基于ARP欺骗的网络攻击程序源码

核心提示：最近开始学WINPCAP，看了很多高手写的基于arp欺骗的抓包工具，基于ARP欺骗的网络攻击程序源码，尤其是电子科大的TOo2y师兄的《详谈调用winpcap驱动写arp多功能工具》，令我收益非浅，所以只是猜想，知道的请告诉我一声，下面是我把这个思想改成arp攻击程序(可令目标主机断开网络连接)的一些测试，高手请略过

最近开始学WINPCAP，看了很多高手写的基于arp欺骗的抓包工具，尤其是电子科大的TOo2y师兄的《详谈调用winpcap驱动写arp多功能工具》，令我收益非浅。下面是我把这个思想改成arp攻击程序(可令目标主机断开网络连接)的一些测试。高手请略过，以免有班门弄斧之闲。

一般的arp spoof是向被欺骗主机发送ARP REPLY数据报,把其中的源IP地址置为被欺骗主机要发包去的主机地址，源MAC地址却改为自己的MAC地址。假设有两台机器A,B，发送一个ARP REPLY数据报给A,其中源IP地址为B的地址,源MAC地址为我的机器的MAC地址(IPRouter功能打开确保数据被转发)，那么A发送到B的数据报就发到我的机器上了，同样对B做相同到操作，那么A<==>B之间的数据就会源源不断的通过我的机器转发，直到一个正常的ARP包更改了A,B的arp缓存为止。

那么我们把发送给A的arp数据报的源IP,源MAC更改成任意的，会出现什么现象？下面是我的几个测试

1. 源IP更改为网关IP,源MAC改为不存在的MAC地址

对目标主机几乎不影响

2. 源IP更改为网关IP,源MAC改为内网内任意一台存在但没有开启IPRouter的主机的MAC地址

几乎不影响

3. 源IP更改为网关IP,源MAC改为目标主机的MAC

目标主机立刻断网!

可见当发送经过我们构造的ARP REALY包给目标主机时,会使目标主机的ARP缓存更改，数据封装到MAC层的时候会把网关的IP和自己的MAC地址封装到一起，那么发送到网关的数据报只好发给自己了，呵呵。

至于第1种情况，猜想大概是由于MAC地址不存在,目标主机会广播一个ARP REQUEST包而更新了自己的ARP缓存所致。

至于第2种情况，猜想源MAC地址所属主机会返回一个ARP REPLY给目标主机。

水平有限，所以只是猜想，知道的请告诉我一声，先谢过了。