ARP详解

2024年2月23日发(作者：)

一、ARP攻击原理及防范

在局域网中如果时常上不了网，但是网络的连接正常，而局域网的网络情况却时好时坏，那么这很可能就是ARP欺骗已经发作的征兆。 ARP的内容和原理： ARP的全称是：Address

Resolution Protocol，也就是地址解析协议。顾名思义，其主要作用就是“地址解析”，即通过目标设备的IP地址，查询目标地址的MAC地址。在局域网中，如果要在两台主机之间进行通信，就必须要知道目标主机的IP地址，但是起到传输数据的物理设备网卡并不能直接识别IP地址，只能识别其硬件地址MAC地址，MAC地址是一个全球唯一的序列号并由12个16进制数构成。主机之间的通信，一般都是网卡之间的通信，而网卡之间的通信都是根据对方的MAC地址来进行工作的，而ARP协议就是一个将数据包中的IP地址转换为MAC地址的网络协议。 ARP在局域网中的作用：而在规模越来越庞大的局域网中，存在上百台主机已经很普及，如何在这么多的主机的MAC地址中，快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系，这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。例如局域网中有A、B两台主机并通过交换机相连接，当A需要给B所在的IP地址发送数据时，A就要先查找自己的ARP缓存表，看其中是否存在这个IP的MAC地址，如果有就直接发送。如果没有，那么A就要向整个局域网发送广播要求使用这个IP地址的主机进行响应，B收到广播后会向A返回一个响应信息，说明自己的MAC和A所要发送的IP地址是对应关系，而A收到B所返回的信息后会将这个IP和MAC进行记录，以后如果要再发送信息，则可以从ARP缓存表中直接查找并发送。 ARP病毒的危害： ARP缓存表记录了所有和和其宿主主机进行通讯过的其他电脑的MAC-IP对应关系，而漏洞也恰恰在此。如果局域网中的一台电脑进行欺骗性地使用自己的IP地址来冒充其他主机的MAC地址。比如：在B和C的通讯时，这时出现一台A机器，它告诉B说它就是C，结果B机器就认为它是C了，并且在B的缓存中，原先C的IP地址被对应到了A的MAC上。于是，本来要从B发送到C的消息就被发送到A机器上了，A机器实际上就发起了一次ARP欺骗。

ARP病毒就是利用上述原理来对整个局域网来进行破坏，其中除了使其他电脑上不了网之外，还可以利用自身“帮”网关转发信息的特权给数据包添加病毒代码。比如，用户打开一个本来正常的网页，但是由于ARP病毒的存在，这个原本正常的网页会带上若干恶意连接，使用户感染上病毒。 ARP防护软件点评：伴随ARP欺骗的隐蔽性和广泛性，目前出现了多种可以防止ARP欺骗的软件，它们的工作原理一般有两种：第一种是拦截ARP的攻击或者是IP冲突，保障系统不会受ARP攻击的影响；第二种是防止恶意攻击程序篡改本机的ARP缓存表。第一种方法可以通过广播指定IP地址正确的MAC地址，它能够立即解决ARP攻击引起的挂马、掉线等问题，但同时也会给网络带来一定的负载。第二种方法较为简单，不会对网路有什么影响，但防护效果较差。目前比较流行的ARP防护类软件有：AntiARP防火墙、瑞星个人防火墙2008、360ARP防火墙等，它们的工作原理无外乎上述两种。 1、

AntiARP AntiARP是目前使用比较广泛的ARP防护类软件，其默认的选项就可以有效防范一般的ARP欺骗攻击。在使用的时候应该特别注意一个问题：在AntiARP的“配置”中的“主动防御和跟踪”中进行设置时，如果勾选“主动防御”下“始终启用”可能会造成对整个局域网带来一定的负载，并且随“防御速度”的大”硐指为明显。强烈建议校园网用户不要开启此种防护。

二、ARP命令详解

ARp是一个重要的TCp/Ip协议，并且用于确定对应Ip地址的网卡物理地址。实用arp命令，我们能够查看本地计算机或另一台计算机的ARp高速缓存中的当前内容。此外，使用arp命令，也可以用人工方式输入静态的网卡物理/Ip地址对，我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作，有助于减少网络上的信息量。

“凑杖笔∩柚茫珹Rp高速缓存中的项目是动态的，每当发送一个指定地点的数据报且高速缓存中不存在当前项目时，ARp便会自动添加该项目。一旦高速缓存的项目被输入，它们就已经开始走向失效状态。例如，在Windows NT/2000网络中，如果输入项目后不进一步使用，物理/Ip地址对就会在2至10分钟内失效。因此，如果ARp高速缓存中项目很少或根本没有时，请不要奇怪，通过另一台计算机或路由器的ping命令即可添加。所以，需要通过arp命令查看高速缓存中的内容时，请最好先ping 此台计算机（不能是本机发送ping命令）。

