2.3.3 WinArpAttacker

WinArpAttacker是一款ARP欺骗攻击工具，被攻击的主机无法正常与网络进行连接。该工具还是一款网络嗅探（监听）工具，可以嗅探网络中的主机、网关等对象。同时它也可以进行反监听，扫描局域网中是否存在监听等操作。

利用WinArpAttacker进行嗅探并实现欺骗工具的具体操作步骤如下。

步骤1：在安装WinPcap软件后，双击“WinArpAttacker”文件夹中的“WinArpAttacker.exe”应用程序，即可打开“WinArpAttacker”主窗口，如图2.3.3-1所示。

步骤2：单击“扫描”按钮，即可扫描出局域网中所有主机。如果在“WinArpAttacker”主窗口中选择“扫描”→“高级”菜单项，即可打开“扫描”对话框，在其中有3种扫描方式，如图2.3.3-2所示。

·扫描主机：可以获得目标主机的MAC地址。

·扫描网段：扫描某个IP地址范围内的主机。

·多网段扫描：扫描本地网络。如果本机存在两个以上IP地址，就会出现两个子网选项。最下面有两个属性，正常扫描（Normal Scan）属性的作用是扫描其是否在线，而反监听扫描（Antisniff scan）属性的作用是把正在监听的机器扫描出来。

步骤3：这里以扫描本地网络为例，在“扫描”窗口中选择“多网段扫描”单选项，并勾选相应子网，单击“扫描”按钮即可进行扫描。扫描完成后弹出“Scanning successfully！（扫描成功）”提示框，如图2.3.3-3所示。

步骤4：单击“确定”按钮，即可在“WinArpAttacker”主窗口中看到扫描结果。如图2.3.3-4所示区域是主机列表区，上半部主要显示局域网内机器IP地址、Mac地址、主机名、是否在线、是否在监听、是否处于被攻击状态；左下方区域主要显示检测到的主机状态变化和攻击事件；而右下方区域主要显示本地局域网中所有主机的IP地址和Mac地址信息。

步骤5：在进行攻击之前，需要对攻击的各个属性进行设置。单击工具栏上的“设置”→“适配器”菜单项，则打开“Options”对话框，如图2.3.3-5所示。如果本地主机安装有多块网卡，则可在“适配器”选项卡下选择绑定的网卡和IP地址。

步骤6：在“攻击”选项卡中可设置网络攻击时的各种选项，如图2.3.3-6所示。除“连续IP冲突”是攻击次数外，其他都是持续的时间，如果是0则表示不停止。

步骤7：在“更新”选项卡中可设置自动扫描的时间间隔，如图2.3.3-7所示。在“检测”选项卡中可设置是否启动自动检测及检测的频率，如图2.3.3-8所示。

步骤8：在“分析”选项卡中可设置保存ARP数据包文件的名称与路径，如图2.3.3-9所示。在“ARP代理”选项卡中可启用代理ARP功能，如图2.3.3-10所示。

步骤9：在“保护”选项卡中可以启用本地和远程防欺骗保护功能，以避免受到ARP欺骗攻击，如图2.3.3-11所示。

步骤10：在“WinArpAttacker”主窗口中选取需要攻击的主机，单击“攻击”按钮右侧的下拉按钮，在弹出菜单中选择攻击方式，即可进行攻击，如图2.3.3-12所示。这样，受到攻击的主机将不能正常与Internet网络进行连接。

步骤11：如果使用嗅探攻击，则可单击“检测”按钮开始嗅探。如果对ARP包的结构比较熟悉，了解ARP攻击原理，则可自己动手制作攻击包，单击“发送”按钮进行攻击。

上半部窗格中，ArpSQ是该机器的发送ARP请求包的个数；ArpSP是该机器发送回应包的个数；ArpRQ是该机器接收请求包的个数；ArpRP是该机器接收回应包的个数。