ARPKiller是一款超好用的ARP防火墻軟件，能夠幫助用戶(hù)更輕松的檢測(cè)局域網(wǎng)攻擊和arp欺騙，幫助用戶(hù)保護(hù)自己的局域網(wǎng)安全，有需要的朋友可以來(lái)綠色資源網(wǎng)下載使用！

基本介紹

ARPKiller 使用手冊(cè)

DigitalBrain  2001/11/08

目錄:

1. ARP協(xié)議簡(jiǎn)介，及其在網(wǎng)絡(luò)安全中的應(yīng)用;

arpun.com

2. ARPKiller使用說(shuō)明;

正文

1. ARP協(xié)議簡(jiǎn)介，及其在網(wǎng)絡(luò)安全中的應(yīng)用

ARP: Address Resolution Protocol ,地址解析協(xié)議故名思意，就是用地解地址的協(xié)議:") ,廢話！，具體點(diǎn)就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于ISO OSI 的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于ISO OSI的第二層）的mac地址。分析一下整個(gè)廣域網(wǎng)和局域網(wǎng)的結(jié)構(gòu)：廣域網(wǎng)用具有層次體系的IP協(xié)議來(lái)進(jìn)行通訊，可是具體到各個(gè)局域網(wǎng)又如何來(lái)辨別各個(gè)主機(jī)呢？沒(méi)錯(cuò)！就是通地MAC地址。設(shè)想有兩臺(tái)主機(jī)A(192.168.0.1:abc111111111)和B(192.168.0.2:

abc222222222)，當(dāng)主機(jī)A想與主機(jī)B進(jìn)行通訊時(shí)，A只知道B的IP地址是192.168.0.2,當(dāng)數(shù)據(jù)包封裝到MAC層時(shí)他如何知道B的MAC地址呢，一般的OS中是這樣做的，在OS的內(nèi)核中保存一分MAC地址表(arp -a可以看見(jiàn)這個(gè)表的內(nèi)容)，表中有IP和MAC地址的對(duì)應(yīng)關(guān)系，當(dāng)要過(guò)進(jìn)行通訊時(shí)，系統(tǒng)先查看這個(gè)表中是否有相關(guān)的表項(xiàng)，如果有就直接使用，如果沒(méi)有系統(tǒng)就會(huì)發(fā)出一個(gè)ARP請(qǐng)求包,這個(gè)包的目的地址為ffffffffffff的廣播地址，他的作用就是詢(xún)問(wèn)局域網(wǎng)內(nèi)IP地址為192.168.0.2的主機(jī)的MAC地址，就像是A在局域網(wǎng)中喊"我在找一個(gè)IP地址為192.168.0.2的主機(jī)，你的MAC地址是多少，聽(tīng)到了請(qǐng)回話！，我的MAC地址是abc111111111。"，隨后所有主機(jī)都會(huì)接收到這個(gè)包，但只有IP為192.168.0.2的B才會(huì)響應(yīng)一個(gè)ARP應(yīng)答包給主機(jī)A,他說(shuō)"你個(gè)老色鬼！，找我有啥事嗎，我的MAC地址是abc222222222",好這下主機(jī)A就知道B的MAC地址了，于時(shí)他就可以封包發(fā)送了，同時(shí)主機(jī)A將B的MAC地址放入ARP緩沖中，隔一定時(shí)間就將其刪除，確保不斷更新。（注意，在這個(gè)過(guò)程中，如果主機(jī)A在發(fā)送ARP請(qǐng)求時(shí)，假如該局域網(wǎng)內(nèi)有一臺(tái)主機(jī)C的IP和A相同，C就會(huì)得知有一臺(tái)主機(jī)的IP地址同自已的IP地址相同，于時(shí)就蹦出一個(gè)IP沖突的對(duì)話筐：）。與ARP相對(duì)應(yīng)的還有一個(gè)協(xié)議RARP:ReverseAddress Resolution Protocol，反向地址解析協(xié)議，該協(xié)議主要用于工作站模型動(dòng)態(tài)獲取IP的過(guò)程中，作用是由MAC地址向服務(wù)器取回IP地址。

