利用ARP探测以太网中的活动主机

最新推荐文章于 2024-03-11 22:59:24 发布
最新推荐文章于 2024-03-11 22:59:24 发布
阅读量853 收藏
点赞数
文章标签: 活动 microsoft .net delete 防火墙 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loef/article/details/165846
版权
 
利用ARP探测以太网中的活动主机

发布日期:2004-04-19
文摘内容:
文摘出处: http://www.xfocus.net/articles/200404/688.html

创建时间:2004-04-13
文章属性:原创
文章提交:yztgx (yztgx_at_163.net)

利用ARP探测以太网中的活动主机(原创)

Author: yztgx
E-mail: yztgx@163.net
Date: 2004-4-13

    网上存在很多关于ARP的文章,大多都是关于ARP欺骗,这里介绍ARP的另类用法:探测目标主机是否处于活动状态。
    传统探测远程主机是否存活的方法是通过ICMP协议中的回显应答报文来探测(ping)。随着对安全的越来越多的了解和重视,很多主机为了避免被扫描器探测,通过防火墙将ICMP包屏蔽,从而达到在网络中隐藏的目的。
    这里我们介绍一下利用ARP协议探测网络中的活动主机的思路,这种方法的缺点只能探测以太网内的活动主机。
    先大概了解一下ARP协议。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,它的作用是将IP地址转换成物理地址(就是常说的MAC地址),其详细过程参考《TCP/IP详解 卷一》。协议ARP的分组格式如下:
------------------------------------------
以太网目的地址(6个字节)
以太网源地址(6个字节)
帧类型(ARP = 0806)(2个字节)
------------------------------------------
硬件类型(Ethernet=01)(2个字节)
协议类型(IPv4=0800)(2个字节)
硬件地址长度(1个字节)
协议地址长度(1个字节)
OP操作选项(ARP request=01,ARP reply=02)(2个字节)
发送端以太网地址(6个字节)
发送端IP地址(4个字节)
目的以太网地址(6个字节)
目的IP地址(4个字节)
--------------------------------------------

    我们向目标主机发送一个ARP请求,如果目标主机处于活动状态则会返回其MAC地址,如果对方返回MAC地址,则表明对方处于活动状态,这样达到探测目的。ARP请求包内容如下:
------------------------------------------
以太网目的地址  |FFFFFFFFFFFF(广播地址)
以太网源地址    |本地MAC地址
帧类型            |0806
------------------------------------------
硬件类型        |01
协议类型        |0800
硬件地址长度    |06
协议地址长度    |04
OP操作选项      |01
发送端以太网地址|本地MAC地址
发送端IP地址    |目标主机IP地址
目的以太网地址  |000000000000
目的IP地址      |目标主机IP地址
--------------------------------------------
注意:这里以太网目的地址为FFFFFFFFFFFF,这是广播地址,以太网上所有主机都能收到这个包,在收到这个数据包后,操作系统判断目的IP地址是不是这台主机,如果不是则丢弃(不作处理),否则发送回一个ARP应答包,包的内容如下:
------------------------------------------
以太网目的地址  |探测主机的MAC地址
以太网源地址    |本地MAC地址    (这里本地指被探测主机)    
帧类型            |0806
------------------------------------------
硬件类型        |01
协议类型        |0800
硬件地址长度    |06
协议地址长度    |04
OP操作选项      |02
发送端以太网地址|本地MAC地址    (这里本地指被探测主机)
发送端IP地址    |本机IP地址    (这里本地指被探测主机)
目的以太网地址  |探测主机的MAC地址
目的IP地址      |探测主机的IP地址
--------------------------------------------

    我们可以使用Pcap自己来构造这个数据包(具体过程参考Pcap的相关文档,这里我们使用SendARP()来实现),SendARP()是 Microsoft Platform SDK中提供用来获得目标主机的MAC地址的函数,SendARPSendARP的函数原型如下:
DWORD SendARP(
  IPAddr DestIP,     // 目标IP地址
  IPAddr SrcIP,      // 源IP地址
  PULONG pMacAddr,   // 返回MAC地址指针
  PULONG PhyAddrLen  // 返回MAC地址长度
);


下面这个例子摘至MSND,稍做改动可以成为一个以太网内活动主机探测工具
//
// Link with ws2_32.lib and iphlpapi.lib
//

