{设置过滤器"arp"};

B --> C[观察源MAC/IP变化];

C --> D{是否存在异常？};

D --是--> E[使用统计工具确认攻击者];

D --否--> F[检查是否为Gratuitous ARP];

此流程图展示了从初步过滤到最终确认的每一步逻辑。