ARP網絡神兵WinArpAttacker - 0xcc

ARP網絡神兵WinArpAttacker

現在網上很多關于ARP攻擊的文章，但多數是描述其原理，少數會以某個工具作為例子展開說明，但感覺說的還是不夠詳細，今天寫個文章以實戰介紹一個叫“WinArpAttacker”的工具。

　　WinArpAttacker是一個很出名的ARP攻擊工具，功能也很強大，沒有用過的朋友可以在上網搜一下，下載下傳這裡就不提供了。這裡先簡單介紹一下這工具的基本用法（如果對于ARP攻擊原理不熟悉的朋友可以先看看《Arp小記》:>）：

　　1. 首先是下載下傳軟體，然後安裝（廢話…），注意一下：WinArpAttacker需要WinPcap作為支援，是以你的機器得先安裝WinPcap，我現在裝的是4.0.0，不知道還有沒有更新的版本。

　　2. 運作WinArpAttacker.EXE，噢，開始了（這裡的示範隻是為學習之用，請各位不要大搞破壞，不然警察叔叔找你，我不負責！！！）。首先，我們先來掃一下區域網路的機器，如圖：

發現了不少機器～～呵呵～這次被攻擊的苦主是我的另外一台機器，IP是192.168.56.178,如圖：

OK，一切都準備就緒了，現在正式介紹一下WinArpAttacker的功能：

　　在ToolBar裡面，可以看到Attack這個圖示，裡面有幾個選項：

　　1）.Flood: 連續并且大量地發送“Ip Conflict”包（此功能有可能會導緻對方DOWN機）。

　　2）.BanGateway:　發包欺騙網關，告訴網關錯誤的目标機MAC位址，導緻目标機無法接收到網關發送的包（這個功能我還沒有研究透，因為對目标機器使用這種攻擊，但它還是能上網，可能是公司的網關有ARP防火牆作保護）。

　　3）.Ip Conflict: 發送一個IP一樣但Mac位址不一樣的包至目标機，導緻目标機IP沖突。（頻繁發送此包會導緻機器斷網），這個和第一功能的效果我就不截圖了，如果被攻擊，效果很明顯，在你機器的右下角會有個IP沖突的标志….這裡就不多說了。

　　4）.Sniffgateway: 同時ARP欺騙網關和目标機，使你可以監聽目标機的通信。

　　5）.SniffHosts：欺騙多個主機，使你可以監聽他們之間的通信。（危險！）

　　6）.SniffLan：…欺騙區域網路的所有機器，說是你才是網關，然後通過這個你可以監聽整個網絡…（危險！！！）

　　以上是Attack功能的介紹，接下來是Detect功能，它的主要作用是檢查現在網絡上基于ARP的攻擊（這裡不詳細介紹）。

　　3.　OK，然後這裡要主要介紹的Send功能(見ToolBar)，Send的主要功能是讓你自己能夠組建ARP標頭，呵呵，有了這個，你就可以實作修改别人機器的ARP緩存了。

　　首先，先看看我們的目标機(苦主)現在的ARP緩存狀态，如圖：

攻擊者現在IP是192.168.56.130，MAC位址是:00-1E-4F-AB-B1-E8。然後根據《Arp小記》裡面的說明，當發送一個ARP應答包給目标機（苦主）時，目标機應該會增加一條IP-MAC記錄（記錄不存在時）/修改IP-MAC記錄（記錄存在時）。好的，現在我們就自己搞標頭吧，如圖：

注意看，Dst的Mac位址最後2位我改為了E0，為的就是欺騙目标機，修改其ARP快取記錄。填完資料後，Send……現在，我們再一起看看目标機的ARP緩存如何：

可以看到，現在192.168.56.130的機器的MAC位址已經修改了，和剛才自己組裝的包的資訊是一緻的，最後2位是E0!!!嗯～～ARP攻擊成功了。剛才上面提到的Attack的6個選項，其實都可以用Send功能自己實作的，這裡就不啰嗦了。

下載下傳位址：

http://www.100gsoft.cn/soft/sort01/sort057/down-2643.html

thunder://QUFmdHA6Ly9kb3duOmRvd25ANjAuMTcyLjEuMjAzL1dpbkFycEF0dGFja2VyIFYzLjUucmFyWlo=

英文版:http://www.hackerdown.com/soft/273.htm

http://freesoft.hackbase.net/download/20060930WinArpAttacker.rar?weidun=60474ob1e4728abd6a88958346d63ff9040cb5