ARPKiller是一款超好用的ARP防火墻軟件，能夠幫助用戶更輕松的檢測局域網(wǎng)攻擊和arp欺騙，幫助用戶保護自己的局域網(wǎng)安全，有需要的朋友可以來綠色資源網(wǎng)下載使用！

基本介紹

ARPKiller 使用手冊

DigitalBrain  2001/11/08

目錄:

1. ARP協(xié)議簡介，及其在網(wǎng)絡(luò)安全中的應(yīng)用;

arpun.com

2. ARPKiller使用說明;

正文

1. ARP協(xié)議簡介，及其在網(wǎng)絡(luò)安全中的應(yīng)用

ARP: Address Resolution Protocol ,地址解析協(xié)議故名思意，就是用地解地址的協(xié)議:") ,廢話！，具體點就是將網(wǎng)絡(luò)層（IP層，也就是相當于ISO OSI 的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當于ISO OSI的第二層）的mac地址。分析一下整個廣域網(wǎng)和局域網(wǎng)的結(jié)構(gòu)：廣域網(wǎng)用具有層次體系的IP協(xié)議來進行通訊，可是具體到各個局域網(wǎng)又如何來辨別各個主機呢？沒錯！就是通地MAC地址。設(shè)想有兩臺主機A(192.168.0.1:abc111111111)和B(192.168.0.2:

abc222222222)，當主機A想與主機B進行通訊時，A只知道B的IP地址是192.168.0.2,當數(shù)據(jù)包封裝到MAC層時他如何知道B的MAC地址呢，一般的OS中是這樣做的，在OS的內(nèi)核中保存一分MAC地址表(arp -a可以看見這個表的內(nèi)容)，表中有IP和MAC地址的對應(yīng)關(guān)系，當要過進行通訊時，系統(tǒng)先查看這個表中是否有相關(guān)的表項，如果有就直接使用，如果沒有系統(tǒng)就會發(fā)出一個ARP請求包,這個包的目的地址為ffffffffffff的廣播地址，他的作用就是詢問局域網(wǎng)內(nèi)IP地址為192.168.0.2的主機的MAC地址，就像是A在局域網(wǎng)中喊"我在找一個IP地址為192.168.0.2的主機，你的MAC地址是多少，聽到了請回話！，我的MAC地址是abc111111111。"，隨后所有主機都會接收到這個包，但只有IP為192.168.0.2的B才會響應(yīng)一個ARP應(yīng)答包給主機A,他說"你個老色鬼！，找我有啥事嗎，我的MAC地址是abc222222222",好這下主機A就知道B的MAC地址了，于時他就可以封包發(fā)送了，同時主機A將B的MAC地址放入ARP緩沖中，隔一定時間就將其刪除，確保不斷更新。（注意，在這個過程中，如果主機A在發(fā)送ARP請求時，假如該局域網(wǎng)內(nèi)有一臺主機C的IP和A相同，C就會得知有一臺主機的IP地址同自已的IP地址相同，于時就蹦出一個IP沖突的對話筐：）。與ARP相對應(yīng)的還有一個協(xié)議RARP:ReverseAddress Resolution Protocol，反向地址解析協(xié)議，該協(xié)議主要用于工作站模型動態(tài)獲取IP的過程中，作用是由MAC地址向服務(wù)器取回IP地址。

明白了ARP的工作原理之后就可以大刀闊斧的玩MAC了，:")設(shè)想1： 既然一個主機接收到與自已相同IP發(fā)出的ARP請求就會蹦出一個筐來，哪么要是我偽造主機X的IP向局域網(wǎng)發(fā)ARP請求，或都是發(fā)個不停，同時自已的MAC也是偽造的，哪會怎么樣....

設(shè)想2： 既然主機Y接收到一個ARP請求包后就會把這個包中的信息放入到ARP表中，哪么我以一個局域網(wǎng)網(wǎng)關(guān)或都任意一臺不想讓Z訪問的機子IP的身份，同時以一個不存在的MAC向Z發(fā)送ARP應(yīng)答報文會怎樣？，，，不想說主機Z甭想上網(wǎng)或都是訪問哪臺機子了:")設(shè)想3： 網(wǎng)卡既可以工作在正常模式（只能接收到目的MAC為ffffffffffff的廣播包或都是目的MAC與網(wǎng)卡MAC相同的包），也可以工作在混雜模式（網(wǎng)卡不檢查目的MAC接收的有的包,sniffer就是用這種原理來竊取網(wǎng)絡(luò)上的數(shù)據(jù)的），如何來鑒別主機的網(wǎng)卡處于什么模式呢？然而一般的OS對某種特殊類型的MAC廣播包(目標地址為fffffffffffe)在正常模式下是拒絕的，而在混雜模式下無條件的接收，哪么我們可以利用這種特殊類型的MAC地址廣播包來測試一臺主機的網(wǎng)卡是否處于混雜模式，如果這臺機子返回了ARP應(yīng)答包說明這臺主機處于混雜模式，相反則處于下常模式。

設(shè)想4： 與之相關(guān)的設(shè)想太多了，留給你自已想吧...

2. ARP協(xié)議在網(wǎng)絡(luò)安全中的應(yīng)用簡介

基于以上幾個設(shè)想，我做了這個工具，用PACKET32庫來處理包的發(fā)送與接收。

該工具有兩個模塊，一個是sniffer檢測，主要使用設(shè)想3，另一塊是ARP欺騙工具，主要用了設(shè)想1與設(shè)想2，還可以由你自行擴展。

Sniffer檢測:輸入檢測的起始和終止IP，單擊開始檢測就可以了，檢測完成后，如果相應(yīng)的IP是綠帽子圖標，說明這個IP處于正常模式，如果是紅帽子則說明這個網(wǎng)卡處于混雜模式。

Arp欺騙(冒充IP)：選擇發(fā)送請求包，輸入目的起始和終止地址，如果輸入要冒充的IP，再填上一個假的MAC，就可以發(fā)送了，當然這個過程中可以設(shè)為循環(huán)  :")  呵呵！ 別太損了！

Arp欺騙(欺騙IP)：選擇發(fā)送應(yīng)答包，輸入被欺騙主機的IP和他的MAC地址再輸入原主機的IP，目的地址隨便啦，不存在就行（也可以指向你的IP：）好了，單擊發(fā)送就行了！ 這個他慘了！