上个月,邻居老张发现自家网速突然变慢,手机连着Wi-Fi刷短视频总转圈,银行APP转账时还弹出‘连接不ref="/tag/177/" style="color:#874873;font-weight:bold;">安全’提示。他没多想,以为是宽带到期,结果一查才发现:路由器后台多了几条陌生设备记录,IP地址全挤在同一个网段里——典型的ARP欺骗在作祟。
ARP攻击不是黑客电影桥段
ARP(地址解析协议)本是让局域网里设备‘认人’的小帮手:比如你手机要发消息给打印机,得先问一句‘192.168.1.100这个IP,MAC地址是多少?’。可坏人会冒充路由器喊‘我是192.168.1.1!MAC是aa:bb:cc:dd:ee:ff!’,于是所有流量都悄悄流进他的电脑——你的网银密码、支付宝扫码页面,全可能被截走。
数据包过滤:路由器里的‘门禁系统’
好在多数家用路由器(TP-Link、华为AX3、小米AX3600等)自带数据包过滤功能,本质就是一道‘白名单+规则墙’:只放行你认可的IP和MAC组合,其他一概拦下。
打开路由器管理页(通常是192.168.1.1),进入【安全设置】→【ARP防护】或【IP与MAC绑定】,手动把常用设备的IP和MAC地址对填进去。比如:
192.168.1.100 → a4:5d:36:xx:xx:xx (手机)
192.168.1.101 → 7c:2f:80:xx:xx:xx (笔记本)
192.168.1.1 → 58:20:b1:xx:xx:xx (路由器自身)保存后,哪怕有人伪造ARP包说‘我是路由器’,路由器一看MAC不对,直接丢包——就像保安认准工牌,没贴照片的卡一律不放行。
顺手关掉这些‘漏洞口’
有些路由器默认开启‘DHCP服务器’但没设IP分配范围,攻击者随便插根网线就能拿到内网IP;还有些老旧型号的‘远程管理’开着,外网都能连进来改设置。进【LAN口设置】把DHCP起始IP改成192.168.1.100,结束IP设成192.168.1.150,空出前面50个地址手动绑定;再把【系统工具】里的‘远程管理’和‘WPS’一键关闭——省事又防坑。
理财账户的安全,从来不止靠密码复杂。家里的Wi-Fi稳了,手机银行不跳异常提示,扫码付款不卡顿,钱袋子才真正落了地。