ARP欺骗工具

简介

我们系列产品都是基于网络嗅探的原理，基本做法是设置网卡为混杂模式，这样就可以嗅探到所有经过本机网卡的数据（这种一般的sniffer原理不在此阐述）。 但是这种sniffer有一个缺点，就是它只适用于共享式局域网，对于交换式局域网无效。因为在交换式局域网中，网络中的数据并不会经过每一台主机的网卡。 这样就只能检测到本机的信息，所以我们一般会要求交换网络环境的客户通过添加一个HUB或者端口镜像的交换机来实现监控功能。

另外我们也提供"ARP欺骗工具"做为在不改变网络结构情况下面的一个备选工具，运行了ARP欺骗工具之后，就相当于把本机变成了网关， 所有去实际网关的数据都会先经过本机，从而实现监控。

什么是ARP欺骗?

我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据， 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C， 这样就可以保证B,C的通信不被中断。

以上就是基于ARP欺骗的嗅探基本原理，在这种嗅探方法中，嗅探者A实际上是插入到了B->C中， B的数据先发送给了A，然后再由A转发给C，其数据传输关系如下所示：

B----->A----->C

B<----A<------C