#include <windows.h>
#include <stdio.h>
#include <tchar.h>
#include <iphlpapi.h>


int __cdecl main()
{
    HRESULT hr;
    IPAddr  ipAddr;
    ULONG   pulMac[2];
    ULONG   ulLen;

    ipAddr = inet_addr ("192.168.0.1");
    memset (pulMac, 0xff, sizeof (pulMac));
    ulLen = 6;
    
    hr = SendARP (ipAddr, 0, pulMac, &ulLen);
    printf ("Return %08x, length %8d/n", hr, ulLen);
    
    size_t i, j;
    char * szMac = new char[ulLen*3];
    PBYTE pbHexMac = (PBYTE) pulMac;

    //
    // Convert the binary MAC address into human-readable
    //
    for (i = 0, j = 0; i < ulLen - 1; ++i) {
        j += sprintf (szMac + j, "%02X:", pbHexMac[i]);
    }
    
    sprintf (szMac + j, "%02X", pbHexMac[i]);
    printf ("MAC address %s/n", szMac);
    
    delete [] szMac;

    return 0;
}

个人研究,可能理解不是很全面,有问题可以发送邮件yztgx@163.net交流
loef
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透&&探测 (之ARP探测篇)
weixin_34409357的博客
09-20 2361
题记 hacker A hacker is any highly skilled computer expert. script kiddie A script kiddie is an unskilled individual who uses scripts or programs developed by others to attach computer systems and netw...
发送ARP包 发现活动主机
01-04
在实际操作,如果你想要发现局域网活动主机,可以编写一个程序利用Winpcap库发送ARP请求。ARP请求通常以广播的形式发送到网络上的所有设备,请求的目标IP地址设置为全零(0.0.0.0)。当网络上的任何设备收到这...
ARP 探测工具查看局域网是否arp病毒
10-29
ARP 探测工具ARP 探测工具ARP 探测工具ARP 探测工具
arp3-探测
u014211079的专栏
11-28 792
对每种Neighboring协议,都要定义一个neigh_ops结构,ARP对应的定义为: [ net/ipv4/arp.c ] static const struct neigh_ops arp_generic_ops = { .family = AF_INET, .solicit = arp_solicit, .error_report = arp_error_report,
ARP探测目标工具arping常用命令集合大学霸IT达人
大学霸__IT达人
07-22 695
ARP探测目标工具arping常用命令集合大学霸IT达人 ARP协议是一种将IP地址转化物理地址的协议。通过ARP请求包和响应包,可以判断一个IP地址是否在使用。同理,通过该协议可以探测局域网主机是否开启。arping是一款ARP探测目标工具,该工具不仅可以发送ARP请求,判断一个主机是否在线,还可以发送免费包更新其他主机ARP缓存。 ...
ARP 探测 C语言实现
GOOD__YOUTH的博客
10-11 1861
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <errno.h> #include <sys/types.h> #include <sys/socket.h> #include <linux/if_packet.h> #include <netdb.h> #include <unistd.h
使用ARP发现局域网内活动主机.pdf
11-06
通过这样的实现,程序能够探测到局域网内所有活跃的主机,因为每个活跃的主机在接收到ARP请求后,都会根据自己的IP地址判断是否需要回应,从而揭示其在网络的存在。 总结来说,使用ARP发现局域网内活动主机是一种...
ARP协议获得局域网内活动主机物理地址程序.doc.pdf
11-23
ARP协议获得局域网内活动主机物理地址程序》项目设计报告主要探讨了如何利用ARP协议在局域网发现并获取活动主机的物理地址,同时也涵盖了相关协议的基础知识和软件实现方法。以下是对ARP协议及其相关技术的详细...
