前段时间是各种各样的ARP进犯和带ARP进犯的木马在局域网作怪的巅峰时期。比方网页、电影、外挂、私服、插件，等等，它们都或许带有A R P进犯。一起我信赖许多人也已经经历过，而且有一套自己的解决方法。而下面我要介绍的则是怎么运用Winpcap结构自己自ARP扫描和诈骗东西，而且在最终给出了一些防护ARP扫描和诈骗的方法。

在结构自己的ARP扫描和诈骗东西之前，咱们首先要理解ARP扫描和诈骗是运用了什么漏洞以及它的完成原理。

ARP扫描和诈骗运用的漏洞

咱们知道，在局域网中实际传输的是数据帧．而且数据帧里有方针主机的MAC地址。在以太网中，一个主机要和另一个主机进行直接通讯，必须要知道方针主机的MAC地址．但主机是怎么取得这个方针的MAC地址呢?它便是经过地址解析协议(A RP)取得的。所谓“地址解析“。便是主机在发送数据帧前将方针lP地址转化成方针MAC地址的进程。ARP协议的基本功能便是经过方针设备的lP地址，查询方针设备的MAC地址，以保证通讯的顺利进行。

因此每台安装有TCP／iP的电脑里都有一个A R P缓存表．表里的l P地址与MAC地址是一一对应的，如图1所示。一起，咱们还应理解的是这个ARP缓存表是动态变化的，它依据接收到的数据帧动态改动各个iP地址对应的MAC地址，还有便是它并不检查lP地址与MAC地址的一一对应是否真正的正确。因此咱们才能够运用它的这个”不检查正确性对应”的漏洞来完成咱们自己的ARP扫描和诈骗。

ARP扫描和诈骗的原理

首先咱们应该理解的是咱们能够依据自己的需要结构ARP包，而且用Winpcap中的相应函数将咱们结构的ARP包发送到意图地址，然后达到咱们的意图。

1．ArP扫描的原理

ARP扫描的原理便是结构ARP恳求包．并将咱们结构的ARP恳求包以播送的方式向局域网内播送。这样与咱们所结构的AFIP包中相同的主机就会给咱们发送一个呼应包，经过这个呼应包．咱们就能够取得该lP对应的MAC地址。这便是ARP扫描的原理。

2.ARP诈骗的原理

现在的监听技能有许多，可是咱们常用的sn iffer东西只能在根据Hub的网络中起作用，而不能在哪怕是只要交流机的网络中起作用，这时就只要想其他方法了。而本文要介绍的ARP诈骗技能就能完成常用sniffer东西不能完成的监听。根据ARP诈骗的实质便是结构一个ARP应答包．然后修正被诈骗主机的ARP缓存表，这样使得原本发送到正确意图地的数据包先抵达咱们的主机，然后再由咱们的主机转发到它真正想去的意图地。下面经过一个实际比如来阐明这个进程。

首先假设有3主机A和B．还有咱们自己的主机C，而且位于同一个交流式局域网中，接下来剖析一下ARP诈骗的原理。

A与B正在通讯，如果咱们想要探听A→B通讯的内容，那么就能够给A发送一个假造的ArP回应包。而且告诉A．B的lP所对应地MAC地址为主机C的MAC地址。这样A也就会相应地改写自己的ARP缓存+将发送给B的数据源源不断地发送到咱们的主机c上．这样咱们就能够对接收到的数据包进行剖析，从中取得咱们想要的东西了。当然，因为ARP缓存是动态的，有超时时间限制，所以咱们必须每隔一段时间就给A发送一个ARP回应包。尽管这样咱们就达到了诈骗监听的意图，可是A到B的通讯却被中止了，为了不让B发现，咱们还要对每次接收到的数据包进行转发，行将本该发给B的数据全部经过c转发给B。同样的道理，咱们还能够监听B-A的数据包，这样咱们就能够监听到A.B之间的通讯的所有内容．然后完成对A、B通讯的双向监听了，如图2所示。

经过上面的介绍，我们应该弄理解了什么是ARP扫描和诈骗。接下来解说怎么用现在非常流行的抓包开发包Winpcap结构咱们自己的ARP扫描和诈骗东西。

ARP扫描和诈骗的完成

1.AlH扫描的完成

这儿咱们运用M/crosof tPlatformSDK中提供的用来取得方针主机MAe地址的函数来完成．其描述为:

2.Altl诈骗的完成

因为我编写的ARP扫描和诈骗的代码太多，所以这儿我只给出中心代码的解说，至于完好的代码。需要的朋友能够给我E - mail。

防护ARP扫描和诈骗的方法

经过对我所搜集的资料的收拾，我归纳了下面的一些防护ARP扫描和诈骗的方法，期望能对我们有所帮助。

1.不要把你的网络安全信赖联系建立在lP或MAC基础上，抱负的联系应该建立在IP+MAC基础上。

2.设置静态的MAC →lP对应表，不要让主机改写你设定好的转化表。

3.除非很有必要.不然中止运用ARP.将ARP作为永久条目保存在对应表中。

4.运用ARP服务器。经过该服务器查找自己的ARP转化表来呼应其他机器的ArP播送，保证这台ARP服务器不被Hack。

5.运用Proxy署理lP传输。

6.运用硬件屏蔽主机。设置好你的路由.保证I P地址能抵达合法的途径。留意运用交流集线器和网桥是无法阻挠ARP诈骗的。

7.定期甩呼应的lP包中取得的一个rarp恳求来检查ARP呼应的真实性。

8.定期检查主机上的ARP缓存。

9.运用防火墙连续监控网络。留意在运用SNMP的情况下,ARP的诈骗有或许导致圈套包丢掉