网络神兵WinArpAttacker 3.7

　　网络神兵 WinArpAttacker 3.7

　　比网络终结者_P2P终结者_网络执法官_聚生网管等强

　　是网管的一个好工具，可以查看攻击者的IP地址及MAC地址及其攻击行为，还有自我保护功能，自动解除ARP欺骗的MAC绑定。

　　无需安装，直接运行WinArpAttacker.exe

　　不过需要winpcap支持，如果没有请先安装WinPcap_3_1.exe

　　本软件不但能防御ARP欺骗，同时有ARP攻击功能，请小心使用!

　　文章出自：http://www.arpun.com/article/sort026/sort06/info-70.html

　　主要功能：

　　1、ARP机器列表扫描

　　2、基于ARP的各种攻击方法：定时IP冲突、IP冲突洪水、禁止上网、禁止与其他机器通讯、监听与网关和其他机器的通讯数据、ARP代理。

　　3、ARP攻击检测、主机状态检测、本地ARP表变化检测

　　4、检测到其他机器的ARP监听攻击后可进行防护，自动恢复正确的ARP表

　　5、把ARP数据包保存到文件

　　6、可发送手工定制ARP包

　　WinArpAttacker这个ARP攻击软件的使用方法。

　　WinArpAttacker的界面分为四块输出区域。

　　第一个区域：主机列表区，显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。

　　另外，还有一些ARP数据包和转发数据包统计信息，如

　　ArpSQ：是该机器的发送ARP请求包的个数

　　ArpSP：是该机器的发送回应包个数

　　ArpRQ：是该机器的接收请求包个数

　　ArpRQ：是该机器的接收回应包个数

　　Packets:是转发的数据包个数，这个信息在进行SPOOF时才有用。

　　Traffic：转发的流量，是K为单位，这个信息在进行SPOOF时才有用。

　　第二个区域是检测事件显示区，在这里显示检测到的主机状态变化和攻击事件。能够检测的事件列表请看英文说明文档。

　　主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。当你用鼠标在上面移动时，会显示对于该事件的说明。

　　第三个区域显示的是本机的ARP表中的项，这对于实时监控本机ARP表变化，防止别人进行SPOOF攻击是很有好处的。

　　第四个区域是信息显示区，主要显示软件运行时的一些输出，如果运行有错误，则都会从这里输出。

　　好，软件界面就讲到这里。

　　下面我们来说明一下几个重要功能。

　　一、扫描。

　　当点击“Scan”工具栏的图标时，软件会自动扫描局域网上的机器。并且显示在其中。

　　当点击“Scan checked"时，要求在机器列表中选定一些机器才扫描，目的是扫描这些选定机器的情况。

　　当点击"Advanced"时，会弹出一个扫描框。这个扫描框有三个扫描方式。

　　第一个是扫描一个主机，获得其MAC地址。

　　第二个方式是扫描一个网络范围，可以是一个C类地址，也可以是一个B类地址，建议不要用B类地址扫描，因为太费时间，对网络有些影响。

　　可设为本地的C类地址扫描，也可设为另一个C类地址，如192.168.0.1-254。也可以扫描成功。

　　第三个方式是多网段扫描，如果本机存在两个以上IP地址，就会出现两个子网选项。下面有两个选项，一个是正常扫描，扫描在不在线，另一个是反监听扫描，可以把

　　正在监听的机器扫描出来。

　　好，扫描功能就这些。下面我们讲攻击。

　　二、攻击

　　攻击功能有六个：

　　FLOOD：不间断的IP冲突攻击

　　BANGATEWAY：禁止上网

　　IPConflict：定时的IP冲突

　　SniffGateway：监听选定机器与网关的通讯

　　SniffHosts：监听选定的几台机器之间的通讯

　　SniffLan：监听整个网络任意机器之间的通讯，这个功能过于危险，可能会把整个网络搞乱，建议不要乱用。

　　所有的攻击在你觉得可以停止后都要点击STOP停止，否则将会一直进行。

　　FLOOD：选定机器，在攻击中选择FLOOD攻击，FLOOD攻击默认是一千次，你可以在选项中改变这个数值。

　　FLOOD攻击可使对方机器弹出IP冲突对话框，导致当机，因而要小心使用。

