不久前，各种ARP攻击和带有ARP攻击的特洛伊木马在局域网中达到了顶峰。例如，网页、电影、插件、个人服装、插件等。所有这些都可能带有一个R p攻击。与此同时，我相信许多人已经经历过，并有自己的解决方案。下面我想介绍的是如何使用Winpcap构建我自己的自我ARP扫描和欺骗工具，最后，我给出了一些防止ARP扫描和欺骗的方法。在构建我们自己的ARP扫描和欺骗工具之前，我们必须首先了解ARP扫描和欺骗利用了哪些漏洞及其工作原理。ARP扫描和欺骗利用漏洞我们知道局域网中实际传输的是一个数据帧，目标主机的媒体访问控制地址在数据帧中。在以太网中，如果一台主机想直接与另一台主机通信，它必须知道目标主机的MAC地址。但是主机如何获得目标的媒体访问控制地址呢？它是通过地址解析协议(a RP)。所谓的“地址解析”。这是主机在发送数据帧之前将目标lP地址转换为目标MAC地址的过程。ARP协议的基本功能是通过目标设备的lP地址来查询目标设备的MAC地址，以确保通信顺畅。因此，每台配备了TCP/IP的计算机都有一个远程访问缓存表。我在桌子里 如图1所示，p地址和媒体访问控制地址一一对应。同时，我们也应该理解这个ARP缓存表是动态变化的，它根据接收到的数据帧动态地改变每个iP地址对应的MAC地址，并且它也不检查lP地址和MAC地址之间的一一对应是否真的正确。因此，我们可以利用其“不检查正确性对应”的弱点来实现自己的ARP扫描和欺骗。ARP扫描和欺骗的原理首先，我们应该明白我们可以根据自己的需要构造ARP包，并使用Winpcap中的相应功能将我们构造的ARP包发送到目的地址，从而实现我们的目标。1.ARP扫描的原理ARP扫描的原理是构造ARP请求包，并将我们构造的ARP请求包以广播的形式广播到局域网。这样，与我们构建的AFIP包相同的主机将向我们发送一个响应包，通过该响应包，我们可以获得对应于lP的媒体访问控制地址。这是ARP扫描的原理。2.ARP欺骗原理有许多监控技术，但通常使用sn 如果工具只能在基于集线器的网络中工作，甚至不能在有交换机的网络中工作，那么只有另一种方法。然而，本文将介绍的ARP欺骗技术可以实现普通嗅探器工具无法实现的监控。ARP欺骗的本质是构造一个ARP应答包，从而修改被欺骗主机的ARP缓存表，使最初发送到正确目的地的包首先到达我们的主机，然后由我们的主机转发到它真正想去的目的地。下面是一个实例来说明这个过程。首先，假设有3台主机甲和乙，以及我们自己的主机丙，它们位于同一个交换局域网中。接下来，分析ARP欺骗的原理。甲和乙正在交流。如果我们想窥探甲→乙通信的内容，我们可以发送一个假的ArP回复包。告诉甲乙双方lP对应的媒体访问控制地址是主机C的媒体访问控制地址，这样，甲乙双方会相应刷新自己的ARP缓存，并将发送给甲乙双方的数据不断发送到我们的主机C，这样我们就可以分析收到的数据包，从中得到我们想要的。当然，因为ARP缓存是动态的，并且有超时限制，所以我们必须每隔一段时间向发送一个ARP响应包。虽然我们以这种方式达到了欺骗和监视的目的，但是甲乙双方的通信已经停止。为了不让乙发现，我们必须转发每一个接收到的数据包，也就是说，所有应该发送给乙的数据都要通过丙转发给乙。同样的道理，我们也可以监听乙-甲的数据包，这样我们就可以监听甲和乙之间通信的所有内容，从而实现甲和乙之间通信的双向监控，如图2所示。通过以上介绍，我们应该了解什么是ARP扫描和欺骗。接下来，我将解释如何用非常流行的抓取开发包Winpcap构建我们自己的ARP扫描和欺骗工具。ARP扫描和欺骗的实现1。实施1。在这里，我们使用TPLATFORM SDK的M/Cross中提供的函数来获得目标主机的MAe地址。它的描述是:2。ALTL欺骗的实现由于我已经写了太多的ARP扫描和欺骗代码，我将在这里只给出核心代码的解释，至于完整的代码。需要它的朋友可以给我发电子邮件。防御ARP扫描和欺骗的方法通过整理我收集的数据，我总结了以下防御ARP扫描和欺骗的方法，希望对大家有所帮助。1.不要把你的网络安全信任关系建立在lP或MAC上。理想的关系应该基于ip媒体访问控制。2.设置静态媒体访问控制→lP对应表，不要让主机刷新您设置的转换表。3.除非有必要，否则停止使用ARP。将ARP保存为相应表中的永久条目。4.使用ARP服务器。通过服务器找到自己的ArP转换表来响应其他机器的ARP广播，确保这个ARP服务器不被黑客攻击。5.使用代理代理lP传输。6.使用硬件保护主机。设置你的路线。确保I P地址可以到达合法路径。请注意，使用交换集线器和网桥无法防止ARP欺骗。7.从定期被拒绝的lP数据包中获得的一种rarp请求，用于检查arp响应的真实性。8.定期检查主机上的ARP缓存。9.使用防火墙持续监控网络。请注意，当使用SNMP时，ARP欺骗可能会导致陷阱数据包丢失