ARp常用命令选项：

·arp -a或arp –g

用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARp高速缓存中所有项目的选项，而Windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。

·arp -a Ip

如果我们有多个网卡，那么使用arp -a加上接口的Ip地址，就可以只显示与该接口相关的ARp缓存项目。

·arp -s Ip 物理地址

我们可以向ARp高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。

·arp -d Ip

使用本命令能够人工删除一个静态项目。

例如我们在命令提示符下，键入 Arp –a；如果我们使用过 ping 命令测试并验证从这台计算机到 Ip 地址为 10.0.0.99 的主机的连通性，则 ARp 缓存显示以下项：

Interface:10.0.0.1 on interface 0x1

Internet Address physical Address Type

10.0.0.99 00-e0-98-00-7c-dc dynamic

在此例中，缓存项指出位于 10.0.0.99 的远程主机解析成 00-e0-98-00-7c-dc 的媒体访问控制地址，它是在远程计算机的网卡硬件中分配的。媒体访问控制地址是计算机用于与网络上远程 TCp/Ip 主机物理通讯的地址。

至此我们可以用ipconfig和ping命令来查看自己的网络配置并判断是否正确、可以用netstat查看别人与我们所建立的连接并找出ICQ使用者所隐藏的Ip信息、可以用arp查看网卡的MAC地址。

三、ARP病毒攻击技术分析与防御

APR病毒，一种地址欺骗的病毒。

中毒症状：网络周期性断开（比如半个小时断一次），最后直至整个网络阻塞瘫痪。

一、ARP Spoofing攻击原理分析

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。ARP协议是“Address Resolution

Protocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是―帧‖，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓―地址解析‖就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现―man in the middle‖ 进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和 MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD- DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。 Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个 Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃。

二、ARP病毒分析

当局域网内某台主机运行ARP欺骗的木马程序时，会骗欺局域域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了游戏服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录游戏服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

在路由器的―系统历史记录‖中看到大量如下的信息：

MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New

00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的―用户统计‖中看到所有用户的MAC地址信息都一样。

如果是在路由器的―系统历史记录‖中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。

BKDR_NPFECT.A病毒引起ARP欺骗之实测分析

病毒现象：中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.

病毒的组件

本文研究的病毒样本有三个组件构成:

%windows%”..................病毒组件释放者

%windows%”...............发ARP欺骗包的驱动程序

%windows% ”..............命令驱动程序发ARP欺骗包的控制者

按以下顺序删除病毒组件

1) 删除 ”病毒组件释放者”

%windows%

2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)

%windows%

a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”

b. 在设备树结构中,打开”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表

d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.

e. 重启windows系统,

f.删除%windows%

3) 删除 ”命令驱动程序发ARP欺骗包的控制者”

%windows%

2. 删除以下”病毒的假驱动程序”的注册表服务项:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf

三、定位ARP攻击源头和防御方法

1．定位ARP攻击源头

主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是―元凶‖。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。

标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。

也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。

使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有‖ARP攻击‖在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。

命令：―nbtscan -r 192.168.16.0/254‖（搜索整个192.168.16.0/254网段, 即192.168.16.1-192.168.16.254）；或―nbtscan 192.168.16.25-137‖搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为―000d870d585f‖的病毒主机。

1）将压缩包中的 和解压缩放到c:下。

2）在Windows开始—运行—打开，输入cmd（windows98输入―command‖），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。

3）通过查询IP--MAC对应表，查出―000d870d585f‖的病毒主机的IP地址为―192.168.16.223‖。

通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。

2．防御方法

a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。

b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。

c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。

病毒运作基理:

执行时会释放两个组件 和 .

释放组件后即终止运行.

注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,

将会被病毒文件覆盖掉.

2.随后将注册(并监视)为内核级驱动设备: "NetGroup Packet

Filter Driver"

还负责发送指令来操作驱动程序 (如发送APR欺骗包, 抓包, 过滤包等)

以下从病毒代码中提取得服务相关值:

BinaryPathName = ""StartType =

SERVICE_AUTO_STARTServiceType=

SERVICE_KERNEL_DRIVERDesiredAccess=

SERVICE_ALL_ACCESSDisplayName = "NetGroup Packet Filter

Driver"ServiceName = "Npf"

3. 负责监护. 并将注册为自启动程序:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]

dwMyTest =

注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除.

