以下文章轉自嬴政天下論壇
反p2p終結者(從此告別流量控制)簡體特別版
由於最近p2p終結者破解版在網絡流行,被很多人濫用,造成很多人網速很慢,無法正常上網,飽受流量控制之苦。下載完解壓出來後會有兩個應用程序WinPcap_3_0 和 ap2pover ;先執行WinPcap_3_0進行安裝,然後在運行ap2pover,選擇妳所用的網卡類型,然後單擊殺掉p2p終結者,呵呵,壹切就到此結束,妳已告別了p2p終結者對妳的流量的控制,希望這個軟件可以幫到所有熱愛學習卻飽受流量控制的朋友~~
下載: /downinfo/201.html
以下文章轉自霏凡論壇
面對局域網用戶濫用網絡執法官,p2p終結者等網管軟件的破解方法
總結網絡執法官,p2p終結者等網管軟件使用arp欺騙的防範方法
首先說明壹下.BT和訊雷升級後.這個軟件會把它們封了的.也就是說BT下載速度很可能會變為0.解決辦法就是設置壹下.
把BT改成為永久信任此程序.還有就是不要記錄該程序的記錄.訊雷也壹樣要設.
首先介紹壹個超好的防火墻給大家:Outpost Firewall 它可以防護p2p終結者等惡意軟件..效果超好..還能查出局域網哪臺機在使用,這個防火墻功能強大,占用資源少,個人評分5個星.大家可以上網查找壹下.
這幾天很郁悶,同壹個局域網的同學經常使用p2p終結者來限制網內用戶的流量,搞的大家都很惱火,但是歸於是同學,也不好明說,後來借助霏凡論壇的搜索功能,成功解決了這個問題
事先聲明,我是壹個菜鳥,但是我也想在這裏建議和我壹樣程度的霏友,多使用霏凡的搜索功能,它真的比妳在“求助區”發貼來的快多了(在某些方面),而且自己也能學到東西
現將我搜索的資料總結如下,以方便以後遇到同樣問題的霏友能搜到壹個完整的資料,同時在這裏也要感謝“zzswans”這位霏友對我提供的幫助!
其實,類似這種網絡管理軟件都是利用arp欺騙達到目的的
其原理就是使電腦無法找到網關的MAC地址。
那麽ARP欺騙到底是怎麽回事呢?
首先給大家說說什麽是ARP,ARP(Address Resolution Protocol)是地址解析協議,是壹種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。
ARP具體說來就是將網絡層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A壹個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回壹個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當局域網中的某臺機器B向A發送壹個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於局域網的網絡流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成壹個不存在的MAC地址,這樣就會造成網絡不通,導致A不能Ping通C!這就是壹個簡單的ARP欺騙。
解決方法
歸納起來有以下方法:
1. 使用VLAN
只要妳的PC和P2P終結者軟件不在同壹個VLAN裏, 他就拿妳沒辦法.
2. 使用雙向IP/MAC綁定
在PC上綁定妳的出口路由器的MAC地址, P2P終結者軟件不能對妳進行ARP欺騙, 自然也沒法管妳, 不過只是PC綁路由的MAC
還不安全, 因為P2P終結者軟件可以欺騙路由, 所以最好的解決辦法是使用PC, 路由上雙向IP/MAC綁定, 就是說, 在PC
上綁定出路路由的MAC地址, 在路由上綁定PC的IP和MAC地址, 這樣要求路由要支持IP/MAC綁定, 比如HIPER路由器.
3. 使用IP/MAC地址盜用+IP/MAC綁定
索性妳把自己的MAC地址和IP地址改成和運行P2P終結者軟件者壹樣的IP和MAC, 看他如何管理, 這是壹個兩敗俱傷的辦法,
改動中要有壹些小技巧, 否則會報IP沖突. 要先改MAC地址, 再改IP, 這樣壹來WINDOWS就不報IP沖突了(windows傻吧))), 做到這壹步還沒有完, 最好妳在PC上吧路由的MAC地址也綁定, 這樣壹來P2P終結者欺騙路由也白費力氣了.
