【实战复盘】火绒疯狂报“ARP攻击”？在AI协助下，我揪出了那个“内鬼”

📝 写在前面

本文记录了一次真实的校园网安全告警排查过程。

鉴于我还在学习阶段，本次排查的全流程（从日志分析到原理推演）均在 Google Gemini (AI) 的深度辅助下完成。

文章由我提供事实线索，AI 协助梳理逻辑并撰写。如果文中有理论偏差，大概率是 AI 忽悠了我（

🚨 案发：电脑突然“炸”了

事情发生在今天下午 14:38。我在信息楼203信息技术中心值班室，正连着校园网处理文件，右下角的火绒突然开始疯狂弹窗。

不是那种偶尔拦截广告的弹窗，而是发现攻击的警报跳出来：

6cfe83329e771fd70b6cca09d5a54a2e
1755d98270a7a7579741d2c7fc965a2f

【火绒安全日志】

防护类型：ARP入侵攻击

攻击方 MAC：C0:B8:E6:44:DD:A2

伪装 IP：10.26.2.205、10.26.2.153、10.26.2.5 ...

结果：已拦截

看着这个日志，我的第一反应是：有人在搞事？ 攻击者一会儿说自己是 IP A，一会儿说自己是 IP B，这在网络安全里有个专门的词，叫 ARP 欺骗。

🛑 【硬核科普 1】到底什么是 ARP？

很多同学只知道 IP 地址，不知道 ARP 是啥。

我们可以把局域网想象成一个班级。

IP 地址：是你的名字（比如“张三”）。

MAC 地址：是你的身份证号（比如“110101...”），这是设备出厂就刻在网卡上的，理论上改不了。

ARP 协议：就是**“点名”**。

当我想给“张三”（IP）发文件时，我不知道他在哪，我会在班里喊一声：“谁是张三？把身份证号给我！”

张三听到后，回复：“我是，身份证是 XXXXX。”

ARP 攻击就是坏人抢答：“我是张三！身份证是（坏人的号码）！”以此来截获数据。

🔍 线索一：奇怪的“攻击者”

回到日志。火绒说这个 MAC 地址 C0:B8:E6:44:DD:A2 正在欺骗我。

我并没有急着拔网线，而是先把这个 MAC 地址丢进了 MAC OUI 查询工具（查设备厂商）。我想看看是哪个胆大包天的同学在搞恶作剧。

查询结果让我一愣：

厂商：Ruijie Networks（锐捷网络）
652c44f3b7394c6779d714043796c335

这是个大问题。 锐捷是我们学校校园网的核心设备供应商。也就是说，正在对我发起“攻击”的，竟然是信息楼的网关（交换机）？

网关为什么要攻击我？这显然不合理。

🛑 【硬核科普 2】网关为什么会“撒谎”？（Proxy ARP）

AI 提示我，这可能不是攻击，而是网关的代理 ARP (Proxy ARP) 功能。

现在的校园网为了防止病毒扩散，通常开启了**“端口隔离”**——也就是说，虽然大家都在同一个楼，但其实你的电脑和隔壁屋的电脑是被隔离的，不能直接说话。

当你在局域网里大喊“谁是 IP xxx”时，真实的同学听不见。

这时，网关（像个热心的班主任）就会站出来代答：

“你要找张三吗？交给我吧，我的 MAC 是 A2。”

“你要找李四吗？也交给我，我的 MAC 还是 A2。”

这就解释了为什么火绒会看到“一个 MAC 对应无数个 IP”。