Защита от ARP-spoofing в домашней сети: настройка статических ARP-таблиц

ARP-spoofing в домашней сети — это не «теоретическая угроза из учебника». На практике злоумышленник может подсунуть вашему компьютеру ложный MAC-адрес роутера, и часть трафика пойдёт через его устройство. Статическая ARP-таблица помогает закрыть самый простой сценарий: вы вручную говорите системе, что роутер 192.168.1.1 — это именно 00:1a:2b:3c:4d:5e, а не любой другой MAC, который появится в сети.

Но есть нюанс: статические ARP-записи — не универсальная защита. Они полезны для роутера, NAS, камер, рабочего компьютера и других устройств с постоянными IP-адресами. Для телефонов гостей, ноутбуков с рандомными MAC-адресами и IoT-устройств, которые часто меняют сетевые параметры, такой способ может больше мешать, чем помогать.

Что именно делает статическая ARP-запись

ARP нужен, чтобы устройство нашло MAC-адрес по IP-адресу в локальной сети. Например, ваш ноутбук знает, что роутер находится по адресу 192.168.1.1, но для отправки пакета внутри Ethernet или Wi-Fi ему нужен MAC-адрес роутера.

При ARP-spoofing злоумышленник отправляет в сеть поддельный ARP-ответ:

• «Роутер 192.168.1.1 теперь находится на моём MAC-адресе»;
• или «компьютер 192.168.1.20 теперь находится на моём MAC-адресе».

Если система поверит этому ответу, трафик может уйти не туда. Статическая ARP-запись говорит: «Для этого IP я принимаю только этот MAC. Остальные ARP-ответы игнорируй».

Когда статические ARP-таблицы действительно нужны

Я бы настраивал статические ARP-записи в домашней сети не «для всего подряд», а точечно — там, где есть понятная польза и низкий риск сломать подключение.

• Роутер. Самая полезная запись на каждом основном компьютере, ноутбуке и NAS. Если ноутбук всегда должен ходить в интернет через один и тот же роутер, его MAC стоит зафиксировать.
• NAS, домашний сервер, видеорегистратор. Такие устройства обычно имеют постоянный IP и не должны внезапно «переезжать» на чужой MAC.
• Рабочий компьютер. Если по сети передаются рабочие файлы или есть доступ к внутренним сервисам, статическая запись снижает риск локальной подмены.
• Камеры и умные устройства с фиксированным IP. Только если они стабильны и не используют рандомные MAC-адреса.

Не стоит массово фиксировать телефоны, планшеты, гостевые ноутбуки и устройства, которые часто переподключаются к разным Wi-Fi-сетям. У них может быть случайный MAC-адрес, и статическая запись быстро перестанет соответствовать реальности.

Что нужно подготовить перед настройкой

Перед добавлением статических записей составьте простую таблицу: устройство, IP-адрес, MAC-адрес, где эта запись будет нужна. Ошибка в одной цифре MAC-адреса приведёт не к «усилению защиты», а к потере связи.

Цифры выше — пример. Подставляйте только свои значения.

Как узнать правильный IP и MAC-адрес

Сначала найдите адрес роутера. Чаще всего это 192.168.0.1, 192.168.1.1 или 10.0.0.1, но ориентироваться лучше не на привычку, а на настройки вашей сети.

На Windows:

ipconfig

Нужна строка Основной шлюз. Это и есть адрес роутера.

На Linux:

ip route | grep default

На macOS:

route -n get default

После этого «пропингуйте» роутер, чтобы он попал в ARP-кэш, и посмотрите его MAC-адрес.

На Windows:

ping 192.168.1.1
arp -a 192.168.1.1

На Linux:

ping -c 3 192.168.1.1
ip neigh show 192.168.1.1

На macOS:

ping -c 3 192.168.1.1
arp -a | grep 192.168.1.1

Проверьте, что MAC-адрес совпадает с тем, что указан в админке роутера или на наклейке на LAN-интерфейсе. У роутера может быть отдельный MAC для WAN и отдельный для LAN — вам нужен LAN.

Как добавить статическую ARP-запись на Windows

Откройте командную строку или PowerShell от имени администратора. Сначала посмотрите имя сетевого интерфейса:

netsh interface ipv4 show interfaces

Вы увидите что-то вроде Ethernet или Wi-Fi. Если у вас русская Windows, имя может быть другим, например Беспроводная сеть. Используйте именно то имя, которое показывает система.

Пример добавления статической записи для роутера:

netsh interface ipv4 add neighbors "Wi-Fi" "192.168.1.1" "00-1a-2b-3c-4d-5e"