以上的方法我覺得都不適合我這邊的環境,所以我采用了壹下的解決方法:
利用Look N Stop防火墻,防止arp欺騙
1.阻止網絡執法官控制
網絡執法官是利用的ARp欺騙的來達到控制目的的。
ARP協議用來解析IP與MAC的對應關系,所以用下列方法可以實現抗拒網絡執法官的控制。
如果妳的機器不準備與局域網中的機器通訊,那麽可以使用下述方法:
A.在“互聯網過濾”裏面有壹條“ARP : Authorize all ARP packets”規則,在這個規則前面打上禁止標誌;
B.但這個規則默認會把網關的信息也禁止了,處理的辦法是把網關的MAC地址(通常網關是固定的)放在這條規則的“目標”區,在“以太網:地址”裏選擇“不等於”,並把網關的MAC地址填寫在那時;把自己的MAC地址放在“來源”區,在“以太網:地址”裏選擇“不等於”。
C.在最後壹條“All other packet”裏,修改這條規則的“目標”區,在“以太網:地址”裏選擇“不等於”,MAC地址裏填FF:FF:FF:FF:FF:FF;把自己的MAC地址放在“來源”區,在“以太網:地址”裏選擇“不等於”。其它不改動。
這樣網絡執法官就無能為力了。此方法適用於不與局域網中其它機器通訊,且網關地址是固定的情況下。
如果妳的機器需要與局域網中的機器通訊,僅需要擺脫網絡執法官的控制,那麽下述方法更簡單實用(此方法與防火墻無關):
進入命令行狀態,運行“ARP -s 網關IP 網關MAC”就可以了,想獲得網關的MAC,只要Ping壹下網關,然後用Arp -a命令查看,就可以得到網關的IP與MAC的對應。此方法應該更具通用性,而且當網關地址可變時也很好操作,重復壹次“ARP -s 網關IP 網關MAC”就行了。此命令作用是建立靜態的ARP解析表。
另外,聽說op防火墻也可以阻止,我沒有試過,所以請有興趣的朋友可以試試
插曲:
期間,我也用網絡特工查找過,到底是誰在使用p2p終結者,通過檢測
我發現那臺主機是通過UDP的137端口向我發送數據的,
於是做為菜鳥的我設想,用防火墻屏蔽掉這個端口
然後發局域網內所有的人拖入黑名單,
阻止他們和我通訊
似乎也可以達到阻止被控制的目的
這裏經zzswans霏友的提示說arp不基於端口的,端口只有tcpip協議裏有,arp協議裏無端口概念。,所以可能這種方法行不通
但我覺得我思考過了,得到了經驗,這才是最重要的
還有,霏凡的霏友都很不錯的,有問題問他們,大家都很熱情的幫助妳,非常喜歡霏凡的這種氛圍。
因為短信沒有辦法恢復太多的文字,所以重新發貼。
轉自其他論壇的文章。
網絡執法官是壹款網管軟件,可用於管理局域網,能禁止局域網任意機器連接網絡。對於網管來說,這個功能自然很不錯,但如果局域網中有別人也使用該功能那就麻煩了。因為這樣輕則會導致別人無法上網,重則會導致整個局域網癱瘓。有什麽解決辦法呢?請您看下面的招數及其原理。
壹、網絡執法官簡介
我們可以在局域網中任意壹臺機器上運行網絡執法官的主程序NetRobocop.exe,它可以穿透防火墻、實時監控、記錄整個局域網用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下局域網。該軟件適用範圍為局域網內部,不能對網關或路由器外的機器進行監視或管理,適合局域網管理員使用。
在網絡執法官中,要想限制某臺機器上網,只要點擊"網卡"菜單中的"權限",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇"權限",在彈出的對話框中即可限制該用戶的權限。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的默認權限改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦壹個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
二、ARP欺騙的原理
網絡執法官中利用的ARP欺騙使被攻擊的電腦無法上網,其原理就是使該電腦無法找到網關的MAC地址。那麽ARP欺騙到底是怎麽回事呢?
首先給大家說說什麽是ARP,ARP(Address Resolution Protocol)是地址解析協議,是壹種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。
ARP具體說來就是將網絡層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A壹個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回壹個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當局域網中的某臺機器B向A發送壹個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於局域網的網絡流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成壹個不存在的MAC地址,這樣就會造成網絡不通,導致A不能Ping通C!這就是壹個簡單的ARP欺騙。
網絡執法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。
三、修改MAC地址突破網絡執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網絡執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開註冊表編輯器,展開註冊表到:HKEY_LOCAL_
MACHINE\System\CurrentControl
Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果妳有壹塊以上的網卡,就有0001,0002......在這裏保存了有關妳的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這裏假設妳的網卡在0000子鍵。
在0000子鍵下添加壹個字符串,命名為"NetworkAddress",鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI\params中新建壹項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字符串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字符串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後打開網絡鄰居的"屬性",雙擊相應的網卡就會發現有壹個"高級"設置,其下存在MAC Address的選項,它就是妳在註冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
關閉註冊表,重新啟動,妳的網卡地址已改。打開網絡鄰居的屬性,雙擊相應網卡項會發現有壹個MAC Address的高級設置項,用於直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或鏈路地址,由網絡設備制造商生產時寫在硬件內部。這個地址與網絡無關,即無論將帶有這個地址的硬件(如網卡、集線器、路由器等)接入到網絡的何處,它都有相同的MAC地址,MAC地址壹般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是壹個MAC地址,其中前6位16進制數,08:00:20代表網絡硬件制造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該制造商所制造的某個網絡產品(如網卡)的系列號。每個網絡制造商必須確保它所制造的每個以太網設備都具有相同的前三字節以及不同的後三個字節。這樣就可保證世界上每個以太網設備都具有唯壹的MAC地址。
另外,網絡執法官的原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效,就隔開突破它的限制。妳可以事先Ping壹下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
四、找到使妳無法上網的對方
解除了網絡執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網IP段,然後查找處在"混雜"模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller,然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP,單擊"開始檢測"就可以了。
檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個家夥在用網絡執法官在搗亂。
掃描時自己也處在混雜模式,把自己不能算在其中哦!