ARP欺骗和嗅探检测功能
ARP欺骗原理：
ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：
A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
图8
图9（无嗅探）
图10（192.168.1.104在嗅探）
图11
图12
四、实验小结（包括问题和解决方法、心得体会、意见与建议等）
1．MARS_ARP是作者在T_ARP基础上进行的改进，MARS_ARP可以在WINPCAP3.1版本以后的版本上运行。通过这次试验，掌握了这款软件的使用方法，掌握了嗅探，ARP欺骗，嗅探检测的方法；
实验步骤：
1，安装较高版本的winpcap4.1.2,打开MARS-ARP；如图6所示：
图6
2,获取局域网内各主机MAC地址，MARS_ARP -m 192.168.1.100 192.168.1.110；如图7所示：
图7
3，经行嗅探，在主机192.168.1.104上使用专业嗅探工具wireshark进行局域网嗅探；如图8所示：
要求:
理解并分析一个开源的嗅探检测器代码；
掌握通过编程实现一个简单网络嗅探检测器的原理并用C语言加以实现的方法；
掌握使用该嗅探检测器检测出同一个局域网上哪些主机的网卡被设置成混杂模式的方法。
二、实验环境(实验设备)
多台Windows 2003/XP微型计算机，集线器、交换机、路由器。
三、实验原理及内容
嗅探检测原理：
嗅探是利用网卡的“混杂模式”将局域网内共享的，并且不是发给本主机的信息接收下来，再利用嗅探器对这些信息经行分析，从中非法获取他人重要信息。
而嗅探检测就是利用检测局域网内是否有主机将网卡开启为“混杂模式”，从而检测出是否存在嗅探。
本实验使用了MARS-ARP工具，配合wireshark嗅探工具，进行了1，获取局域网内主机MAC地址；2，嗅探及嗅探检测；3，欺骗从而获得A,B主机的通信信息这三个实验步骤。
B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。
实验报告
（2 / 2学年第一学期）
课程名称
网络攻击与防范
实验名称
网络嗅探检测工具的设计与实现
实验时间
年
月
日
指导单位
指导教师
学生姓名
班级学号
学院(系)
专业
实验报告实验Leabharlann 称网络嗅探检测工具的设计与实现
指导教师
实验类型
设计
实验学时
实验时间
一、实验目的和要求
网络嗅探检测工具的设计与实现
运用网络嗅探检测的实现原理和各种现有网络嗅探检测方法，并分析实验中使用的进行嗅探检测的主机条件和网络环境，用C语言设计并实现一个简单的、命令行的网络嗅探检测工具。
2．通过上网络攻击课，了解到了大多数网络安全监测工具是在WINPCAP下运行的，LINUX下对应的是LIBPCAP。所以要进一步学习网络编程，需要对WINPCAP等进行认真学习和研究。
五、指导教师评语
成绩
批阅人
日期
也可使用MARS_ARP自带的嗅探功能进行嗅探，二者效果等效；
4，嗅探检测，使用MARS_ARP进行嗅探检测，MARS_ARP -m 192.168.1.100 192.168.1.110；如图9，图10；
可以看到IP地址为192.168.1.104的主机在进行嗅探。
5，欺骗A,B主机从而截获A,B主机间的通信；如图11，12所示：