　　BANGATEWAY：选定机器，选择BANGATEWAY攻击。可使对方机器不能上网。

　　IPConflict：会使对方机器弹出IP冲突对话框。这次用本机来演示。

　　SniffGateway：监听对方机器的上网流量。发动攻击后用抓包软件来抓包看内容。我们可以看到Packets、

　　Traffic两个统计数据正在增加。我们现在已经可以看到对方机器的上网流量。

　　SniffHosts和SniffLan也类似，因而不再演示。

　　在选项中可以对攻击时间和行为进行控制。除了FLOOD是次数外，其他的都是持续的时间，如果是0则不停止。

　　下面的三个选项，一个是攻击后自动恢复ARP表，其他两个是为了保证被监听机器能正常上网因而要进行数据转发。建议都保持选择。

　　在检测事件列表中，我们刚才进行的攻击已经在检测事件列表中被检测出来。你在这里可以看到是否有人对你

　　进行攻击，以便采取措施。

　　好，攻击功能介绍到这里。

　　三、选项

　　Adapter是选择要绑定的网卡和IP地址，以及网关IP、MAC等信息。有时一个电脑中有许多网卡，你要选择正确的以太网网卡。

　　一个网卡也可以有多个IP地址，你要选择你要选择的那个IP地址。网关也是一样。

　　如果你在Gateway Mac中看到的是全0的MAC，那么可能没有正确获得网关MAC。你可以刷新一下来重新获得。

　　UPDATE是针对机器列表的更新来说的，其中有两个选项，

　　第一个是定时扫描网络来更新机器列表。

　　第二个是被动监听，从过往的数据包中获取新机器的信息。定时扫描可设定扫描间隔时间。

　　被动监听可以选择数据包类型，因为一些数据包可以是假的，因而获得的IP和MAC对可能是错误的。

　　所以要仔细选择。

　　DETECT第一个选项是说是不是要一运行就开始检测，第二个数据包个数是指每秒达到多少个数据包时才被认为是扫描，这个是与检测事件输出有关的。

　　第三个是在多少的时间内我们把许多相同的事件认为是一个事件，如扫描，扫描一个C网段时要扫描254个机器，会产生254个事件，当这些事件都在一定时间内

　　(默认是5分钟时，只输出一个扫描事件。)

　　ANALYSIS：只是一个保存数据包功能，供高级用户分析。

　　ARP代理：当你启用代理功能之后，这些选项才会有效。在Arp Packet Send Mode中，是要选择当谁发送ARP请求包时我要回应，

　　在Mac address中是要选定回应什么MAC地址，可以是本机、网关或者一个任意的MAC。

　　当局域网内的机器要访问其他机器或网关时，它会发出ARP请求询问包，如果你启用了该功能，軟件就会自动回应你设定的MAC地址，因而你如果设的是错误的MAC，则许多机器可能都上不了网。

　　PROTECT：这是一个保护功能，当有人对你或者局域网内的机器进行ARP监听攻击时，它可以自动阻止。

　　其中有两个选项，一个是本机防护，防护本机不被SPOOF，第二是远程防护，也就是防护其它机器。不过估计第二个功能实现得不会好，因而SPOOF另外两机器时，

　　ARP包是不大可能到达本机的。但是本机防护还是较为实用。当你对本机进行禁止上网攻击时，软件能正确地检测到四个事件：

　　两个禁止访问事件，说0.0.0.0发送特别ARP包禁止本机和网关192.168.253.1通讯，第三个事件说一个IP-MAC对加入到本机ARP表中，且是错误的IP-MAC对，

　　最后一个事件说01-01-01-01-01-01已经被修改成正确的MAC:00-11-22-33-44-54，这就是PROTECT起作用了，软件根据机器列表中的MAC地址修改了ARP中的错误MAC。

　　下面的软件运行信息也证实了这一点。

　　四、手动发送ARP包

　　再讲一下手动发送ARP包的功能，这是给高级用户使用的，要对ARP包的结构比较熟悉才行。如果你知道ARP攻击原理，你可以在这里手工制作出任何攻击包。

　　按照以下步骤制作一个IP冲突包，冲突的对象是本机。

　　目标MAC是本机，源MAC可以是任意的MAC，目标IP和源IP都是本机IP，做完后发送试试。

　　如果操作正确你会看到IP冲突报警，软件也有检测出来，这是IP冲突包。

　　大家可以试试多种组合来测试一下，看看检测效果。

　　下载地址：http://www.arpun.com/soft/sort014/sort018/down-59.html