毕业设计（论文）-ARP欺骗监控系统的设计与实现.doc

摘 要网络的迅速发展,给人类生活带来方便,但也对网络安全提出了更高要求。需对网络协议进一步分析，才能够更加有效的安全的应用网络协议。ARP协议是TCP/IP协议中重要的一员,其功能主要是为局域网内网络设备提供IP地址向硬件地址（MAC地址）的转化,其设计建立在局域网内网络设备之间相互信任的基础上,对于不可信任的设备未加考虑，由此产生了许多ARP欺骗攻击方法。本文以ARP协议为基本原理,以防御ARP欺骗、提高网络安全为目的。首先,在对TCP/IP参考模型、ARP协议等相关理论学习的基础上,重点分析了ARP协议的运行机制,包括ARP缓存、ARP帧格式、ARP请求和应答的运行过程等。其次,分析了ARP欺骗原理，ARP欺骗就是通过向目标主机发送一个伪造的包含IP-MAC映射信息的ARP应答报文实现的。最后,根据Windows系统在更新ARP缓存中IP地址和MAC地址映射信息时不检验更新内容可靠性的特点,提出了一种基于服务器客户端的ARP欺骗防御模型,以达到局域网中实现各主机防御ARP欺骗的目的。本软件使用Visual C+6.0作为开发工具，采用Winpcap（Windows Packet Capture）进行网络监视，来实现各种功能要求。关键词：ARP欺骗攻击 ；Visual C+ 6.0 ；监控 ；Protect；服务器 ；客户端AbstractThe rapid development of the network, to human life, but also bring convenience to network security raised taller requirement. The need for further analysis of network protocols, it can be more effective application of security protocols. ARP protocol is TCP / IP protocol an important one, and its main function is to provide network equipment for the LAN IP address to hardware address (MAC address) of the conversion, its design based on the local area network equipment based on mutual trust between the For non-trusted device is not considered, so lots of ARP spoofing attack method.In this paper, the basic principle of ARP protocol to guard against ARP cheating, improve network security purposes. First of all, in the TCP / IP reference model, ARP protocol and other related theoretical study, based on ARP protocol analyzed the operation of mechanisms, including ARP cache, ARP frame format, ARP request and response operation processes. Secondly, the analysis of the principle of ARP deception, ARP deception is through to the target host to send a fake IP-MAC mapping contains information on ARP response packet to achieve. Finally, under Windows system ARP cache updating the IP address and MAC address mapping information when the update does not test the reliability of the characteristics of Neirong, a server-based client ARP deception defense model in order to achieve LAN ARP cheating achievement of the host defense purposes. The software uses the Visual C + +6.0 as development tools, using Winpcap (Windows Packet Capture) for network monitoring, to achieve a variety of functional requirements.Keywords: ARP attack ；Visual C+ 6.0 ；Monitor ；Protect ；Server ；Client目录第一章 概 述11.1课题来源11.2国内外研究现状21.3课题分析2第二章 TCP/IP协议及ARP地址解析协议概述42.1 TCP/IP协议分析42.1.1TCP/IP简介42.1.2TCP/IP协议结构42.1.3数据包的封装52.2 ARP工作原理62.2.1ARP协议62.2.2ARP缓冲区82.2.3ARP报文格式9第三章 ARP欺骗分析及测试153.1ARP欺骗模型153.2常见的ARP攻击手段163.3ARP网关欺骗代码实现163.3.1伪造ARP包结构163.3.2遍历整个网络的实现方法18第四章 防御ARP欺骗系统总体的设计194.1 系统设计思想194.2系统设计框架194.2.1通信系统模型194.2.2服务器端及客户端设计20第五章 系统分析设计215.1系统分析215.1.1系统的可行性215.1.2系统目标及功能分析225.1.3系统模型235.2系统设计245.2.1设计思想及系统结构图245.2.2模块数据流结构图255.2.3系统流程图27总结29(一)总结29(二)遇到的问题及解决29致 谢32参考文献33附录34第一章 概 述1.1课题来源课题ARP欺骗监控系统的设计与实现来源于实际网络的安全应用1。因为随着网络建设步伐的加快和网络应用的日益广泛，网络用户的数量也在不断增多。互联网（Internet）已经成为人们成为人们生活的一部分。我们要辩证的看待互联网，它是一把双刃剑，一方面给用户带来了方便，另一方面使得维护和保证网络安全变得困难，网络安全方面的问题也越来越突出，其中内部网（局域网内）的安全风险最为严重。内部员工对自身企业网络结构、应用比较熟悉，自己攻击或泄漏重要信息，内外勾结，都将可能成为致命的威胁。因此研究内部网络用户的监控技术变得极为迫切，对用于监听、查看用户行为的需求不断增加。在目前存在的种类繁多的受攻击状况中，其中一种就是ARP欺骗攻击。由于以太网络的ARP协议是一个不安全的协议，是直接和用户使用的网络设备交互的协议。ARP协议2是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管(其实也不知道)是否是合法的应答，只要收到目标MAC是自己的 ARP 应答包或 ARP广播包(包括 ARP request和ARP reply)，都会接受并缓存，这就为ARP欺骗提供了可能。恶意节点构造并发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人“3，截获用户的数据。为了提供正常的安全的通信服务，我们提出该课题，通过对ARP欺骗的进行监控来防御并解决已发生攻击现象的局域网环境，提出了一种基于服务器客户端3的ARP欺骗防御模型,以达到局域网中实现各主机防御ARP欺骗的目的。1.2国内外研究现状随着网络的飞速发展，Internet的迅速普及，网络已经深入到了我们的生活，信息安全和网络安全的越来越被关注，实时的了解和掌握网络的使用情况和网络中传输的各种数据的要求也越来越高。通过得到的网络内部传输的数据来判断网络的安全。近几年来，许多人投入到这一领域上来，在网络监控软件上取得了一些成绩。国内的有网络哨兵，360安全卫士等。就国内来说，网络监控的研究刚刚起步，为了解网络的实时情况，对存在的网络安全威胁进行处理，各研究机构和企业相应研究和开发了一些应用系统来防范网络上的一些非法行为，但在产品的可靠性，检测的准确性方面，与国外的产品还有一定得距离，这些都需要进一步的研究来解决。因为ARP协议设计的不完善致使攻击的普遍存在。在监控软件中，ARP攻击的欺骗监控防御最为普遍。 1.3课题分析该系统也就是一个局域网管理软件，可以监控网络用户的行为，利用winpcap捕获用户数据包，分析ARP包，当发现有非法行为后，利用ARP欺骗阻断其与Internet的联系（反欺骗手段）从而达到管理局域网的目的。系统应用于实际的局域网网络，必须符合大多数用户的使用要求，方便用户的操作，这也符合课题中的该系统是一个可视化窗口界面系统的要求，所以需要选择一种可视化的开发工具，在选择开发工具时，首先必须选择开发的系统环境，比如windows环境，或者Linux环境，在这里我选择了windows编程技术中常用的开发平台Visual C+ 6.0来实现开发的。系统主要是根据网络安全应用的具体实行情况而设计的，涉及到底层ARP地址解析协议的相关知识，需要windows平台上的winpcap类来完成底层操作，其主要需要完成以下三部分功能：监控ARP网关欺骗功能，保护本机到网关之间通信功能及修复这个网络的功能。另外需要把握一个核心就是得到正确的网关MAC地址，通过该系统的设计深刻理解ARP协议同时运用各种技术来弥补ARP协议的缺陷。第二章 TCP/IP协议及ARP地址解析协议概述2.1 TCP/IP协议分析2.1.1TCP/IP简介TCP/IP协议是 Internet进行通信的基础 ,只有深入理解了 TCP/IP基本概念、工作原理 ,才能更好的掌握和理解Internet，理解网络通信原理。TCP/IP5协议它由两个部分组成，一个是用来检测网络传输中差错的传输控制协议（TCP），当检测到传输中有差错时，它能产生重发信号，源端收到该信号后就重新传输发生差错的包，通过这种差错重传机制保证数据正确传输到目的地；另一个是专门负责对不同网络进行互联的互联网协议（IP）。TCP/IP协议设计的基本原则：每一个独立的网络必须按自己的标准建立起来，当这个网络和互联网连接时，不需要对其内部做任何改动。网络应该在最佳状态下完成通信。如果一个信包没有到达目的地，最初发出信包的结点将很快重发该信包。网络之间通过网关和路由器设备进行互相连接。2.1.2TCP/IP协议结构TCP/IP协议是一个四层协议，协议的每层对上一层是透明的，例如说，应用层只负责应用程序之间的通信规则，完全不必理会数据是怎样在网络中传输，也不必理会怎样接入网络。而对于网络接口层来说，它完全不需要知道正在传送的是什么数据。协议的透明性给我们提供了更加简便的开发思想。我们不需要了解内部数据的具体情况，从而缩短了开发周期。TCP/IP网络协议栈分为应用层（Application）、传输层（Transport）、网络层（Network）和链路层（Link）四层。图2.1所示6。图2.1 TCP/IP协议是一个四层协议2.1.3数据包的封装当应用程序传送数据时数据被送入协议栈，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对收到的数据都要增加一些首部信息（有时还要增加尾部信息），如图2.2所示。例如在本课题中要求知道正确的网关MAC地址，可以通过在局域网中设置一台主机为存储正确网关MAC地址的主机，运行软件时只需监测主机向该主机申请网关MAC地址。基本实现方法就是建立一应用程序，一层一层的添加头部信息，发送到监测主机，然后监测主机在进行解析，得到用户数据（正确的网关MAC地址）。图2.2显示了数据包的封装过程。传输层及其以下的通信机制由内核提供，应用层由用户进程提供，应用程序对通信数据的含义进行解释，可以认为是应用层之间的协议。应用层数据通过协议栈发到网络上时，每层协议都要加上一个数据首部（header），称为封装（Encapsulation）7。图2.2数据包封装2.2 ARP工作原理2.2.1ARP协议ARP协议是常用的TCP/IP底层协议。在以太网中进行IP通信的时候需要一个协议来建立IP地址与MAC地址的对应关系，以使IP数据包能发到一个确定的地方去。这就是ARP(Address Resolution Protocol，地址解析协议)。ARP帧共有42位，加上18位填充位以及4位CRC，组成64位物理帧。格式如图2.38所示。图2.3ARP请求与应答包报文格式ARP协议的工作过程：当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时，它把信息分割并封装成包，附上目的主机的IP地址。然后，寻找IP地址到实际MAC地址的映射，这需要发送ARP数据包消息。当ARP找到了目的主机MAC地址后，就可以形成待发送帧的完整以太网帧头。最后，协议栈将IP包封装到以太网帧中进行传送。如图2.4所示，描述了ARP广播过程。在图2.4中，当主机A要和主机B通信（如主机A Ping主机B）时。主机A会先检查其ARP缓存内是否有主机B的MAC地址。如果没有，主机A会发送一个ARP请求广播包，此包内包含着其欲与之通信的主机的IP地址，也就是主机B的IP地址。当主机B收到此广播后，会将自己的MAC地址利用ARP响应包传给主机A，并更新自己的ARP缓存，也就是同时将主机A的IP地址/MAC地址对保存起来，以供后面使用。主机A在得到主机B的MAC地址后，就可以与主机B通信了。同时，主机A也将主机B的IP地址/MAC地址对保存在自己的ARP缓存内也就是后面对应的ARP缓冲表。图2.4 ARP广播2.2.2ARP缓冲区在工作站PC的windows环境中，ARP条目的寿命是2分钟。 在工作站PC的Windows环境中，可以使用命令arp -a查看当前的ARP缓存，如图3所示。为了能够人工的修改ARP缓存，可以使用arp d来删除ARP缓存里面存放的IP-MAC地址对。IP-MAC地址对也就是电脑里存储的关于IP地址与MAC地址的对应关系，dynamic表示是临时存储在ARP缓存中的条目，过一段时间就会超时被删除(具体时间不同操作系统不同)。Static表示是静态存储在ARP缓存中的条目，不会因为超时而被删除，这也为我们设计保护本机通信提供了一些方法依据。图2.5 Windows环境下，命令arp -a的输出2.2.3ARP报文格式2.2.3.1 IP-MAC映射9每个网卡都有自己全球唯一的MAC地址，它们是以MAC地址来传输以太网数据包的，它们不可能识别IP包中的IP地址，实际上网卡把收到的包提交到协议栈的缓冲，成为链路层包，再分离出IP层的包，再分离出TCP ，UDP。发送包则是相反的过程，进行添加头部信息。2.2.3.2ARP包的格式一个ARP包是分为两个部分的，前面一个是物理帧头或EtherHeader，后面一个才是ARP帧或ArpFrame10。首先，物理帧头，它将存在于任何一个协议数据包的前面，叫DLC Header，因为这个帧头是在数据链路层构造的，并且其主要内容为收发双方的物理地址（MAC地址），以便硬件设备识别。表2.1对局域网内所有的主机MAC地址进行广播，包括：接收方的MAC地址、发送方MAC地址、网络的类型这里就是以太网默认值为（0X0806）。因为这里说的是广播数据则接收MAC地址为ff-ff-ff-ff-ff-ff。另需填充是发送方的MAC地址。表2.1物理帧头格式DLC Header字段长度（Byte）默认值备注接收方MAC6广播时， 为ff-ff-ff-ff-ff-ff发送方MAC6Etnertype20x08060X0806是ARP帧的类型值采用C语言中的枚举类型11就行设置同一结构体中的数据和结构体的设置如下：enum MAC_ADDR_LEN = 6, / mac地址的长度IP_ADDR_LEN = 4 / IP地址的长度;typedef struct unsigned char eh_dstMAC_ADDR_LEN; /以太网目的地址 unsigned char eh_srcMAC_ADDR_LEN; /以太网源地址 unsigned short eh_type; /以太网类型，默认0x0806 char data1;/字符指针用来执行ARP头部 ETH_t, *pETH_t;下面是ARP帧，硬件类型、上层协议类型等都是些固定的数值，针对常用的以太网，只需设置为默认值即可，硬件类型以太网类型值默认为0x1，上层协议类型为IP协议默认值为0x0800，Mac地址长度为6，IP地址长度对于IP4，IP地址长度为4。，操作码就是请求和应答，其他MAC地址和IP地址根据发送接收的关系来填写。表2.2 ARP帧格式ARP Frame字段长度（byte）默认值备注硬件类型20x1以太网类型值上层协议类型20x0800上层协议为IP协议Mac地址长度10x6以太网Mac地址长度为6IP地址长度10x4IP地址长度为4操作码20x1表示ARP请求包，0x2表示应答包发送方Mac6发送方Ip4接受方Mac6接收Ip4填充数据18物理帧至少为64字节前面的42字节加上4个校验字节还差18个字节2.2.3.3ARP包的填充对于ARP包分为两种：一种是ARP请求包，另一种是ARP应答包。()请求包的填充比如电脑MAC地址为 aa-aa-aa-aa-aa-aa，IP为 192.168.0.1需查询 192.168.0.99的MAC地址。首先填充DLC Header，想要知道某个主机对应的MAC地址是要给全网发送广播的，所以接收方MAC肯定是 ff-ff-ff-ff-ff-ff，如表2.3所示。表2.3 ARP请求包中的DLC帧头字段长度（Byte）填充值接收方MAC6Ffffffffffff发送发MAC6AaaaaaaaaaaaEthertype20x0806接下来是请求包的ARP帧，由前面的填充包中，知道针对交换式以太网12，很多字段是默认的数据如硬件类型等。需要填写只有三种数据：请求包的操作码、发送方的MAC地址和IP地址、接收方的MAC地址和IP地址。在不知道接收方MAC地址的情况下，对于接收方MAC填入任意值就行，不起作用，对于其它的MAC地址和IP地址按照对应关系填写，具体格式如表2.4所示。表2.4 ARP请求包中 ARP帧ARP Frame字段长度（byte）填充值硬件类型21上层协议类型20x0800641Aaaaaaaaaaaa192.168.0.1/fakeip任意值xxxxxxxxxxxx192.168.0.990Mac地址长度1IP地址长度1操作码2发送方Mac6发送方Ip4接受方Mac6接收Ip4填充数据18如果我们构造一个这样的包发送出去，如果 192.168.0.99存在且是活动的，我们马上就会收到一个192.168.0.99发来的一个响应包，我们可以查看一下我们的ARP缓存列表（查看方法开始-运行-cmd-输入arp-a）得到如下的信息列表。192.168.0.99 bb-bb-bb-bb-bb-bb dynamic这里假设192.168.0.99（MAC为 bb-bb-bb-bb-bb-bb）这样192.168.0.99的ARP缓存中就会多了一条关于我们192.168.0.1的地址映射。 (2) 响应包的填充比如说给 192.168.0.99（MAC为 bb-bb-bb-bb-bb-bb）发一个ARP响应包，告诉它请求电脑的MAC地址为 aa-aa-aa-aa-aa-aa。这时接收方的MAC地址和发送方的MAC地址互换，接收方MAC地址为Bbbbbbbbbbbb，发送方的MAC地址为Aaaaaaaaaaaa，以太网类型还为0x0806，如表2.5所示。表2.5 ARP响应包中 DLC Header内容DLC Header字段长度（Byte）填充值接收方MAC6Bbbbbbbbbbbb发送方MAC6AaaaaaaaaaaaEthernet20x0806需要填写只有三种数据：请求包的操作码、发送方的MAC地址和IP地址、接收方的MAC地址和IP地址。MAC地址和IP地址按照对应关系填写，具体格式如表2.6所示。表2.6 ARP响应包中ARP帧的内容ARP Frame字段长度（byte）填充值硬件类型21上层协议类型20x0800642Aaaaaaaaaaaa192.168.0.1bbbbbbbbbbbb192.168.0.990Mac地址长度1IP地址长度1操作码2发送方Mac6发送方Ip4接受方Mac6接收Ip4填充数据18第三章 ARP欺骗分析及测试3.1ARP欺骗模型网络设备无法识别ARP包的真伪，而且也不能识别，如果基本的约定都是假的，会带来致命的灾难。如果按照ARP的格式来发送数据包，只要信息有效计算机就会根据包中的内容做相应的反应，如果操纵网卡设备发送数据和掌握包的格式，便可以做欺骗攻击。路由器中有一个IP地址也就是网关IP。现在存在多台主机连接在路由器上，这里只是说明网关欺骗技术的基本原理。基本系统模型：多台主机通过交换机互连，再通过路由器连接到Internet上，这一基本构架是实现网关欺骗的基本模型，如图3.1Error! Reference source not found.所示。图3.1基本系统模型3.2常见的ARP攻击手段常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。ARP扫描（ARP请求风暴）通讯模式（可能）： 请求 - 请求 - 请求 - 请求 - 请求 - 请求 - 应答 - 请求 - 请求 - 请求. 描述： 网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。 出现原因（可能）： 病毒程序，侦听程序，扫描程序。ARP欺骗：ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。3.3ARP网关欺骗代码实现3.3.1伪造ARP包结构首先，要把构造的数据包发送到整个局域网上，所以接收方的MAC地址应该为ff-ff-ff-ff-ff-ff，发送方MAC地址，可以通过开始-运行-cmd-ipconfig/all查询，以太网类型为0x0806，物理帧头的设置如表3.1所示。表3.1 物理帧头格式DLC Header字段长度（Byte）填充值接收方MAC6广播时，为ff-ff-ff-ff-ff-ff发送方MAC6自己的MAC地址Ethernet20x0806是ARP帧的类型值对于构造的欺骗包的ARP Frame的结构，如表3.2所示。这里采用了一种比较巧妙的方法就是通过全网段扫描的方法，通过IP和NETMASK(子网掩码)进行与运算实现得到接收方的IP地址，从而实现全网的欺骗。通过发送构造包可实现网关欺骗攻击。表3.2 ARP请求包中 ARP帧ARP Frame字段长度（byte）填充值硬件类型21上层协议类型20x0800641自己的MAC192.168.0.1 /fakeip任意值xxxxxxxxxxxxIP跟NETMASK形成的地址0Mac地址长度1IP地址长度1操作码2发送方Mac6发送方Ip4接受方Mac6接收Ip4填充数据183.3.2遍历整个网络的实现方法这段代码是实现遍历整个网络的核心代码,要把构造的数据包发送到局域网中传输，需要知道三个地址MAC地址，fakeIp地址，destIP地址，通过getselfmac地址可以得到MAC地址，要伪造的IP地址，通常是已知的，现在要做的就是知道目的Ip，基本思想就是通过一个全网段遍历程序来实现全网段扫描。假设对于所在网络的子网掩码是已知的，则我们可以得到子网地址（通过Ip和子网掩码netmask进行相与得到），而又可通过子网掩码得到网络中的主机数，则这样就能实现遍历。unsigned long netsize = ntohl(netmask); /网络中主机数unsigned long net = ip & netmask; /子网地址for(unsigned long n=1; ntools-Options-Directories,选择wpcap文件的相应文件配置相关的设置。如在E:bszyjwpdpack，则设置如图7.1和图7.2所示。图7.1图7.22.