网络执法人员如何使用?
网络执法官是一个辅助软件。软件本身占用网络资源少,对网络没有不良影响。该软件不需要运行在指定的服务器上,而是可以运行在网络中的任何主机上,以有效地监控连接到该计算机的所有网络。
接下来,我们来看看局域网管理助手软件的介绍。
首先,我们来了解一下网络执法人员的工作原理:
网络执法官是一个网络管理软件,可以用来管理局域网,可以禁止局域网内的任何机器连接网络。对于网管来说,这个功能自然是非常好的,但是如果局域网中的其他人也使用这个功能,那就麻烦了。因为这个轻的会导致别人无法上网,重的会导致整个局域网瘫痪。有什么解决办法?请看以下几招及其原理。
一、网络执法人员简介
我们可以在局域网内的任何机器上运行网络执法官的主程序NetRobocop.exe。它可以穿透防火墙,实时监控和记录整个局域网用户的上网情况,限制每个用户上网时使用的IP和时间段,将非法用户踢出局域网。这款软件的应用范围是在局域网内,无法对网关或路由器外的机器进行监控或管理,适合局域网管理员使用。
在网络执法人员中,如果要限制一台机器上网,只需在‘网卡’菜单中点击‘权限’,选择指定的网卡号或者在用户列表中点击网卡所在的行,然后在右键菜单中选择‘权限’,在弹出的对话框中就可以限制用户的权限。对于未注册的网卡,可以限制为在线:只要设置(注册)了所有已知用户,就可以将网卡默认权限改为禁止在线,防止所有未知网卡在线。使用这两个功能来限制用户访问互联网。原理是通过ARP欺骗,向被攻击的电脑发送一个假网关IP地址对应的MAC,使其找不到网关的真实MAC地址,从而禁止其上网。
二、ARP欺骗的原理
网络执法人员使用的ARP欺骗阻止被攻击的电脑上网,其原理是阻止电脑找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢?
首先,我们来说说什么是ARP。ARP(地址解析协议)是一种地址解析协议,是将IP地址转换成物理地址的协议。有两种方法将IP地址映射到物理地址:列表和非列表。
具体来说,ARP将网络层(IP层,相当于OSI的第三层)的地址解析为数据连接层(MAC层,相当于OSI的第二层)的MAC地址。
ARP原理:当A机要向主机B发送报文时,会查询本地ARP缓存表,找到B的IP地址对应的MAC地址,然后传输数据。如果没有找到,广播一个ARP请求报文(主机A的IP地址Ia——物理地址Pa)请求IP地址为Ib的主机B应答物理地址Pb。网络上的所有主机,包括B,都收到了ARP请求,但是只有主机B识别出了它的IP地址,所以它向主机A发回了一个ARP响应报文,里面包含了B的MAC地址,A收到B的响应后,会更新本地的ARP缓存。然后用这个MAC地址发送数据(网卡附带的MAC地址)。所以本地缓存的ARP表是本地网络循环的基础,缓存是动态的。
ARP协议不仅在发送ARP请求后接收ARP回复。当计算机收到ARP回复包时,它将更新本地ARP缓存,并将回复中的IP和MAC地址存储在ARP缓存中。所以当局域网内的一台机器B向A发送了一个伪造的ARP回复,而如果这个回复是B冒充C伪造的,即IP地址是C,但MAC地址是伪造的,那么A在收到B的伪造ARP回复后会更新本地的ARP缓存,这样在A看来,C的IP地址没有变,但其MAC地址不是原来的那个。因为局域网的网络循环不是按照IP地址进行的,而是按照MAC地址进行传输的。因此,伪造的MAC地址被更改为不存在的MAC地址
这是网络执法人员使用的原则!知道了它的原理,突破它的防线就容易多了。
第三,局域网内的“反击”修改MAC地址,突破网络执法人员的封锁。
根据以上分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法人员的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法:
在“开始”菜单的“运行”中输入regedit,打开注册表编辑器,将注册表展开到:HKEY _本地_机器\系统\当前控制。
set \ Control \ Class \ { 4d 36 e 972-E325-11CE-BF C1-08002 be 103
10}子项,在子项下的0000,0001,0002分支中查找DriverDesc(如果您有多个网卡,则有0001,0002.............
