我是网络新手,所以请怜悯我的菜鸟灵魂......
我希望这个问题在这个论坛上是可以接受的。它刚刚被踢出 networkengineering.stackexchange.com 论坛,所以我想在这里重新发布它。开始吧...
我正在运行 Windows 10 Pro x64 机器,当我运行“arp -a”或使用 XArp 查看网络连接时,我看到了我认为是 ARP 表中的额外条目。我只有一台计算机连接到我用来连接互联网的当前 Wi-Fi 网络,但在这两种工具中,我都看到一个额外的 ARP 条目,其中包含我本地网络上的 IP 地址,我认为它不应该在那里。由于 XArp 条目提供的信息最多,我将在这里重复它。我看到了以下条目,但我认为它不应该在那里:
IP MAC Host Vendor Interface Online Cache
192.168.0.10 00-18-4d-ff-ff-07 192.168.0.10 Netgear Inc. 0x-10 Microsoft unknown yes
First Seen Last Seen How often seen
9/17/2021 14:59:35 9/17/2021 14:59:35 1
此外,在我的 Windows 机器上运行“arp -a”命令的读数表明上述 arp 表条目是动态的。
此条目仅出现过一次,因为我实际上使用“arp -d 192.168.0.10”命令删除了该条目。然后,在我的 XArp 屏幕重新启动后,它又恢复了。
我一直担心有人在干扰我的网络并以某种方式登录我的网络并在未经我许可的情况下做一些我不知道的事情。
(我无法将上面的 00-18-4d-ff-ff-07 MAC 地址识别为我机器上任何能找到的 MAC 地址。同样,我的机器应该是唯一连接到我用来连接互联网的 Wi-Fi 网络的机器。而且,这个额外的 IP 地址似乎是这个 Wi-Fi 网络的本地地址,我认为应该只有我的本地机器连接到它。
我的本地机器的 IP 地址是 192.168.0.14,其 MAC 地址与我在此机器上连接的 Wi-Fi 网络的属性页中显示的 MAC 地址相匹配。)
我的 ARP 表中的这个“额外条目”是否证明除了我之外的其他人登录了我的网络?
或者这个条目只是我的 Netgear 路由器正在做的事情?
(FWIW,我的 Netgear 路由器的 IP 地址 192.168.0.1 的 MAC 地址与上面显示的 192.168.0.10 IP 地址的 MAC 地址完全不同,并且我的路由器的 IP 地址 192.168.0.1 的 MAC 地址与路由器上的贴纸/标签上的 MAC 地址完全匹配。)
在此先感谢对这个问题的任何帮助。
答案1
这是我的测试系统的 XArp 输出:
Virtuows 是 Windows 系统,TREX 是互联网网关。如您所见,XArp 显示 2 个接口,0x8 是 Wi-Fi 适配器,0x10 是有线接口。您的 192.168.0.10 与接口 0x10 相关联 - 即它被有线接口“检测到”。
arp -a 以相同的方式识别接口:
这表明了什么实际上存在于网络中。唯一检测到的设备是互联网网关 192.168.122.1。.255 是网络的广播地址,224 和 239 地址是保留的多播地址;这些(以及手动配置的条目)始终是静态的。否则,ARP 表条目是动态的,如果没有重新检测到,它们会在几分钟内过期并消失。
XArp 文档严重不足。我不知道它究竟是如何工作的,所以我无法确切解释 .0.10 地址来自哪里。但是,如果 XArp 看到它一次,它就不可能是网络中的活动设备。活动设备总是交换 ARP、Hello 和其他类似的数据包;系统需要知道网络中实际存在的人是谁,以保持连接畅通。它似乎源自路由器,但要确定你需要进行流量跟踪,这很有用仅有的如果有多个检测。
检查有线适配器的设置 - 它是否有静态 IP?如果是,请将其更改为 DHCP。您可以发出命令ipconfig /release并ipconfig /renew续订系统中所有现有的 DHCP 租约。如果 .0.10 地址潜伏在那里某处,这将清除它。
至于 XArp - 我认为你不应该理会它。请注意,在我的系统中,它显示了多个“攻击”检测,全部来自我自己的 Wi-Fi 适配器,该适配器甚至没有连接到任何地方 - 我对自己有危险吗?
