当前位置：首页 → 问答吧 → 共享：linux arp 欺骗程序

共享：linux arp 欺骗程序

时间：2009-09-10

来源：互联网

本帖最后由 wojiaohesen 于 2010-05-01 20:48 编辑

；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；
；；
；；该程序仅仅是为了展示那些不常用的linux系统调用（raw-socket, packet-socket, socket-filter, rtnetlink-socket）
；；仅仅为了交流！！！！
；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；

[ 本帖最后由 wojiaohesen 于 2009-11-11 17:59 编辑 ]

darp.tar.gz (3.76 KB)

作者: wojiaohesen 发布时间: 2009-09-10

感谢LZ的分享，待会儿测试一下。

BTW，LZ是否可贴一下你的测试情况。

作者: Godbach 发布时间: 2009-09-10

已经测试过了。和同事在一起测试的，效果不错，居家必备。

作者: wojiaohesen 发布时间: 2009-09-10

建议LZ用通常的那种方式，执行命令不带任何参数是，输出命令的帮助信息。

作者: Godbach 发布时间: 2009-09-10

LZ的意思是用该程序加个目的IP的参数，则该目的IP就无法上网了？

作者: Godbach 发布时间: 2009-09-10

刚刚测试了一下，发起欺骗的时候，我这里好像比正常情况下打开页面慢了。这个应该就是ARP欺骗的效果吧。
LZ那里测试是完全不能上网了吗？

作者: Godbach 发布时间: 2009-09-10

参数完全没有那个必要，再说了，我又不是为了写程序出售，就是出售了也没有人要，给大家看看也就是希望大家都相互借鉴借鉴。

如果你想完全不能上网的话，那么就把里面的发送arp欺骗的时间间隔弄的更短，比方说1S，当然这个程序还有改动的余地，那就是攻击网关。

作者: wojiaohesen 发布时间: 2009-09-10

QUOTE:

如果你想完全不能上网的话，那么就把里面的发送arp欺骗的时间间隔弄的更短，比方说1S，当然这个程序还有改动的余地，那就是攻击网关。

效果很明显。多谢LZ分享。加个精华，大家共同交流。

作者: Godbach 发布时间: 2009-09-10

内核中的一些功能都没有得到很好的注释，想使用其中的一些功能会遇到很多麻烦，我想多写些代码，一方面把这些功能介绍给大家，也希望能提供些例子供大家参考。

欢迎大家写代码。呵呵

作者: wojiaohesen 发布时间: 2009-09-10

这个程序并没有把网卡设置成混杂模式，所以可以防止arp反向追踪。呵呵

这个程序对那些静态的arp有没有相关的功能，这个我还不清楚，不过可以通过欺骗网关还彻底的达到断网的行为。

[ 本帖最后由 wojiaohesen 于 2009-9-10 12:56 编辑 ]

作者: wojiaohesen 发布时间: 2009-09-10

QUOTE:

原帖由 wojiaohesen 于 2009-9-10 12:55 发表
这个程序对那些静态的arp有没有相关的功能，这个我还不清楚，不过可以通过欺骗网关还彻底的达到断网的行为。

LZ记得实际中ARP欺骗，是间隔多长时间吗？

作者: Godbach 发布时间: 2009-09-10

5s，有什么问题吗？

作者: wojiaohesen 发布时间: 2009-09-10

如果5s的话感觉时间间隔有点长啊。效果应该不是很明显。

作者: Godbach 发布时间: 2009-09-10

稍微设置短点，linux在处理arp的时候，在一条arp不能使用的时候，你可以通过这个程序直接的在目标主机里添加一条记录。但是如果有程序正在使用arp条目的话，linux需要发送arp请求到目标主机，以此来确认这个arp是不是不可用了。我想应该是这样的。

因为arp协议很小，大概总共不到60个字节，哪怕是1S一个，对cpu来说也是小case。

那个攻击网关的功能我还没有加入，不过非常简单，在cheat函数中加入几条指令就可以了。

等两天，我再写个追踪监听者的程序。也是基于arp协议的。

[ 本帖最后由 wojiaohesen 于 2009-9-10 13:17 编辑 ]

作者: wojiaohesen 发布时间: 2009-09-10

.恩不错。如果做到协议栈中，就更好啊啦

作者: meijusan123 发布时间: 2009-09-10

QUOTE:

原帖由 meijusan123 于 2009-9-10 15:40 发表
.恩不错。如果做到协议栈中，就更好啊啦

协议栈里执行ARP欺骗功能吗？

作者: Godbach 发布时间: 2009-09-10

能阿，谁变态，谁就写一个。

作者: wojiaohesen 发布时间: 2009-09-10

QUOTE:

原帖由 wojiaohesen 于 2009-9-10 16:56 发表
能阿，谁变态，谁就写一个。

这样的协议栈干脆称作攻击工具得了。

作者: Godbach 发布时间: 2009-09-10

在自己宿舍的局域网测试了下，一共6台电脑,1台linux,5台windows.其中一台windows没有杀毒和防火墙(这台最明显dns解析错误),其他的windows上网慢。

作者: wujianhao 发布时间: 2009-09-11

QUOTE:

原帖由 wujianhao 于 2009-9-11 17:35 发表
在自己宿舍的局域网测试了下，一共6台电脑,1台linux,5台windows.其中一台windows没有杀毒和防火墙(这台最明显dns解析错误),其他的windows上网慢。

用1台Linux攻击了5台Win啊。就用LZ给的默认间隔吧。

作者: Godbach 发布时间: 2009-09-12

源程序中：sock = socket (PF_PACKET, SOCK_RAW, htons (ETH_P_ARP))

问： htons (ETH_P_ARP)有必要么？貌似直接用 ETH_P_ARP吧

作者: GoldenSoldier 发布时间: 2009-09-13

支持下，这个ARP攻击，360安全卫视能检测到吧，或者能防御吗？

作者: duanjigang 发布时间: 2009-09-14

QUOTE:

原帖由 duanjigang 于 2009-9-14 09:38 发表
支持下，这个ARP攻击，360安全卫视能检测到吧，或者能防御吗？

顶，我也想知道

现在arp欺骗,一般的防火墙和杀软都能检测到,如果跟踪到你的ip就麻烦大大的了

作者: osmanthusgfy 发布时间: 2009-09-14

这个不错，呵呵

作者: dreamice 发布时间: 2009-09-14

刚刚使用了一下,攻击一windows 马上就不能上网了.打开360,可以检测到ARP 攻击,但是发现并没有阻止.

作者: lvyc 发布时间: 2009-09-14

这两天在学习语言，没有时间，等我把这个程序写的更好些，毒化网关的arp表。
还有你说的360可以发现arp攻击，但是记住了哦：他并没有发现是谁在攻击。哈哈。道理很简单：我没有去监听。所以就抓不到

过两天我再发个程序用来显示当前网络下都有那些监听者，这个算有些用处吧。

作者: wojiaohesen 发布时间: 2009-09-14

放心吧，这个他绝对的追踪不到的，你可以用任何的杀毒工具测试，

作者: wojiaohesen 发布时间: 2009-09-14

QUOTE:

原帖由 osmanthusgfy 于 2009-9-14 11:19 发表

顶，我也想知道

现在arp欺骗,一般的防火墙和杀软都能检测到,如果跟踪到你的ip就麻烦大大的了

放心吧，这个他绝对的追踪不到的，你可以用任何的杀毒工具测试，

作者: wojiaohesen 发布时间: 2009-09-14

QUOTE:

原帖由 GoldenSoldier 于 2009-9-13 21:11 发表
源程序中：sock = socket (PF_PACKET, SOCK_RAW, htons (ETH_P_ARP))

问： htons (ETH_P_ARP)有必要么？貌似直接用 ETH_P_ARP吧

事实并不是这样，必须要用htons。当然你也可以直接使用ETH_P_ARP,但是问题是你必须自己去处理在发送arp时候的网络字节顺序，并且在非raw packet的情况下，htons是一定需要的，需要用这个来查找相关的协议处理模块。

[ 本帖最后由 wojiaohesen 于 2009-9-14 17:47 编辑 ]

作者: wojiaohesen 发布时间: 2009-09-14

这个程序并没有把网卡设置成混杂模式，所以可以防止arp反向追踪 ...ok

作者: wheel 发布时间: 2009-09-15