1、网络执法官是一个辅助软件,占用网络资源少,对网络没有不良影响。该软件不需要运行在指定的服务器上,而是可以运行在网络中的任何主机上,以有效地监控连接到该计算机的所有网络。
(资料图)
2、下面,我们来看看局域网管理助手软件的介绍。
3、首先,我们来了解一下网络执法人员的工作原理:
4、网络执法官是一种网络管理软件,可以用来管理局域网,可以禁止局域网内的任何机器连接网络。对于网管来说,这个功能自然是非常好的,但是如果局域网内的其他人也使用这个功能,那就麻烦了。因为太轻了别人上不了网,
5、否则整个局域网都会瘫痪。有什么解决办法?请看以下几招及其原理。
6、第一,引进网络执法人员
7、我们可以在局域网内的任何机器上运行网络执法官的主程序NetRobocop.exe。可以穿透防火墙,实时监控和记录整个局域网用户的上网情况,可以限制每个用户上网时使用的IP、时间和时长。
8、并能将非法用户踢出局域网。这款软件的应用范围是在局域网内,无法对网关或路由器外的机器进行监控或管理,适合局域网管理员使用。
9、在网络执法官中,如果要限制一台机器上网,只需在‘网卡’菜单中点击‘权限’,选择指定的网卡号或者在用户列表中点击网卡所在的行,在弹出的对话框中,从右键菜单中选择‘权限’,即可限制用户的权限。
10、对于未注册的网卡,可以这样限制上网:只要设置(注册)了所有已知用户,就可以将网卡默认权限改为禁止上网,防止所有未知网卡上网。使用这两个功能可以限制用户上网。
11、原理是通过ARP欺骗给被攻击的电脑发送一个假网关IP地址对应的MAC,让其找不到网关的真实MAC地址,从而禁止其上网。
12、二、ARP欺骗的原理
13、网络执法人员使用的ARP欺骗让被攻击的电脑无法上网,其原理是让电脑找不到网关的MAC地址。那么ARP欺骗是怎么回事呢?
14、首先,我来告诉你什么是ARP。ARP(地址解析协议)是地址解析协议,是将IP地址转换成物理地址的协议。
15、有两种方法将IP地址映射到物理地址:列表和非列表。
16、具体来说,ARP就是将网络层(IP层,相当于OSI的第三层)的地址解析成数据连接层(MAC层,相当于OSI的第二层)的MAC地址。
17、ARP原理:当一台机器A要向主机B发送消息时,会查询本地ARP缓存表,找到B的IP地址对应的MAC地址后,就会传输数据。如果找不到,
18、然后广播ARP请求消息(携带主机A的IP地址Ia——和物理地址Pa ),请求IP地址为Ib的主机B应答物理地址Pb。Internet上的所有主机(包括B)都收到了ARP请求,但只有主机B能够识别自己的IP地址。
19、于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,
20、本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
21、ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,
22、当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,
23、这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,
24、那个伪造出来的MAC地址在A上被改变成一个不存在的MAC 地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
25、网络执法官利用的就是这个原理!知道了它的原理,再突破它的防线就容易多了。
26、三、局域网内的“反击战”修改MAC地址突破网络执法官的封锁
27、根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法:
28、在"开始"菜单的"运行"中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_ MACHINE\System\CurrentControl
29、Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
30、18}子键,在子键下的0000,0001,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有0001,0002.在这里保存了有关你的网卡的信息,
31、其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel 210
32、41 based Ethernet Controller),在这里假设你的网卡在0000子键。
33、在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。
34、然后在"0000"子键下的NDI\params中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。
35、在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network
36、Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MAC Address的选项,
37、它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。
38、关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。
39、MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,
40、MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2 个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,
41、08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。
42、每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。
43、另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,
44、就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
45、 四、找到使你无法上网的对方
46、解除了网络执法官的封锁后,我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller,
47、然后点击"Sniffer监测工具",在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP,单击"开始检测"就可以了。
48、检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。
49、扫描时自己也处在混杂模式,把自己不能算在其中哦!
50、如果大家绝的这方法太复杂的话,也可以简单点,介绍个防ARP欺骗的软件(用法很简单,软件大家可以去网上搜索下载这里就不多说了):
51、ARP防火墙单机版4.0 Beta4,02月04日发布,原名Anti ARP Sniffer,采用全新系统内核层拦截技术,能彻底解决所有ARP攻击带来的问题,能够保证在受到ARP攻击时网络仍然正常,
52、能彻底解决在受到攻击时出现的丢包现象。能自动拦截并防御各类ARP攻击程序、ARP病毒、ARP木马、通过智能分析抑制所有ARP恶意程序发送虚假数据包。
53、自动识别ARP攻击数据类型:外部攻击、IP冲突、对外攻击数据,并详细记录所有可疑数据包并追踪攻击者,软件能自动统计ARP广播包发送接受数量。
54、主要功能:
55、自动拦截和防御所有ARP恶意程序,无论ARP恶意程序如何变种都能进行主动拦截。
56、自动防御来自局域网的任意地址的ARP攻击,无论如何欺骗都能进行主动防御。
57、智能分析并详细记录欺骗数据包内容,快速定位局域网ARP攻击者。
58、自动防御和欺骗状态都能保持正常通讯,不丢弃任何数据包。
本文到此结束,希望对大家有所帮助。
关键词:
