网络攻击：如何中断指定两台电脑的连接

作者：宋宾

关键字:MAC ARP

       本文讲述如何中断两个电脑A和B之间的连接，这个问题听起来好像没有什么实际用
处，不过如果你喜欢玩CS这样的局域网对战游戏就知道他的妙处了。。。。J

       首先，我们要知道，局域网中的任何一台电脑都有自身的IP，但是IP只是一个逻辑
地址，是可以随便改变的，两个节点之间如果要进行数据的传输，就必须知道对方的IP。这
是任何人都知道的，但是只知道IP，还不能进行数据传输，我们必须知道它的物理地址，也
就是说网卡的MAC地址。

       那么如何知道一个MAC地址呢？当两个节点A和B第一次进行连接以前，A并不知道B的
MAC地址，此时A通过ARP协议发送一个广播包，网络中的所有节点都会收到这个广播包，这
个包中记载了A的IP和MAC地址，同时记载了B的IP，这个时候当节点B接收到这个广播包以后
发现里面的IP就是自己的IP地址，于是就向A的IP发送一个回复包，告诉A节点B的MAC地址是
什么，这样A和B就完成了第一次连接，以后再进行数据的传输就不用再去获得对方的MAC地
址了，只要从自己的ARP高速缓存中取出B或者A的MAC地址，然后直接发送。

       此时我们看到，他首先会查找自己的ARP高速缓存，如果缓存中没有才会去发送广播
包找寻MAC地址。这里就是关键了，也就是说如果我们能让A的ARP高速缓存中B的IP所对应的
MAC地址永远是错的，就可以造成A不能访问B了，当然，A还可以随便访问别人，而且B可以
访问A，明白了吗？下面我们说说具体实现。

       首先我们需要有一个局域网流量分析软件，我是用的是Iris，开动Iris的监控，截
获B回复A的ARP数据包（这个包保存好，以后可以随时用），停止监控。在数据包中，找到B
的MAC地址（ARP Data中），改成FFFFFFFFFFFF，然后把这个包发送出去，可以设置为发送9
999次，间隔1，这样，A电脑里面ARP高速缓存的MAC地址和IP地址的对照就会一直错下去，
直到停止发送后过几秒钟才会恢复正常。这样A和B的传输就中断了。如果不能轻易获得B回
复A的ARP数据包，可以更改自己的IP为A的IP，然后Ping B的IP，得到这个包，把包中MAC h
eader里面的Dest Address改成A的MAC地址再使用上面的方法。实际上由于ARP数据字段和MA
C Header字段都没有检验和，所以可以使用任何一个数据包来伪造。

       上面就是我的土方法，已经自己测试过了，如果大家有其他的方法希望能够告诉我
，让我们共同进步，也欢迎指出错误或者不明白的可以问我，谢谢。

       QQ:393356（请注明看了这篇文章。）

       Email:guiwang.com@163.com