四、arp病毒的免疫、批处理文件制作

①arp病毒的免疫：

P的免疫

如果系统中有下列文件的话，则将下列文件加上系统/只读/隐藏属性并且将该文件安全选项中的所有用户删除。

C:

C:

C:

C:

c:,

如果没有的话则建立上述的系统假文件并且再执行以上的操作，可以用类似的批处理来做到，但是文件安全选项中的所有用户必须手动删除。

md %systemroot%

attrib +r +s +h +a %systemroot%

cacls%systemroot% /T /E /C /R EVERYONE ADMINISTRATORS SYSTEM GUEST USERS USER

2.做绑定本机的IP与MAC及绑定网关IP的与网关MAC批处理并且设置开机启动，为了去掉黑框，可用VBS执行批处理。

绑定网关的批处理

@echo off

arp -d&arp -s 你的网关 网关的MAC

exit

绑定本机的批处理

@echo off

if exist del

ipconfig /all >

if exist del

find "Physical Address" >

for /f "skip=2 tokens=12" %%M in () do set Mac=%%M

if exist del

find "IP Address" >

for /f "skip=2 tokens=15" %%I in () do set IP=%%I

arp -s %IP% %Mac%

del

del

del

exit

去黑框的VBS(如跟批处理同目录，则只需修改批处理的名称)

Dim Wsh

Set Wsh = Object("")

(0000)

"批处理的名称.bat",0,True

Set Wsh=NoThing

至于修改注册表的阕值等，没有去修改了，客户机做到这些，路由器再进行绑定实现双绑，应该可以防御一般的ARP攻击了，如果不是恶意的攻击(一些已知的恶意攻击软件可以通过注册表或者组策略屏蔽掉,比如等)

ARP协议,ARP攻击及解决办法

ARP(Address Resolution Protocol)地址解析协议

1.在OSI模型的数据链路层.

3.每台电脑里都有一个ARP缓存表，表里IP地址与MAC地址对应.

4.主机A（192.168.1.5）向B（192.168.1.1）发送数据。A在自己的ARP缓存表中

寻找目标IP地址。如果找到,把目标MAC地址写入帧里发送.没找到,A在网络上发送

目标MAC地址是―‖(表示同一网段内的所有主机)的广播,询问

：―192.168.1.1的MAC地址是什么？‖网络上其他主机不响应，只有主机B接收到

帧时回应：―192.168.1.1的MAC地址是00-aa-00-62-c6-09‖。主机A知道了B的

MAC，就可以给B发送信息。同时它还更新了ARP缓存表，下次给B发信息时，从缓存

表里可直接查到。缓存表某一行在一段时间内没有使用，会被删除.减少表的长度

加快查询。

_DOS下

ARP攻击的表现

1.使用校园网时突然掉线，过一段时间后恢复正常。IE浏览器频繁出错，以及一些常用软件出现故障等。

2.如果校园网是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关）

第二种ARP欺骗的原理是——伪造网关。它是建立假网关，让被它欺骗的PC向假网关发数据,使PC无法上网.

ARP攻击的解决办法

3."arp –s 网关 IP 网关物理地址"命令绑定ARP对应关系.

5.使用Anti Arp Sniffer

ARP攻击程序使用详解

arpattack –t TYPE OPTION

-h , --hosts

指定被攻击的主机。可以指定一台主机-h host。可以指定一个网段的主机-h

host/netmask，掩码可以用数字例如24来代替255.255.255.0，也可以直接指定掩码例如255.255.255.0。可以指定一个范围的主机-h host1~host2，例如。可以指定多台

不连续的主机，-h host1,host2,host3,…，例如-h

10.11.19.161,10.11.19.24,10.11.19.35,10.11.19.86

-l , --timeslot

指定发送攻击数据包的时间间隔，以秒为单位计算，若命令中未指定，则默认为3秒。

-e , --exclusive

指定哪些主机不受攻击，指定的规则与-h相同，可以-e 10.11.19.25/24,-e

10.11.19.25/255.255.255.0,-e 10.11.19.1~10.11.19.28,-e

10.11.19.16,10.11.19.222,10.11.19.161。例如意思是指定网络地址10.11.19.0，掩码255.255.255.0网段内除了10.11.19.222，10.11.19.206这两台主机之外的所有主机为受攻击的目标主机。