41基础的以太网控制器),这里假设你的网卡在0000子键里。
在子项0000下添加一个字符串,命名为‘network address’,键值为修改后的MAC地址,需要12个连续的十六进制数。然后在子键“0000”下的NDI\params中创建一个名为NetworkAddress的新子键,并在该子键下添加一个名为“default”的字符串,键值为修改后的MAC地址。
继续在NetworkAddress的子项下构建一个名为' ParamDesc '的字符串,用于指定网络。
地址的描述,其值可以是“MAC地址”。以后打开网上邻居的‘属性’,双击对应的网卡找到一个‘高级’设置,在它下面有MAC地址的选项,就是你添加到注册表的新项‘network Address’。您以后可以在这里修改MAC地址。
关闭注册表并重新启动。您的网卡地址已经更改。打开网上邻居的属性,双击对应的网卡项,找到一个MAC地址的高级设置项,用来直接修改MAC地址。
MAC地址,也称为物理地址、硬件地址或链路地址,在网络设备制造商生产时就写在硬件中。这个地址与网络无关,即无论哪里有这个地址的硬件(如网卡、集线器、路由器等。)是联网的,它有相同的MAC地址,一般是不可更改的,不能由用户自己设置。MAC地址通常用12个十六进制数字表示,每两个十六进制数字之间用冒号分隔。比如08:00:20:0A:8C:6D是一个MAC地址,其中前六个十六进制数08:00:20代表网络硬件厂商的编号,由IEEE分配,后三个十六进制数0A:8C:6D代表这个。每个网络制造商必须确保其制造的每个以太网设备具有相同的前三个字节和不同的后三个字节。这确保了世界上的每个以太网设备都有一个唯一的MAC地址。
另外,网络执法人员的原理是通过ARP欺骗,给一台电脑发送假网关IP地址对应的MAC地址,让它找不到网关的真实MAC地址。因此,只要我们修改IP和MAC之间的映射,网络执法人员的ARP欺骗就可以失效,其局限性就可以被突破。可以预先Ping网关,然后用ARP -a命令获取网关的MAC地址,最后用ARP -s IP网卡MAC地址命令将网关的IP地址与其MAC地址进行映射。
第四,找到那个阻止你上网的人。
在解除网络执法人员的封锁后,我们可以使用Arpkiller的‘嗅探器黑仔’扫描整个局域网IP段,然后找到处于‘混合’模式的计算机,然后我们就可以找到对方。具体方法是:运行Arpkiller,然后点击‘嗅探器监控工具’,在出现的‘嗅探器黑仔’窗口中输入检测的开始和结束IP,点击‘开始检测’。
检测完成后,如果对应的IP是绿帽子图标,说明这个IP处于正常模式;如果是红帽,说明网卡处于混杂模式。这是我们的目标,这家伙正在利用互联网法警制造麻烦。
扫描时我正处于滥交模式,所以我不能把自己算在其中!
如果这个方法太复杂,也可以简单一点,介绍一个防ARP欺骗的软件(用法很简单,可以在网上搜索下载软件,这里就不多说了):
ARP 4.0 Beta4的单机版,原名为Anti ARP Sniffer,发布于2004年2月4日。它采用了全新的系统内核层拦截技术,可以彻底解决ARP攻击带来的所有问题,保证网络在被ARP攻击时依然正常,彻底解决被攻击时的丢包现象。可以自动拦截和防御各类ARP攻击程序、ARP病毒和ARP木马,通过智能分析抑制所有ARP恶意程序发送虚假数据包。自动识别ARP攻击数据的类型:外部攻击、IP冲突、外部攻击数据,并详细记录所有可疑数据包,跟踪攻击者。该软件可以自动统计发送和接收的ARP广播数据包的数量。
主要功能:
自动拦截防御所有ARP恶意程序,无论ARP恶意程序如何变种,都主动拦截。
自动防御来自局域网内任意地址的ARP攻击,无论什么情况都主动防御欺骗。
智能分析并详细记录欺骗数据包的内容,快速定位局域网内的ARP攻击者。
自动防御和欺骗可以保持正常通信,不丢失任何数据包。