在知识渊博的网络管理员手中,它可能是一个有用的工具,但对于家庭环境中的普通用户来说,它几乎毫无用处。网页中使用的语言对于初学者来说可能听起来很可怕,但它被夸大了,而且在某些部分完全是错误的。如果你想看看那里到底有什么,你的路由器的管理界面是你最好的朋友。arp -a 输出可能是,但由于 arp 协议的性质,它有点受限。
当我在路由器上看到可疑活动时,我还看到当时模仿我无线连接的 MAC 地址的有线连接。
我不知道您如何确定活动是否“可疑”。如果网络接口有活动连接,LED 将始终快速随机闪烁 - 这仅表示流量通过该接口。只有当实际设备连接到路由器端口时,您才能看到有线连接。或者如果设备固件有错误。但仅知道路由器的 MAC 地址是不够的。
如果有人知道我的路由器的 MAC 地址,他们可以通过有线连接连接到它吗?
不可以,只有插入真正的电缆才有可能。
我不太愿意在路由器连接互联网的情况下登录。大多数情况下,我登录路由器时都会断开互联网连接,然后使用有线连接登录路由器。这样做是为了确保互联网上没有人能够嗅探到我的路由器登录密码。
默认情况下,所有 SoHo 路由器都允许管理仅有的通过 LAN 接口,您必须实际配置它以通过互联网进行管理;这可能完全不可能。用户名/密码无论如何只会在您的设备和路由器之间传递,而不会从互联网端口发送出去。路由器还包含一个防火墙,默认情况下会阻止所有传入流量。
为确保最大程度的安全:
- 防火墙配置说明手册第 65 和 66 页。不要禁用 PortScan 和 DoS 保护,不要配置 DMZ 服务器。不要允许在互联网端口上响应 ping。保持 SIP ALG 和 IGMP 代理禁用。如果您不是游戏玩家,您也不必启用 NAT 过滤。
- 仅使用 WPA2-PSK 和一个您容易记住的复杂 Wi-Fi 密码。一个好方法是选择一个简短的句子并稍微修改一下。举个(不好的)例子,“这允许访问互联网”可以修改为“Th159iv3s@ccEs5-70Int#rn37”。
- 不要启用访客网络
- 启用访问控制,并且仅允许您自己设备的 MAC 地址
- 手册建议默认 IP 地址范围为 192.168.1.0/24,但您的 IP 地址似乎是 192.168.0.0/24。无论如何,这两个地址都很常见,因此您可以将其更改为较少使用的地址,例如 192.168.47.0/24。除了第三个八位字节外,不要更改任何其他地址!这会使猜测变得更加困难。
这些对于普通用户来说已经足够了。您还可以采取一些进一步的步骤:
- 如果你只在家里使用电脑,你可以为其配置静态 IP 地址,并在路由器上禁用 DHCP
- 您可以阻止 SSID 广播,这样您的网络就不会被所有人看到
我不会理会这些,因为它们实际上并没有增加多少安全性。一个知识水平一般的人可以很容易地克服每一个问题。但另一方面,一个专注、技术娴熟、有足够时间的人可以绕过现有的任何安全措施。
安全总是有点像一场平衡游戏。我想把东西关闭得有多严密,以及我想在日常使用中遇到多少麻烦。最好的保护是知识。还有人为因素——熟练的黑客会瞄准政府/军事组织、银行、保险公司等——随机人的家庭网络对他们来说有多有趣?:-)
万一 XArp 开发人员看到此问题并提出问题:我绝对没有贬低你的工具的意思。我只是指出,理解它显示的内容以及如何使用它需要远远超出普通用户知识范围的知识。