前段时间是各种各样的ARP攻击和带ARP攻击的木马在局域网作怪的巅峰时期。比如网页、电影、外挂、私服、插件，等等，它们都可能带有A R P攻击。同时我相信很多人也已经经历过，并且有一套自己的解决办法。而下面我要介绍的则是如何利用Winpcap构造自己自ARP扫描和欺骗工具，并且在最后给出了一些防御ARP扫描和欺骗的方法。腾讯文化在构造自己的ARP扫描和欺骗工具之前，我们首先要明白ARP扫描和欺骗是利用了什么漏洞以及它的实现原理。腾讯文化ARP扫描和欺骗利用的漏洞腾讯文化我们知道，在局域网中实际传输的是数据帧．并且数据帧里有目标主机的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址．但主机是如何获得这个目标的MAC地址呢?它就是通过地址解析协议(A RP)获得的。所谓“地址解析“。就是主机在发送数据帧前将目标lP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的lP地址，查询目标设备的MAC地址，以保证通信的顺利进行。腾讯文化因此每台安装有TCP／iP的电脑里都有一个A R P缓存表．表里的l P地址与MAC地址是一一对应的，如图1所示。同时，我们还应明白的是这个ARP缓存表是动态变化的，它根据接收到的数据帧动态改变各个iP地址对应的MAC地址，还有就是它并不检查lP地址与MAC地址的一一对应是否真正的正确。因此我们才可以利用它的这个”不检查正确性对应”的漏洞来实现我们自己的ARP扫描和欺骗。腾讯文化ARP扫描和欺骗的原理腾讯文化首先我们应该明白的是我们可以根据自己的需要构造ARP包，并且用Winpcap中的相应函数将我们构造的ARP包发送到目的地址，从而达到我们的目的。腾讯文化1．ArP扫描的原理腾讯文化ARP扫描的原理就是构造ARP请求包．并将我们构造的ARP请求包以广播的形式向局域网内广播。这样与我们所构造的AFIP包中相同的主机就会给我们发送一个响应包，通过这个响应包．我们就可以获得该lP对应的MAC地址。这就是ARP扫描的原理。腾讯文化2.ARP欺骗的原理腾讯文化现在的监听技术有很多，但是我们常用的sn iffer工具只能在基于Hub的网络中起作用，而不能在哪怕是只有交换机的网络中起作用，这时就只有想别的办法了。而本文要介绍的ARP欺骗技术就能实现常用sniffer工具不能实现的监听。基于ARP欺骗的实质就是构造一个ARP应答包．从而修改被欺骗主机的ARP缓存表，这样使得原本发送到正确目的地的数据包先到达我们的主机，然后再由我们的主机转发到它真正想去的目的地。下面通过一个实际例子来说明这个过程。腾讯文化首先假设有3主机A和B．还有我们自己的主机C，并且位于同一个交换式局域网中，接下来分析一下ARP欺骗的原理。腾讯文化A与B正在通信，如果我们想要刺探A→B通信的内容，那么就可以给A发送一个伪造的ArP回应包。并且告诉A．B的lP所对应地MAC地址为主机C的MAC地址。这样A也就会相应地刷新自己的ARP缓存+将发送给B的数据源源不断地发送到我们的主机c上．这样我们就可以对接收到的数据包进行分析，从中获得我们想要的东西了。当然，因为ARP缓存是动态的，有超时时间限制，所以我们必须每隔一段时间就给A发送一个ARP回应包。虽然这样我们就达到了欺骗监听的目的，但是A到B的通信却被停止了，为了不让B发现，我们还要对每次接收到的数据包进行转发，即将本该发给B的数据全部经过c转发给B。同样的道理，我们还可以监听B-A的数据包，这样我们就可以监听到A.B之间的通信的所有内容．从而实现对A、B通信的双向监听了，如图2所示。腾讯文化通过上面的介绍，大家应该弄明白了什么是ARP扫描和欺骗。接下来讲解如何用现在十分流行的抓包开发包Winpcap构造我们自己的ARP扫描和欺骗工具。腾讯文化ARP扫描和欺骗的实现腾讯文化1.AlH扫描的实现腾讯文化这里我们利用M/crosof tPlatformSDK中提供的用来获得目标主机MAe地址的函数来实现．其描述为:腾讯文化2.Altl欺骗的实现腾讯文化由于我编写的ARP扫描和欺骗的代码太多，所以这里我只给出核心代码的讲解，至于完整的代码。需要的朋友可以给我E - mail。腾讯文化防御ARP扫描和欺骗的方法腾讯文化通过对我所搜集的资料的整理，我归纳了下面的一些防御ARP扫描和欺骗的方法，希望能对大家有所帮助。腾讯文化1.不要把你的网络安全信任关系建立在lP或MAC基础上，理想的关系应该建立在IP+MAC基础上。腾讯文化2.设置静态的MAC →lP对应表，不要让主机刷新你设定好的转换表。腾讯文化3.除非很有必要.否则停止使用ARP.将ARP作为永久条目保存在对应表中。腾讯文化4.使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ArP广播，确保这台ARP服务器不被Hack。腾讯文化5.使用Proxy代理lP传输。腾讯文化6.使用硬件屏蔽主机。设置好你的路由.确保I P地址能到达合法的路径。注意使用交换集线器和网桥是无法阻止ARP欺骗的。腾讯文化7.定期甩响应的lP包中获得的一个rarp请求来检查ARP响应的真实性。腾讯文化8.定期检查主机上的ARP缓存。腾讯文化9.使用防火墙连续监控网络。注意在使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失腾讯文化