-i , --interface

-s , --sniffer

指定进行嗅探的主机。在-t sniffer中间人攻击中会用到这个选项，如果命令中未指定该选项那么默认就是本地主机作为嗅探主机。

-n , --number

指定发动ARP泛滥攻击的攻击数据包个数。如果命令中未指定该选项那么默认的攻击数据包个数是3000个。

-o , --one_end

在-t sniffer中间人攻击中，用来指定需要监听一方的主机地址。其指定的规则与-h相同，可以-o 10.11.19.25/24,-o 10.11.19.25/255.255.255.0,-o

10.11.19.1~10.11.19.28,-o 10.11.19.16,10.11.19.222,10.11.19.161。

-a , --another_end

在-t sniffer中间人攻击中，用来指定需要监听一方的主机地址。其指定的规则与-h相同，可以-a 10.11.19.25/24,-a 10.11.19.25/255.255.255.0,-a

10.11.19.1~10.11.19.28,-a 10.11.19.16,10.11.19.222,10.11.19.161。

-m , --match

在-t vm构造虚拟主机中，虚拟构建一台主机，例如会在局域网内虚拟构造一台主机10.11.19.25，其对应的MAC地址为::e8:5b:9b:48。-m

(10.11.19.25,::e8:5b:9b:48)，，……你也可以构建多台虚拟主机。也可以在一个括号里指定多台主机，-m (10.11.19.25/25, ::e8:5b:9b:48), -m

(10.11.19.25/255.255.254.0, ::e8:5b:9b:48), -m

(10.11.19.25~10.11.19.100,::e8:5b:9b:48)。当-m (10.11.19.25,)未指定mac地址，那么默认就是本地主机mac地址。注意，括号里的逗号不能丢失。也不能在括号里指定间段的ip地址，只能指定单个ip地址或一个ip地址范围，例如-m （10.11.19.25，10.11.19.262，::e8:5b:9b:48）是错误的，必须这样指定-m

（10.11.19.25，::e8:5b:9b:48） -m （10.11.19.262，::e8:5b:9b:48）。Shell

命令中命令解释器把(当成一个特殊字符，所以-m (10.11.19.26,::34:e4:)前面加一个斜干来转义特殊字符。

TYPE:=scan | ipconflict | arpflood | sniffer | arpdeceive | recover | vm

TYPE包含扫描（TYPE:=scan）、攻击和恢复（TYPE:=recover）三种类型。攻击的类型有ip地址冲突、arp泛滥、中间人攻击（网络嗅探）、arp欺骗（中间人攻击其实属于arp欺骗，本软件将中间人攻击单独提取出来）。

arpattack -t scan –i interface [-h …] [-e …]

扫描本地网内正在运行的主机，若命令中的-h选项未指定那么默认的扫描目标是interface网络接口所对应的网络中的主机。-e选项指定不被扫描的主机。扫描显示的结果被扫描到的主机ip地址和对应的mac地址。

arpattack -t ipconflict –i interface [-h …] [-e …] [-l …]

向-h所指定的目标主机发动ip地址冲突攻击，若命令中的-h选项未指定那么默认的攻击目标是interface网络接口所对应网络中的主机。-e选项指定不被攻击的主机。-t选项指定发动攻击的时间间隔，若命令中未指定，则默认为3秒。

arpattack -t arpflood –i interface [-h …] [-e …] [-l …] [-n …]

向-h所指定的目标主机发动ARP洪泛攻击，若命令中的-h选项未指定那么默认的攻击目标是interface网络接口所对应网络中的主机。-e选项指定不被攻击的主机。-t选项指定发动攻击的时间间隔，若命令中未指定，则默认为3秒。-n选项指定发动ARP泛滥攻击的攻击数据包个数。如果命令中未指定该选项那么默认的攻击数据包个数是3000个。

arpattack -t sniffer –i interface [-o …] [-a …] [-e …] [-s …] [-l …]

监听-o和-a所指定主机之间的通信，若命令中未指定-o，那么默认的监听目标 是interface网络接口所对应网关。若命令中未指定-a选项，那么默认的监听目标是interface网络接口所对应网络中的主机。若命令中这两个选项未指定那么默认监听interface网络接口所对应网络内的主机同网关之间的通信。-e选项指定不被监听的主机。-t选项指定发动使得目标主机被监听的arp欺骗数据包的时间间隔。-s选项指定执行监听的主机，若命令中该选项未指定，那么默认执行监听的主机为本地主机。

arpattack -t arpdeceive –i interface -o … -a … [-e …] [-s …] [-l …]

篡改-o所指定主机上的ARP缓存中关于-a所指定主机中的ARP记录。指定被篡改成目的物理地址是-s所指定主机的物理地址。若-s选项未指定，则受攻击主机上的ARP缓存记录被篡改成。

arpattack -t recover –i interface [-h …] [-e …] [-l …]