在设计程序中，经常要删除某一功能时，习惯先删除代码，从而引出如下问题。如图7.3所示。Output WindowLinking.ArpCheaterDlg.obj : error LNK2001: unresolved external symbol protected: void _thiscallCArpCheaterDlg:OnButtongetmac(void)(?OnButtongetmacCArpCheaterDlgIAEXXZ)Debug/ArpCheater.exe : fatal error LNK1120: 1 unresolved externalsError executing link.exe.Creatingcommandlinebscmake.exe/nologo/oDebug/ArpCheater.bsc .DebugStdAfx.sbr .DebugArpCheater.sbr .DebugArpCheaterDlg.sbr .DebugArpSocket.sbr .DebugConnectDlg.sbrCreating browse info file.ResultsArpCheater.exe - 2 error(s), 0 warning(s)解决方法：在基本软件应用中如果要删除某功能，应该先是从向导里面删除其功能，然后再删除代码，最后删除代码。3. 添加CSocket之后需在主程序中添加#include ，可是在winsock的头文件中包含有部分参数，会提示重复定义的错误提示。解决方法：在stdafx.h添加#include 和#include 。 在实际工程应用中，还遇到了很多问题，这里只是简介了一下配置时头文件的问题和常见的问题进行简要的说明。致 谢本次毕业设计从开始的课题选择、理解课题、VC+6.0软件学习到程序编写及功能的设计实现，总共历时5个月的时间。在本次毕业设计中，开荒阶段对数据链路层ARP协议的解析理解是最难的，从对系统的认识理解到预计的基本功能的实现，运用通用的模块化设计方法实现了基本的功能。本论文的顺利完成，得到了指导老师的精心指导，把握方向的远见卓识都给了我极大的启发和益处。从论文的调研、立题，到每一个细节的工作，特别是在解决问题的思想上老师给我了很多关键性的意见，包括对论文的逐字、逐句、逐行的修改和审阅，都倾注了老师的辛勤的劳动。在毕业设计期间，得到了老师的无微不至的关怀和耐心的帮助，给我了很多理论上的帮助，并且努力培养我的独立科研的能力，这些都将是我今后人生道路上不可多得的财富。我特此对老师表示衷心的感谢。在论文完成之际，谨向在毕业实践和书写论文过程中所有培养、关心、帮助过我的领导、老师和同学表示我最衷心的感谢！四年的大学时光即将过去，感谢老师这些年来对我的教育培养，我从他们身上收益匪浅，老师们的教诲我终身难忘。在四年的学习和生活中，有过很多的老师和同学给过我帮助和关怀，学校为我们提供了良好的学习环境和条件，让我们充分自由的尽可能按自己的个性爱好发展自我。参考文献1 汪洋，祝跃飞，刘胜利，张长河，交换式局域网监听技术研究与实现J.计算机应用研究，20052 周明天，TCP/IP网络原理与技术M.北京：清华大学出版社19943 郭浩，郭涛,一种基于ARP欺骗的中间人攻击方法及防范.信息安全与通信保密J，20054 王艳平，张越. Windows网络与通信程序设计M.北京：人民邮电出版社，20065 （日）小高知宏 著 叶明译,TCP/IP数据包分析程序篇M,科学出版社,20026 Andrew S.Tanenbaum著，潘爱民译. 计算机网络（第4版）M. 清华大学出版社, 2004.87 Anthony Jones，Jim hlund.Windows 网络编程M.杨合庆译，北京：清华大学出版社，20028 徐丹，黎俊伟，高传善，基于Ethernet的网络监听以及ARP欺骗J.计算机应用与软件，20059 （日）井口信和著 吴松芝，董江洪译,TCP/IP网络工具篇M,科学出版社,200310 郑莉，董渊，张瑞丰,C+语言程序设计M.北京：清华大学出版社，200311 谭浩强，C语言程序设计M,清华大学出版社，200612 张忠帅编著,VC+2008专题应用程序开发实例精讲M,电子工业出版社，200813 孙鑫，余安萍 M,VC+深入详解, 电子工业出版社，200614 （日）村山公保著 冯杰，闫鲁生译,TCP/IP网络实验程序篇M,科学出版社,2003附录一：欺骗攻击程序源代码/ArpCheat.cpp #include #include #include #include #include #include ArpCheat.h int main(int argc,char* argv) pcap_if_t *alldevs; /全部网卡列表 pcap_if_t *d; /一个网卡 int inum; /用户选择的网卡序号 int i=0; /循环变量 pcap_t *adh