明白了ARP的工作原理之后就可以大刀闊斧的玩MAC了，:")設(shè)想1： 既然一個(gè)主機(jī)接收到與自已相同IP發(fā)出的ARP請(qǐng)求就會(huì)蹦出一個(gè)筐來(lái)，哪么要是我偽造主機(jī)X的IP向局域網(wǎng)發(fā)ARP請(qǐng)求，或都是發(fā)個(gè)不停，同時(shí)自已的MAC也是偽造的，哪會(huì)怎么樣....

設(shè)想2： 既然主機(jī)Y接收到一個(gè)ARP請(qǐng)求包后就會(huì)把這個(gè)包中的信息放入到ARP表中，哪么我以一個(gè)局域網(wǎng)網(wǎng)關(guān)或都任意一臺(tái)不想讓Z訪問(wèn)的機(jī)子IP的身份，同時(shí)以一個(gè)不存在的MAC向Z發(fā)送ARP應(yīng)答報(bào)文會(huì)怎樣？，，，不想說(shuō)主機(jī)Z甭想上網(wǎng)或都是訪問(wèn)哪臺(tái)機(jī)子了:")設(shè)想3： 網(wǎng)卡既可以工作在正常模式（只能接收到目的MAC為ffffffffffff的廣播包或都是目的MAC與網(wǎng)卡MAC相同的包），也可以工作在混雜模式（網(wǎng)卡不檢查目的MAC接收的有的包,sniffer就是用這種原理來(lái)竊取網(wǎng)絡(luò)上的數(shù)據(jù)的），如何來(lái)鑒別主機(jī)的網(wǎng)卡處于什么模式呢？然而一般的OS對(duì)某種特殊類(lèi)型的MAC廣播包(目標(biāo)地址為fffffffffffe)在正常模式下是拒絕的，而在混雜模式下無(wú)條件的接收，哪么我們可以利用這種特殊類(lèi)型的MAC地址廣播包來(lái)測(cè)試一臺(tái)主機(jī)的網(wǎng)卡是否處于混雜模式，如果這臺(tái)機(jī)子返回了ARP應(yīng)答包說(shuō)明這臺(tái)主機(jī)處于混雜模式，相反則處于下常模式。

設(shè)想4： 與之相關(guān)的設(shè)想太多了，留給你自已想吧...

2. ARP協(xié)議在網(wǎng)絡(luò)安全中的應(yīng)用簡(jiǎn)介

基于以上幾個(gè)設(shè)想，我做了這個(gè)工具，用PACKET32庫(kù)來(lái)處理包的發(fā)送與接收。

該工具有兩個(gè)模塊，一個(gè)是sniffer檢測(cè)，主要使用設(shè)想3，另一塊是ARP欺騙工具，主要用了設(shè)想1與設(shè)想2，還可以由你自行擴(kuò)展。

Sniffer檢測(cè):輸入檢測(cè)的起始和終止IP，單擊開(kāi)始檢測(cè)就可以了，檢測(cè)完成后，如果相應(yīng)的IP是綠帽子圖標(biāo)，說(shuō)明這個(gè)IP處于正常模式，如果是紅帽子則說(shuō)明這個(gè)網(wǎng)卡處于混雜模式。

Arp欺騙(冒充IP)：選擇發(fā)送請(qǐng)求包，輸入目的起始和終止地址，如果輸入要冒充的IP，再填上一個(gè)假的MAC，就可以發(fā)送了，當(dāng)然這個(gè)過(guò)程中可以設(shè)為循環(huán)  :")  呵呵！ 別太損了！

Arp欺騙(欺騙IP)：選擇發(fā)送應(yīng)答包，輸入被欺騙主機(jī)的IP和他的MAC地址再輸入原主機(jī)的IP，目的地址隨便啦，不存在就行（也可以指向你的IP：）好了，單擊發(fā)送就行了！ 這個(gè)他慘了！