[译]WinArpAttacker3.50Readme

原文信息

  • 标题 : WinArpAttacker 3.50 Readme
  • 日期 : 2006年6月4日
  • 作者 : unshadow
  • 邮箱 : asia_message@hotpop.com
  • 网站 : 还没有,作者正在找一个免费的,如果你有好的建议可以告诉作者
  • 译者 : Werner(主要是意译了)

目录

  1. 前言
  2. 概览
  3. 系统要求
  4. 新特性
  5. 开始
  6. 已知问题
  7. 修订历史
  8. 下一步

0. 前言

警告:这个程序是危险的,仅供研究之用。因本程序造成的任何可能的损失都与作者(unshadow)无关,如果你不同意这一点,请立刻删除本程序。如果你使用本程序,就认为你同意以上全部观点。

WinArpAttacker基于wpcap,你必须在运行它前安装wpcap驱动。若你已经安装了老版本的winpcap,可直接安装WinPcap_3_1.exe覆盖它。

1. 概览

WinArpAttacker是一个可以扫描、攻击、检测、保护局域网中电脑的程序。

有如下特性:

1.1 扫描

  • 它可以很快地(2~3秒内)扫描和展示位于局域网内部的活动主机。它有两种扫描模式,一种是正常扫描,还有一种是反嗅探(antisniff)扫描。后一种可以发现谁正在嗅探网络。
  • 它可以保存和载入主机列表文件。
  • 它可以定期扫描以发现新增主机。
  • 通过嗅探技术,它可以被动地更新主机列表,也就是说,它不用扫描,而是通过读取ARP请求包中的源地址来更新主机列表。
  • 通过高级对话框可以完成高级扫描。
  • 通过高级对话框可以扫描一个B类网段。
  • 在事件列表视图中,它可以扫描正在搞事情的主机。

1.2 攻击

  • 可拉取并收集局域网中所有数据包。
  • 可执行下列的六种攻击:
    1. Arp Flood – 尽可能快地向目标主机发送IP地址冲突的数据包,如果你发得够多,目标主机将会被玩坏(down) 。:-(
    2. BanGateway – 告诉网关目标主机的MAC地址为一个错误的MAC地址,这样目标主机将接收不到来自互联网的数据包。这种攻击可阻止目标主机访问互联网。
    3. IPConflict – 类似Arp Flood,规律性地发送IP地址冲突的数据包,也许用户因为规律性地IP地址冲突消息而不能工作。以及,这会使目标无法访问局域网。
    4. SniffGateway – 欺骗目标和网关,这样就能用嗅探收集它们之间的数据包。
    5. SniffHosts – 欺骗两个或更多主机,这样就能用嗅探收集它们之间的数据包。(危险!!!!)
    6. SniffLan – 与SniffGateway很类似, 区别在于SniffLan会发送广播ARP报文告诉局域网中所有主机你的主机就是网关,这样你就能嗅探局域网中所有数据包(危险!!!!!!!!!!!!!!)
  • 在整个ARP欺骗期间,WinArpAttacker会作为另一个网关(或IP转发器),局域网中其他用户无法识别。
  • WinArpAttacker会收集数据包,并通过自己的IP转发函数转发,你最好禁用系统的IP转发函数,因为WinArpAttacker可以很好地搞定这件事。
  • 所有通过欺骗被嗅探的数据和被WinArpAttacker IP转发函数转发的数据都被统计,你可以在主界面看到。
  • 正如你希望的,ARP表会在很短时间内(大约5秒)自动覆盖。你也可以选择从不覆盖。

1.3 检测

最重要的是,WinArpAttacker可以检测到上述的几乎所有攻击行为以及主机状态,可以检测到的事件列表如下:

  • SrcMac_Mismath – 主机发送了一个ARP包,它的源MAC地址不匹配,故此包将被忽略。
  • DstMac_Mismath – 主机接收了一个ARP包,它的目的MAC地址不匹配,故此包将被忽略。
  • Arp_Scan – 为了得到主机列表,某主机正在用ARP请求包扫描局域网。
  • Arp_Antisniff_Scan – 主机正在为嗅探主机而扫描局域网,以获知哪台主机正在嗅探网络。
  • Host_Online – 主机现在在线。
  • Host_Modify_IP – 主机改变了IP地址或添加了新IP地址。
  • Host_Modify_MAC – 主机改变了它的MAC地址。
  • New_Host – 发现了新主机。(译注:原文为“New gost was found.”,gost当为笔误。)
  • Host_Add_IP – 主机添加了一个新IP地址。
  • Multi_IP_Host – 主机有多IP地址。
  • Multi_Mac_Host – 主机有多MAC地址。
  • Attack_Flood – 主机发送了大量ARP报文到另一台主机,故目标主机响应变慢。
  • Attack_Spoof – 主机发送了特殊ARP报文去嗅探两个目标主机间的数据,故受骗者的数据已经泄露。
  • Attack_Spoof_Lan – 主机让局域网中所有主机相信它才是网关,故攻击者可以嗅探所有主机发往网关的数据。
  • Attack_Spoof_Ban_Access – 告诉两主机对方的MAC地址为一个不存在的MAC地址,使目标主机间无法通信。
  • Attack_Spoof_Ban_Access_GW – 告诉网关某主机的MAC地址为一个不存在的MAC地址,使目标主机无法通过网关访问互联网。
  • Attack_Spoof_Ban_Access_Lan – 广播某主机的MAC地址为一个不存在的MAC地址,使目标无法和局域网中任意主机通信。
  • Attack_IP_Conflict – 主机发现另一个主机和它有相同IP,故目标将被IP冲突消息干扰。
  • Local_Arp_Entry_Change – 现在WinArpAttacker可以监视本地ARP表入口,当一个主机的ARP地址改变时, WinArpAttacker可以报告。
  • Local_Arp_Entry_Add – 当本地ARP表中新增一个MAC地址,WinArpAttacker可以报告。

可用WinArpAttacker检测来解释每个事件,也可将事件保存到文件。

1.4 保护

提供ARP表保护。当WinArpAttacker检测到本地或远程主机正在遭受ARP欺骗,它将会覆盖本地或远程主机的ARP表为你想要的值。

1.5 ARP代理

当你的局域网中的某主机请求其他主机的MAC地址时,WinArpAttacker将把你希望的某一MAC地址告诉发起请求的主机,说这就是它所请求的MAC地址。

这用于在一个新局域网中访问因特网而不用改变你的IP地址。但若你给的是一个错误的MAC地址,这将会导致你的局域网陷入大的mass。(but it also can make your lan in a big mass if you assign a wrong mac address.)

1.6 保存ARP包

可保存所有嗅探到的ARP包到文件。

1.7 其他特性

  • 支持一台主机上多网卡、多IP、多网关,你可以选择不同的网卡或IP来扫描不同的局域网。
  • 支持DHCP和固定IP地址。
  • 统计每个主机所有的ARP包,包括发送和接收的。

    Arp R/S Q/P
    | |
    Action(Recive/Send) Arp packets type(ReQuest/RePly)
    – – – –

    ArpRQ: 接收到的ARP请求包个数
    ArpRP : 接收到的ARP回应包个数
    ArpSQ : 发送的ARP请求包个数
    ArpSP : 发送的ARP回应包个数

2. 系统要求

  • 本地: Windows XP/2000/2003(但我没在Windows XP/2003下测试过)。
  • 远程:包括所有电脑和网络驱动。
  • WinPcap:至少是3.1版本。

3. 新特性

  • 通过高级模式,可以扫描一个大的IP范围内的在线主机。
  • 可以保护本地或远程主机免于ARP欺骗攻击。
  • 可启用ARP代理,充当ARP代理。
  • 可以存储所有嗅探到的ARP包到文件。

4. 开始

  • 首先,安装最新版的WinPcap驱动。
  • 然后,只需运行WinArpAttacker.exe。
  • 点击扫描按钮开始扫描。
  • 用”arp -a”查看远程主机的ARP信息。
  • 点击停止按钮停止攻击。
  • 点击选项按钮以选择一个适配器(网卡)或IP地址。
  • 点击选项按钮以修改攻击步骤。

5. 已知问题

  1. 运行这个程序需要管理员特权,否则,程序运行可能不正常。
  2. 攻击动作是很危险的,你必须谨慎。
  3. 如果局域网中电脑很多(超过50),真正的网关可能会被玩坏( may be down)。

6. 修订历史

(译者注:我并不关心修订历史,就没有翻译这部分)

7. 下一步

现在还没有下一步计划,如果你有好的建议可以给我发邮件(asia_message@hotpop.com)。

后记

(后记是译者的后记)我觉得ARP欺骗是很实用的攻击方法,想试一试,就找到了WinArpAttacker这个软件。但实在没耐心看一遍英文的文档,所以干脆翻译一遍好了。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

11 − 6 =