对-h所指定的目标主机进行恢复，因为这些目标主机前面可能遭受了ARP攻击，所以需要对它们进行恢复。若命令中-h选项未指定，则默认指定本地网的主机。本程序目前暂支持恢复同默认网关的通信，若主机同本地网内的其它主机之间通信遭攻击，则不会被恢复。

arpattack -t vm –i interface [-m …] [-l …]

在局域网内虚拟构建主机，例如会在局域网内虚拟构造一台主机10.11.19.25，其对应的MAC地址为::e8:5b:9b:48。-m (10.11.19.25,::e8:5b:9b:48)，，……你也可以构建

多台虚拟主机。也可以在一个括号里指定多台主机，-m

(10.11.19.25/25, ::e8:5b:9b:48), -m

(10.11.19.25/255.255.254.0, ::e8:5b:9b:48), -m

(10.11.19.25~10.11.19.100,::e8:5b:9b:48)。当-m (10.11.19.25,)未指定mac地址，那么默认就是本地主机mac地址。若命令中未指定-m选项，那么会虚拟伪造-i对应网络接口所在局域网内的所有正在运行的主机，其伪造的mac地址为本地主机mac地址。-l选项指定虚拟主机发送ARP Request的时间周期。注意，括号里的逗号不能丢失。也不能在括号里指定间段的ip地址，只能指定单个ip地址或一个ip地址范围，例如-m

（10.11.19.25，10.11.19.262，::e8:5b:9b:48）是错误的，必须这样指定-m

（10.11.19.25，::e8:5b:9b:48） -m （10.11.19.262，::e8:5b:9b:48）。Shell命令中命令解释器把(当成一个特殊字符，所以-m (10.11.19.26,::34:e4:)前面加一个斜干来转义特殊字符。

假设本地主机有两个网络接口eth0,eth1。这两个网络接口上的配置为：

eth0：10.11.19.222/24，默认网关10.11.19.254

[root@localhost 7ARP攻击程序]# arpattack -t scan -i eth0

10.11.19.54 :0:50:8d:64:ae:66

10.11.19.191 :0:13:20:6:61:39

10.11.19.218 :0:e0:4c:ac:e9:15

10.11.19.188 :0:11:11:ca:8f:e6

10.11.19.231 :0:19:21:b8:3c:ae

10.11.19.250 :0:11:11:ca:b4:91

10.11.19.77 :0:c:f1:71:aa:4e

10.11.19.131 :0:e0:4c:f2:b1:3

10.11.19.60 :0:16:76:8d:b:37

10.11.19.7 :0:13:20:6:63:5d

10.11.19.84 :0:c:f1:ba:26:10

10.11.19.138 :0:11:11:ca:8e:7f

10.11.19.234 :0:50:8d:66:35:83

10.11.19.29 :0:11:2f:ac:26:e8

扫描网络接口eth0对应网络内所有正在运行的主机的ip地址及其物理地址。

[root@localhost 7ARP攻击程序]# arpattack -t scan -i eth0 -e

10.11.19.54,10.11.19.191

10.11.19.218 :0:e0:4c:ac:e9:15

10.11.19.188 :0:11:11:ca:8f:e6

10.11.19.231 :0:19:21:b8:3c:ae

10.11.19.250 :0:11:11:ca:b4:91

10.11.19.77 :0:c:f1:71:aa:4e

10.11.19.131 :0:e0:4c:f2:b1:3

10.11.19.60 :0:16:76:8d:b:37

10.11.19.7 :0:13:20:6:63:5d

10.11.19.84 :0:c:f1:ba:26:10

10.11.19.138 :0:11:11:ca:8e:7f

10.11.19.234 :0:50:8d:66:35:83

10.11.19.29 :0:11:2f:ac:26:e8

指定-e选项，这样主机10.11.19.54和10.11.19.191就不会被扫描到。

[root@localhost 7ARP攻击程序]# arpattack -t scan -i eth0 -h

10.11.19.1~10.11.19.20

10.11.19.7 :0:13:20:6:63:5d

10.11.19.15 :0:e0:a0:3:3:7

10.11.19.10 :0:13:20:4:b9:6a

[root@localhost 7ARP攻击程序]# arpattack -t ipconflict -i eth0

初始化完毕，开始攻击

使网络接口eth0对应网络内所有正在运行的主机发生ip地址冲突。

[root@localhost 7ARP攻击程序]# arpattack -t ipconflict -i eth0 –l 10

初始化完毕，开始攻击

每隔10秒钟向网络接口eth0对应网络内所有正在运行的主机发动ip地址冲突。