3.3 WinArpAttacker的使用

3.3.1 WinArpAttacker的简介

WinArpAttacker是一款ARP欺骗攻击工具，被攻击的主机无法正常与网络进行连接。该工具还是一款网络嗅探（监听）工具，可以嗅探网络中的主机、网关等对象，同时也可以进行反监听，扫描局域网中是否存在监听等操作。

3.3.2 WinArpAttacker的使用技巧

利用WinArpAttacker进行嗅探并实现欺骗的具体操作步骤如下。

步骤1 在安装WinPcap软件后，双击“WinArpAttacker”文件夹中的“WinArpAttacker.exe”应用程序，即可打开“WinArpAttacker”主窗口。

步骤2 单击“扫描（Scan）”按钮，即可扫描出局域网中所有主机。如果在“WinArpAttacker”主窗口中选择“扫描（Scan）”→“高级（Advanced）”菜单项，即可打开“扫描（Scan）”对话框，在其中可以看出有3种扫描方式。

扫描主机（Scan a host）：可以获得目标主机的MAC地址。

扫描IP网段（Scan a range）：扫描某个IP地址范围内的主机。

扫描本地网络（Scan IocaI networks）：扫描本地网络。如果本机存在两个以上IP地址，就会出现两个子网选项。最下面有两个属性：常规扫描（NormaI Scan）属性的作用是扫描其是否在线，而反嗅探扫描（Antisniff Scan）属性的作用是把正在监听的机器扫描出来。

步骤3 这里以扫描本地网络为例，在“扫描范围（Scan range）”选项区域中选择“扫描本地网络（Scan IocaI networks）”单选按钮并勾选相应子网，单击“扫描（Scan）”按钮进行扫描，即可打开“Scanning successfuIIy!（扫描成功）”对话框。

步骤4 单击“确定”按钮，即可在“WinArpAttacker”主窗口中看到扫描结果，如下图所示中间区域是主机列表区，主要显示局域网内主机IP地址、MAC地址、主机名、是否在线、是否在监听、是否处于被攻击状态；左下方区域主要显示检测事件，在这里显示检测到的主机状态变化和攻击事件；而右下方区域主要显示本地局域网中所有主机IP地址和MAC地址信息。

步骤5 在进行攻击之前，需要对攻击的各个属性进行设置。单击工具栏上的“选项”→“适配器”菜单项，则打开“选项”对话框。如果本地主机安装有多块网卡，则可在“适配器”选项卡下选择绑定的网卡和IP地址。

步骤6 在“攻击”选项卡中可设置网络攻击时的各种选项。除Arp fIood攻击是次数外，其他都是持续的时间，如果是0则表示不停止。

步骤7 在“更新”选项卡中可设置自动扫描的时间间隔。在“检测”选项卡中可设置是否启动自动检测及检测的频率。

步骤8 在“分析”选项卡中可设置保存ARP数据包文件的名称与路径。在“代理Arp”选项卡中可启用代理Arp功能。

步骤9 在“防护”选项卡中可以启用本地和远程防欺骗保护功能，以避免受到Arp欺骗攻击。

步骤10 在“WinArpAttacker”主窗口中选取需要攻击的主机，单击“攻击”按钮右侧下拉按钮，在弹出菜单中选择攻击方式，即可进行攻击。这样受到攻击的主机将不能正常与Internet进行连接。

步骤11 如果使用嗅探攻击，则可单击“检测”按钮开始嗅探。如果对ARP包的结构比较熟悉，了解ARP攻击原理，则可自己动手制作攻击包，单击“发送”按钮进行攻击。

其中，ArpSQ是该机器的发送ARP请求包的个数；ArpSP是该机器的发送回应包个数；ArpRQ是该机器的接收请求包个数；ArpRP是该机器的接收回应包个数。