使用ARP协议获取局域网内活动主机物理地址
10-27
本项目基于MFC(Microsoft Foundation Classes)对话框和Winpcap库实现了一个程序,能够主动探测并获取局域网内活动主机的物理地址。 首先,我们来详细了解ARP协议的工作原理。当一个主机需要与另一个主机通信时,...
ARP协议获得局域网内活动主机物理地址程序
04-08
ARP(Address Resolution Protocol)协议是局域网...通过以上这些知识点的学习和实践,你可以编写一个能够探测局域网内活动主机物理地址的C++程序,这对于网络监控、故障排查或者网络安全分析都有一定的实用价值。
16.2 ARP 主机探测技术
热门推荐
CSDN
10-21 1万+
ARP (Address Resolution Protocol,地址解析协议),是一种用于将 `IP` 地址转换为物理地址(`MAC地址`)的协议。它在 `TCP/IP` 协议栈处于链路层,为了在局域网能够正确传输数据包而设计,由协议数据单元和对应的操作命令组成。`ARP` 既可以由操作系统处理,也可以由网卡处理。 该协议的作用是通过一个局域网上的互联网协议(IP)地址来查询对应的物理硬件地址,如数据包发送到路由器时,ARP 协议将使用嵌入在数据包的目的 IP 地址查找对应的物理地址,路由器根据获
巧用ARP 探测网络的黑客软件(转载)
天津理工大学 王小明(网络管理学生)
02-02 507
基于ARP协议的网络存活探测技术研究与实践
最新发布
正在成为 code ape
03-11 1101
在现代计算机网络,对局域网内设备的实时在线状态监测是至关重要的环节之一。本文将详细介绍一种基于Python Scapy库实现的ARP(Address Resolution Protocol)扫描方法,用于高效、准确地检测指定IP地址范围内的活跃主机
ARP 协议的一些简要功能和实验环境下的应用
qq_37925969的博客
11-12 1863
ARP(Address resolution protocol)简单的来说是用来完成ip地址和arp 之间的映射关系,从而完成基于 2 层mac 地址标识,和 三层ip 地址标识的 之间转发。 ARP 表项 由 mac 地址和 ip 地址构成 设备获取 mac 地址的方式有 静态 和动态。静态表项由管理员手工配置,默认情况下不会老化掉。动态表项,由arp 报文的收发,完成表项的生成和维护,该表项可以老化。 动态 ARP 的老化参数有 : 老化时间(1200 s 20 min),探测次数(默认3 次),探测
免费ARP和地址冲突检测
a3876247995的博客
04-21 2084
免费ARP 免费ARP的定义:主机发送ARP请求自己的地址,ARP报文的源IP地址和目的IP都是自己,以太网报文的源MAC是自己,目的MAC是全f,广播出去 免费ARP的使用场景:通常网口刚启动的时候发送。 免费ARP的作用: 确定是否有别人也使用了相同的IP,如果存在那么别的主机会应答这个免费ARP,同时本机会报错 针对网卡替换,IP不变的场景,用于刷新其他主机ARP表项 地址冲突检测 地址冲突检测ACD和免费ARP有一点点不同。ACD包括ARP探测报文和ARP通告报文。 ARP探测报文:用于
TCP/IP详解——ARP 协议
来日可期的博客
12-14 3102
ARP(Address Resolution Protocol)协议工作在网络层和数据链路层之间,通常被认为是一个跨两层的协议。当网络设备有数据要发送给另一台网络设备时,必须要知道对方的网络层地址(即IP地址)。IP地址由网络层来提供,但是仅有IP地址是不够的,IP数据报文必须封装成帧才能通过数据链路进行发送。数据帧必须要包含目的MAC地址,因此发送端还必须获取到目的MAC地址。
ARP 协议
时光重返七十年
10-21 1439
总结 ARP 协议,包括请求、应答、免费ARP探测和通告分组
ARP/RARP原理介绍+报文分析+配置示例-【arp-ping资源】
fengxingzhe008的博客
05-26 3008
ARP基本原理+常用ARP命令
ARP探测ARP公告
weixin_45045419的博客
12-15 185
如果 ARP 探测器没有从可能已经使用该 IP 地址的任何人那里生成响应,发起主机将认为该 IP 地址是唯一的,并将发送 ARP 公告以正式“声明”网络上的 IP 地址。目标 IP 地址已被使用,则网络上的其他主机非常不希望根据 ARP 缓存的内容无意更新其 ARP 缓存。更新网络上的所有 ARP 缓存,而 ARP 探针会故意阻止 ARP 缓存更新,以继续防范 IP 地址冲突。地址都会创建完整的 ARP映射,网络上的主机可以在其 ARP使用这对地址。这是有意为之,因为发送 ARP 探测的原因是。
ARP协议实现局域网内主机IP和MAC地址获取
以太网主机间通信是通过MAC地址进行的,而上层协议通常使用IP地址进行通信。为了保证网络主机之间的通信,必须有一种协议来维护IP地址和物理地址之间的对应关系,ARP协议就是用来实现这一功能的。 本次报告的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值