給篇文章:
破解網絡執法官限制
網絡執法官簡介
我們可以在局域網中任意壹臺機器上運行網絡執法官的主程序NetRobocop.exe,它可以穿透防火墻、實時監控、記錄整個局域網用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下局域網。該軟件適用範圍為局域網內部,不能對網關或路由器外的機器進行監視或管理,適合局域網管理員使用
在代理服務器端
捆綁IP和MAC地址,解決局域網內盜用IP:
ARP -s 192.168.10.59 00-50-ff-6c-08-75
解除網卡的IP與MAC地址的綁定:
arp -d 網卡IP
在網絡鄰居上隱藏妳的計算機
net config server /hidden:yes
net config server /hidden:no 則為開啟
在網絡執法官中,要想限制某臺機器上網,只要點擊"網卡"菜單中的"權限",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇"權限",在彈出的對話框中即可限制該用戶的權限。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的默認權限改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦壹個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
二、ARP欺騙的原理
網絡執法官中利用的ARP欺騙使被攻擊的電腦無法上網,其原理就是使該電腦無法找到網關的MAC地址。那麽ARP欺騙到底是怎麽回事呢?知其然,知其所以然是我們《黑客X檔案》的優良傳統,下面我們就談談這個問題。
首先給大家說說什麽是ARP,ARP(Address Resolution Protocol)是地址解析協議,是壹種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網絡層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A壹個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回壹個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當局域網中的某臺機器B向A發送壹個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於局域網的網絡流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成壹個不存在的MAC地址,這樣就會造成網絡不通,導致A不能Ping通C!這就是壹個簡單的ARP欺騙。
網絡執法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。
三、修改MAC地址突破網絡執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網絡執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開註冊表編輯器,展開註冊表到:HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果妳有壹塊以上的網卡,就有0001,0002......在這裏保存了有關妳的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這裏假設妳的網卡在0000子鍵。
在0000子鍵下添加壹個字符串,命名為"NetworkAddress",鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建壹項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字符串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字符串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後打開網絡鄰居的"屬性",雙擊相應的網卡就會發現有壹個"高級"設置,其下存在MAC Address的選項,它就是妳在註冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
關閉註冊表,重新啟動,妳的網卡地址已改。打開網絡鄰居的屬性,雙擊相應網卡項會發現有壹個MAC Address的高級設置項,用於直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或鏈路地址,由網絡設備制造商生產時寫在硬件內部。這個地址與網絡無關,即無論將帶有這個地址的硬件(如網卡、集線器、路由器等)接入到網絡的何處,它都有相同的MAC地址,MAC地址壹般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是壹個MAC地址,其中前6位16進制數,08:00:20代表網絡硬件制造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該制造商所制造的某個網絡產品(如網卡)的系列號。每個網絡制造商必須確保它所制造的每個以太網設備都具有相同的前三字節以及不同的後三個字節。這樣就可保證世界上每個以太網設備都具有唯壹的MAC地址。
另外,網絡執法官的原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效,就隔開突破它的限制。妳可以事先Ping壹下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
四、找到使妳無法上網的對方
解除了網絡執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網IP段,然後查找處在"混雜"模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller(圖2),然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了。
檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個家夥在用網絡執法官在搗亂。
掃描時自己也處在混雜模式,把自己不能算在其中哦!
找到對方後怎麽對付他就是妳的事了,比方說妳可以利用網絡執法官把對方也給封鎖了!
-----------------------------------------------------------------------------------------------------------------------------
運 行 機 制
本軟件以各主機的網卡號來識別用戶,通過收發底層數據包來監控用戶,占用網絡資源極少;在軟件剛啟動的前90秒內,有數量較多的數據包收發,並會占用較多的CPU資源,屬正常現象。
本軟件以用戶權限為核心,管理員設置各用戶權限後,軟件即依各用戶的權限進行自動管理。
為保證管理員對用戶的正常管理,及防止非法用戶利用本軟件攻擊管理員,除了禁止管理"友鄰主機"外,本軟還設置了"友鄰用戶"相互發現機制,即同壹局域網中,所有運行本軟件的用戶(友鄰用戶)都可以相互發現(參見名詞解釋"友鄰用戶")。註意,本軟件2.0以前版本(包括專用檢測版)不能檢測到2.0以後版本,只有運行2.0以後版本,才能發現所有的友鄰用戶。
本軟件還采用了分級機制,同壹局域網中,低級別的用戶將自動停止運行本軟件。總的來說,註冊用戶級別高於未註冊用戶,某些新版本的級別高於以前版本。最新的註冊版本,總是擁有最高級別。
查看幫助文件發現:
14、怎樣防止網絡中用戶非法使用本軟件?
軟件中特別設置了"友鄰用戶"的相互發現功能。"友鄰用戶"不能相互管理,使管理員免受非法用戶攻擊,而且不需註冊也能發現其他正在使用本軟件的用戶,也可以在軟件自帶的"日誌"中查看友鄰用戶的記錄。普通用戶無力解決其他用戶濫用的問題,請與網絡管理員聯系。
原來安裝和對方壹樣的版本,對方就不能控制妳了。版本高的權限大於版本低的。
在網上瀏覽了壹下,發現還可以用arp欺騙的方式,方法是打開dos窗口,輸入以下命令:
arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd
apr -a
其中192.168.1.24是自己的ip地址。這是把自己的物理地址給改了。
參考資料: