[译]WinArpAttacker3.50Readme
原文信息
- 标题 : WinArpAttacker 3.50 Readme
- 日期 : 2006年6月4日
- 作者 : unshadow
- 邮箱 : asia_message@hotpop.com
- 网站 : 还没有,作者正在找一个免费的,如果你有好的建议可以告诉作者
- 译者 : Werner(主要是意译了)
目录
- 前言
- 概览
- 系统要求
- 新特性
- 开始
- 已知问题
- 修订历史
- 下一步
0. 前言
警告:这个程序是危险的,仅供研究之用。因本程序造成的任何可能的损失都与作者(unshadow)无关,如果你不同意这一点,请立刻删除本程序。如果你使用本程序,就认为你同意以上全部观点。
WinArpAttacker基于wpcap,你必须在运行它前安装wpcap驱动。若你已经安装了老版本的winpcap,可直接安装WinPcap_3_1.exe覆盖它。
1. 概览
WinArpAttacker是一个可以扫描、攻击、检测、保护局域网中电脑的程序。
有如下特性:
1.1 扫描
- 它可以很快地(2~3秒内)扫描和展示位于局域网内部的活动主机。它有两种扫描模式,一种是正常扫描,还有一种是反嗅探(antisniff)扫描。后一种可以发现谁正在嗅探网络。
- 它可以保存和载入主机列表文件。
- 它可以定期扫描以发现新增主机。
- 通过嗅探技术,它可以被动地更新主机列表,也就是说,它不用扫描,而是通过读取ARP请求包中的源地址来更新主机列表。
- 通过高级对话框可以完成高级扫描。
- 通过高级对话框可以扫描一个B类网段。
- 在事件列表视图中,它可以扫描正在搞事情的主机。
1.2 攻击
- 可拉取并收集局域网中所有数据包。
- 可执行下列的六种攻击:
- Arp Flood – 尽可能快地向目标主机发送IP地址冲突的数据包,如果你发得够多,目标主机将会被玩坏(down) 。:-(
- BanGateway – 告诉网关目标主机的MAC地址为一个错误的MAC地址,这样目标主机将接收不到来自互联网的数据包。这种攻击可阻止目标主机访问互联网。
- IPConflict – 类似Arp Flood,规律性地发送IP地址冲突的数据包,也许用户因为规律性地IP地址冲突消息而不能工作。以及,这会使目标无法访问局域网。
- SniffGateway – 欺骗目标和网关,这样就能用嗅探收集它们之间的数据包。
- SniffHosts – 欺骗两个或更多主机,这样就能用嗅探收集它们之间的数据包。(危险!!!!)
- SniffLan – 与SniffGateway很类似, 区别在于SniffLan会发送广播ARP报文告诉局域网中所有主机你的主机就是网关,这样你就能嗅探局域网中所有数据包(危险!!!!!!!!!!!!!!)
- 在整个ARP欺骗期间,WinArpAttacker会作为另一个网关(或IP转发器),局域网中其他用户无法识别。
- WinArpAttacker会收集数据包,并通过自己的IP转发函数转发,你最好禁用系统的IP转发函数,因为WinArpAttacker可以很好地搞定这件事。
- 所有通过欺骗被嗅探的数据和被WinArpAttacker IP转发函数转发的数据都被统计,你可以在主界面看到。
- 正如你希望的,ARP表会在很短时间内(大约5秒)自动覆盖。你也可以选择从不覆盖。
1.3 检测
最重要的是,WinArpAttacker可以检测到上述的几乎所有攻击行为以及主机状态,可以检测到的事件列表如下:
- SrcMac_Mismath – 主机发送了一个ARP包,它的源MAC地址不匹配,故此包将被忽略。
- DstMac_Mismath – 主机接收了一个ARP包,它的目的MAC地址不匹配,故此包将被忽略。
- Arp_Scan – 为了得到主机列表,某主机正在用ARP请求包扫描局域网。
- Arp_Antisniff_Scan – 主机正在为嗅探主机而扫描局域网,以获知哪台主机正在嗅探网络。
- Host_Online – 主机现在在线。
- Host_Modify_IP – 主机改变了IP地址或添加了新IP地址。
- Host_Modify_MAC – 主机改变了它的MAC地址。
- New_Host – 发现了新主机。(译注:原文为“New gost was found.”,gost当为笔误。)
- Host_Add_IP – 主机添加了一个新IP地址。
- Multi_IP_Host – 主机有多IP地址。
- Multi_Mac_Host – 主机有多MAC地址。
- Attack_Flood – 主机发送了大量ARP报文到另一台主机,故目标主机响应变慢。
- Attack_Spoof – 主机发送了特殊ARP报文去嗅探两个目标主机间的数据,故受骗者的数据已经泄露。
- Attack_Spoof_Lan – 主机让局域网中所有主机相信它才是网关,故攻击者可以嗅探所有主机发往网关的数据。
- Attack_Spoof_Ban_Access – 告诉两主机对方的MAC地址为一个不存在的MAC地址,使目标主机间无法通信。
- Attack_Spoof_Ban_Access_GW – 告诉网关某主机的MAC地址为一个不存在的MAC地址,使目标主机无法通过网关访问互联网。
- Attack_Spoof_Ban_Access_Lan – 广播某主机的MAC地址为一个不存在的MAC地址,使目标无法和局域网中任意主机通信。
- Attack_IP_Conflict – 主机发现另一个主机和它有相同IP,故目标将被IP冲突消息干扰。
- Local_Arp_Entry_Change – 现在WinArpAttacker可以监视本地ARP表入口,当一个主机的ARP地址改变时, WinArpAttacker可以报告。
- Local_Arp_Entry_Add – 当本地ARP表中新增一个MAC地址,WinArpAttacker可以报告。
可用WinArpAttacker检测来解释每个事件,也可将事件保存到文件。
1.4 保护
提供ARP表保护。当WinArpAttacker检测到本地或远程主机正在遭受ARP欺骗,它将会覆盖本地或远程主机的ARP表为你想要的值。
1.5 ARP代理
当你的局域网中的某主机请求其他主机的MAC地址时,WinArpAttacker将把你希望的某一MAC地址告诉发起请求的主机,说这就是它所请求的MAC地址。
这用于在一个新局域网中访问因特网而不用改变你的IP地址。但若你给的是一个错误的MAC地址,这将会导致你的局域网陷入大的mass。(but it also can make your lan in a big mass if you assign a wrong mac address.)
1.6 保存ARP包
可保存所有嗅探到的ARP包到文件。
1.7 其他特性
- 支持一台主机上多网卡、多IP、多网关,你可以选择不同的网卡或IP来扫描不同的局域网。
- 支持DHCP和固定IP地址。
- 统计每个主机所有的ARP包,包括发送和接收的。
Arp R/S Q/P
| |
Action(Recive/Send) Arp packets type(ReQuest/RePly)
– – – –ArpRQ: 接收到的ARP请求包个数
ArpRP : 接收到的ARP回应包个数
ArpSQ : 发送的ARP请求包个数
ArpSP : 发送的ARP回应包个数
2. 系统要求
- 本地: Windows XP/2000/2003(但我没在Windows XP/2003下测试过)。
- 远程:包括所有电脑和网络驱动。
- WinPcap:至少是3.1版本。
3. 新特性
- 通过高级模式,可以扫描一个大的IP范围内的在线主机。
- 可以保护本地或远程主机免于ARP欺骗攻击。
- 可启用ARP代理,充当ARP代理。
- 可以存储所有嗅探到的ARP包到文件。
4. 开始
- 首先,安装最新版的WinPcap驱动。
- 然后,只需运行WinArpAttacker.exe。
- 点击扫描按钮开始扫描。
- 用”arp -a”查看远程主机的ARP信息。
- 点击停止按钮停止攻击。
- 点击选项按钮以选择一个适配器(网卡)或IP地址。
- 点击选项按钮以修改攻击步骤。
5. 已知问题
- 运行这个程序需要管理员特权,否则,程序运行可能不正常。
- 攻击动作是很危险的,你必须谨慎。
- 如果局域网中电脑很多(超过50),真正的网关可能会被玩坏( may be down)。
6. 修订历史
(译者注:我并不关心修订历史,就没有翻译这部分)
7. 下一步
现在还没有下一步计划,如果你有好的建议可以给我发邮件(asia_message@hotpop.com)。
后记
(后记是译者的后记)我觉得ARP欺骗是很实用的攻击方法,想试一试,就找到了WinArpAttacker这个软件。但实在没耐心看一遍英文的文档,所以干脆翻译一遍好了。
