arp欺騙和檢測工（gōng）具

ARPKiller是一款超好用的ARP防火牆（qiáng）軟件，能夠幫助用戶更輕鬆的檢測局域網攻擊和arp欺（qī）騙（piàn），幫助用戶保護自（zì）己的局域（yù）網安全，有需要的朋（péng）友可以來綠色資源（yuán）網下載使用！

基本介紹

ARPKiller 使用手冊

DigitalBrain  2001/11/08

目錄（lù）:

1. ARP協議簡介，及其在（zài）網絡安全中的應用;

arpun.com

2. ARPKiller使用說明;

正文

1. ARP協議簡介，及其在網絡安（ān）全中的（de）應用

ARP: Address Resolution Protocol ,地址解析（xī）協議故名思意（yì），就是用地解地址的（de）協議:") ,廢（fèi）話！，具體（tǐ）點（diǎn）就是將網（wǎng）絡層（IP層，也就是相當於（yú）ISO OSI 的第三層（céng））地址解析（xī）為數據連接層（MAC層，也就是（shì）相（xiàng）當於ISO OSI的第二層）的mac地址。分析一下整個廣域網和局（jú）域網的結構：廣域網用具有層次體係的IP協議來（lái）進行通訊，可是具體到各個局域網又如何來辨別各個主機呢？沒錯！就是通地MAC地址。設想有（yǒu）兩台主機A(192.168.0.1:abc111111111)和B(192.168.0.2:

abc222222222)，當主機A想與主機（jī）B進行通（tōng）訊時，A隻知道B的IP地址是192.168.0.2,當數據包封裝到MAC層時他如何知道B的MAC地址呢，一般的OS中是這樣做的，在OS的內（nèi）核中保（bǎo）存一分MAC地（dì）址表(arp -a可以（yǐ）看見這（zhè）個表的內容)，表中有IP和MAC地址的對應關係，當要過進行通訊時，係統先查看這個表中是（shì）否有相關的表項（xiàng），如果（guǒ）有就（jiù）直接使用，如果沒有係統就會發出一個ARP請求包,這個（gè）包的目的地址為ffffffffffff的廣播地址，他的作用就（jiù）是（shì）詢問局域網內IP地址為192.168.0.2的主機的MAC地（dì）址，就像是A在局（jú）域網中喊"我在找一個（gè）IP地址為（wéi）192.168.0.2的主機，你的MAC地（dì）址是多少，聽到了請回話！，我的MAC地址是abc111111111。"，隨（suí）後所有主機都會接收到這個包，但隻有IP為192.168.0.2的B才會響應一個ARP應答包（bāo）給主機A,他說（shuō）"你個老（lǎo）色鬼！，找我有啥事嗎，我的MAC地址是abc222222222",好這下主機A就知道B的MAC地址了，於時他就可以封包發送了，同時主機A將B的MAC地址（zhǐ）放入ARP緩衝中，隔一定時間就將其刪除，確（què）保不斷更（gèng）新。（注意，在這（zhè）個過程中，如（rú）果主機A在發（fā）送ARP請求時，假如該局域網內有一台主機C的IP和A相同，C就會（huì）得（dé）知有一台主（zhǔ）機的IP地址（zhǐ）同自已的IP地址相同，於時就蹦出一個IP衝突的（de）對（duì）話（huà）筐：）。與ARP相對應的還有一（yī）個協議RARP:ReverseAddress Resolution Protocol，反向地址解析協議，該協議主要用於工作站模型動態獲取IP的過程中，作用是由（yóu）MAC地址向服務器取回IP地址。

明白了ARP的工作原理之（zhī）後就可以大刀闊斧的玩MAC了，:")設想1： 既然一個主機接收（shōu）到與自已相同IP發出的ARP請求就會蹦出一個筐來，哪麽要是我（wǒ）偽造主機X的IP向局域網發ARP請求，或都是發個（gè）不停（tíng），同時自已的MAC也是偽造的，哪會（huì）怎麽樣....

設想2： 既然主（zhǔ）機Y接收到一個ARP請求包後就會把這個包中的信息放入到ARP表中，哪麽我以一（yī）個局域（yù）網網關或都任意一台不想讓（ràng）Z訪問的（de）機子IP的身份，同時以一（yī）個不（bú）存在的MAC向Z發送ARP應答報文會怎樣？，，，不想說主機Z甭想上網或都是訪問哪台機子了:")設想3： 網卡既可以工作在（zài）正（zhèng）常模式（隻能接收到目的MAC為ffffffffffff的廣播包或（huò）都是目（mù）的（de）MAC與網卡MAC相同的包），也可以工（gōng）作在混雜（zá）模式（網卡不檢查目的MAC接收的有的包,sniffer就是用這種原理來竊取網絡上（shàng）的數（shù）據的），如何來鑒別主機（jī）的網卡處於（yú）什麽（me）模式呢（ne）？然而一般的OS對某種特殊類型的MAC廣播包(目標地址為fffffffffffe)在正常模式下是拒絕的，而在（zài）混雜模式下無條件的（de）接收，哪麽我（wǒ）們可以利用這種特殊類型的MAC地址廣（guǎng）播包（bāo）來測試一台（tái）主機的網卡是否處於混雜（zá）模式，如（rú）果這台機子返回了ARP應答（dá）包說明這台主機處於混雜模式，相反（fǎn）則處於下常模式。

設想4： 與之相關的設想太多了，留給你自已想吧...

2. ARP協議在網絡安全中的（de）應用簡介

基於以上幾（jǐ）個設想，我做了這個工具，用（yòng）PACKET32庫來處理包的發（fā）送與接（jiē）收。

該工（gōng）具有兩個模塊，一個是sniffer檢測，主要使用設想3，另一塊是ARP欺騙工具，主要用了設想（xiǎng）1與設想2，還可以（yǐ）由你（nǐ）自行擴展。

Sniffer檢（jiǎn）測:輸入檢（jiǎn）測的起始和終止IP，單擊（jī）開始檢測就可以了，檢測完成（chéng）後，如果相（xiàng）應的IP是綠帽子圖標，說明這個（gè）IP處於（yú）正常模式，如果是紅帽子則說明這（zhè）個網（wǎng）卡處（chù）於混雜模式。

Arp欺騙(冒充IP)：選（xuǎn）擇發送請求包，輸入目的（de）起始和終（zhōng）止地址，如果輸入要冒充的（de）IP，再填（tián）上一個假的MAC，就可以發送了，當然這個（gè）過程（chéng）中可以設（shè）為循環  :")  嗬嗬！ 別太損了！

Arp欺騙(欺（qī）騙IP)：選擇發送應答包，輸（shū）入被欺騙主機的IP和他的MAC地址再（zài）輸入原主機的IP，目的地址隨（suí）便啦，不存在（zài）就行（háng）（也可以指向你的IP：）好了（le），單擊發送就行了！ 這個他慘了（le）！