- 〖軟件交流互助〗 - [color=Red]網(wǎng)絡(luò)雙刃劍：網(wǎng)絡(luò)執(zhí)法官，讓你歡喜，讓你憂[/color]MACD股市技術(shù)分析俱樂部 - bbs.macd.cn 股票,指標(biāo),外匯,期貨,證券,金融,圖文軟件,下載交流中心!

昵稱1415 2005-09-16

展開全文

color=Red]網(wǎng)絡(luò)雙刃劍：網(wǎng)絡(luò)執(zhí)法官，讓你歡喜，讓你憂[/color]

　　最近，我所在小區(qū)的網(wǎng)絡(luò)老被攻擊，開始以為很是嚴(yán)重，幾經(jīng)查探，才得知是有人用了網(wǎng)絡(luò)執(zhí)法官在做怪，馬上上網(wǎng)查看，發(fā)現(xiàn)網(wǎng)絡(luò)執(zhí)法官是一個網(wǎng)管工具，本是出于進(jìn)化目的而來的，可現(xiàn)在卻被不良分子用來做惡，實(shí)在可恨．在局域網(wǎng)中，有人使用網(wǎng)絡(luò)執(zhí)法官后，你的機(jī)子將無法上網(wǎng)，如果他打開IP沖突的提示，你電腦的右下腳將不厭其煩的出現(xiàn)＂IP地址與網(wǎng)絡(luò)上其他系統(tǒng)沖突＂的提示，我就深受其害，不知各位兄弟是否有遇到如此的情況．不過不管有沒有，我想建議和防范是有必要的，先將網(wǎng)上收集的一些重要東東與大家分享，希望大家不要再受其害：

破解網(wǎng)絡(luò)執(zhí)法官限制

網(wǎng)絡(luò)執(zhí)法官簡介
我們可以在局域網(wǎng)中任意一臺機(jī)器上運(yùn)行網(wǎng)絡(luò)執(zhí)法官的主程序NetRobocop.exe，它可以穿透防火墻、實(shí)時監(jiān)控、記錄整個局域網(wǎng)用戶上線情況，可限制各用戶上線時所用的IP、時段，并可將非法用戶踢下局域網(wǎng)。該軟件適用范圍為局域網(wǎng)內(nèi)部，不能對網(wǎng)關(guān)或路由器外的機(jī)器進(jìn)行監(jiān)視或管理，適合局域網(wǎng)管理員使用

在代理服務(wù)器端
捆綁IP和MAC地址，解決局域網(wǎng)內(nèi)盜用IP：
ARP －s 192.168.10.59 00－50－ff－6c－08－75
解除網(wǎng)卡的IP與MAC地址的綁定：
arp -d 網(wǎng)卡IP

在網(wǎng)絡(luò)鄰居上隱藏你的計算機(jī)
net config server /hidden:yes
net config server /hidden:no 則為開啟

在網(wǎng)絡(luò)執(zhí)法官中，要想限制某臺機(jī)器上網(wǎng)，只要點(diǎn)擊"網(wǎng)卡"菜單中的"權(quán)限"，選擇指定的網(wǎng)卡號或在用戶列表中點(diǎn)擊該網(wǎng)卡所在行，從右鍵菜單中選擇"權(quán)限"，在彈出的對話框中即可限制該用戶的權(quán)限。對于未登記網(wǎng)卡，可以這樣限定其上線：只要設(shè)定好所有已知用戶（登記）后，將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應(yīng)的MAC，使其找不到網(wǎng)關(guān)真正的MAC地址，這樣就可以禁止其上網(wǎng)。

二、ARP欺騙的原理
網(wǎng)絡(luò)執(zhí)法官中利用的ARP欺騙使被攻擊的電腦無法上網(wǎng)，其原理就是使該電腦無法找到網(wǎng)關(guān)的MAC地址。那么ARP欺騙到底是怎么回事呢？知其然，知其所以然是我們《黑客X檔案》的優(yōu)良傳統(tǒng)，下面我們就談?wù)勥@個問題。
首先給大家說說什么是ARP,ARP（Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。
ARP原理：某機(jī)器A要向主機(jī)B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機(jī)A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請求，但只有主機(jī)B識別自己的IP地址，于是向A主機(jī)發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。

ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。因此，當(dāng)局域網(wǎng)中的某臺機(jī)器B向A發(fā)送一個自己偽造的ARP應(yīng)答，而如果這個應(yīng)答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當(dāng)A接收到B偽造的ARP應(yīng)答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C！這就是一個簡單的ARP欺騙。
網(wǎng)絡(luò)執(zhí)法官利用的就是這個原理！知道了它的原理，再突破它的防線就容易多了。

三、修改MAC地址突破網(wǎng)絡(luò)執(zhí)法官的封鎖
根據(jù)上面的分析，我們不難得出結(jié)論：只要修改MAC地址，就可以騙過網(wǎng)絡(luò)執(zhí)法官的掃描，從而達(dá)到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法：
在"開始"菜單的"運(yùn)行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網(wǎng)卡，就有0001，0002......在這里保存了有關(guān)你的網(wǎng)卡的信息，其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述，比如我的網(wǎng)卡是Intel 210
41 based Ethernet Controller），在這里假設(shè)你的網(wǎng)卡在0000子鍵。
在0000子鍵下添加一個字符串，命名為"NetworkAddress"，鍵值為修改后的MAC地址，要求為連續(xù)的12個16進(jìn)制數(shù)。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的MAC地址。
在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串，其作用為指定Network
Address的描述，其值可為"MAC Address"。這樣以后打開網(wǎng)絡(luò)鄰居的"屬性"，雙擊相應(yīng)的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設(shè)置，其下存在MAC Address的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以后只要在此修改MAC地址就可以了。
關(guān)閉注冊表，重新啟動，你的網(wǎng)卡地址已改。打開網(wǎng)絡(luò)鄰居的屬性，雙擊相應(yīng)網(wǎng)卡項會發(fā)現(xiàn)有一個MAC Address的高級設(shè)置項，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部。這個地址與網(wǎng)絡(luò)無關(guān)，即無論將帶有這個地址的硬件（如網(wǎng)卡、集線器、路由器等）接入到網(wǎng)絡(luò)的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設(shè)定。MAC地址通常表示為12個16進(jìn)制數(shù)，每2個16進(jìn)制數(shù)之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進(jìn)制數(shù)，08:00:20代表網(wǎng)絡(luò)硬件制造商的編號，它由IEEE分配，而后3位16進(jìn)制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號。每個網(wǎng)絡(luò)制造商必須確保它所制造的每個以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每個以太網(wǎng)設(shè)備都具有唯一的MAC地址。

另外，網(wǎng)絡(luò)執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應(yīng)的MAC地址，使其找不到網(wǎng)關(guān)真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網(wǎng)絡(luò)執(zhí)法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網(wǎng)關(guān)，然后再用ARP -a命令得到網(wǎng)關(guān)的MAC地址，最后用ARP -s IP 網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來就可以了。

四、找到使你無法上網(wǎng)的對方
解除了網(wǎng)絡(luò)執(zhí)法官的封鎖后，我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網(wǎng)IP段，然后查找處在"混雜"模式下的計算機(jī)，就可以發(fā)現(xiàn)對方了。具體方法是：運(yùn)行Arpkiller（圖2），然后點(diǎn)擊"Sniffer監(jiān)測工具"，在出現(xiàn)的"Sniffer殺手"窗口中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。
檢測完成后，如果相應(yīng)的IP是綠帽子圖標(biāo)，說明這個IP處于正常模式，如果是紅帽子則說明該網(wǎng)卡處于混雜模式。它就是我們的目標(biāo)，就是這個家伙在用網(wǎng)絡(luò)執(zhí)法官在搗亂。

掃描時自己也處在混雜模式，把自己不能算在其中哦！

找到對方后怎么對付他就是你的事了，比方說你可以利用網(wǎng)絡(luò)執(zhí)法官把對方也給封鎖了！
-----------------------------------------------------------------------------------------------------------------------------
運(yùn) 行機(jī) 制

   本軟件以各主機(jī)的網(wǎng)卡號來識別用戶，通過收發(fā)底層數(shù)據(jù)包來監(jiān)控用戶，占用網(wǎng)絡(luò)資源極少；在軟件剛啟動的前90秒內(nèi)，有數(shù)量較多的數(shù)據(jù)包收發(fā)，并會占用較多的CPU資源，屬正?，F(xiàn)象。
本軟件以用戶權(quán)限為核心，管理員設(shè)置各用戶權(quán)限后，軟件即依各用戶的權(quán)限進(jìn)行自動管理。
為保證管理員對用戶的正常管理，及防止非法用戶利用本軟件攻擊管理員，除了禁止管理"友鄰主機(jī)"外，本軟還設(shè)置了"友鄰用戶"相互發(fā)現(xiàn)機(jī)制，即同一局域網(wǎng)中，所有運(yùn)行本軟件的用戶（友鄰用戶）都可以相互發(fā)現(xiàn)（參見名詞解釋"友鄰用戶"）。注意，本軟件2.0以前版本（包括專用檢測版）不能檢測到2.0以后版本，只有運(yùn)行2.0以后版本，才能發(fā)現(xiàn)所有的友鄰用戶。
本軟件還采用了分級機(jī)制，同一局域網(wǎng)中，低級別的用戶將自動停止運(yùn)行本軟件。總的來說，注冊用戶級別高于未注冊用戶，某些新版本的級別高于以前版本。最新的注冊版本，總是擁有最高級別。

查看幫助文件發(fā)現(xiàn)：

14、怎樣防止網(wǎng)絡(luò)中用戶非法使用本軟件？
軟件中特別設(shè)置了"友鄰用戶"的相互發(fā)現(xiàn)功能。"友鄰用戶"不能相互管理，使管理員免受非法用戶攻擊，而且不需注冊也能發(fā)現(xiàn)其他正在使用本軟件的用戶，也可以在軟件自帶的"日志"中查看友鄰用戶的記錄。普通用戶無力解決其他用戶濫用的問題，請與網(wǎng)絡(luò)管理員聯(lián)系。

原來安裝和對方一樣的版本，對方就不能控制你了。版本高的權(quán)限大于版本低的。

在網(wǎng)上瀏覽了一下，發(fā)現(xiàn)還可以用arp欺騙的方式，方法是打開dos窗口，輸入以下命令：

arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd

apr -a

其中192.168.1.24是自己的ip地址。這是把自己的物理地址給改了。
---------------------------------------------------------------------------------------------------------------------
筆者辦公所在的局域網(wǎng)最近總出問題，系統(tǒng)總是提示有IP沖突，導(dǎo)致局域網(wǎng)的計算機(jī)不能互相訪問，而且不能正常上網(wǎng)。這可是辦公網(wǎng)絡(luò)的大忌，要知道離開了網(wǎng)絡(luò)，離開了局域網(wǎng)很多工作都是沒法開展的，經(jīng)過一番分析，我終于找到了肇事的“元兇”——網(wǎng)絡(luò)執(zhí)法官！下面就隨筆者一起來看看“網(wǎng)絡(luò)執(zhí)法官”到底是怎樣在局域網(wǎng)中搗亂的？

一、認(rèn)識網(wǎng)絡(luò)執(zhí)法官
  “網(wǎng)絡(luò)執(zhí)法官”是一款局域網(wǎng)管理輔助軟件，采用網(wǎng)絡(luò)底層協(xié)議，能穿透各客戶端防火墻對網(wǎng)絡(luò)中的每一臺主機(jī)進(jìn)行監(jiān)控。它采用網(wǎng)卡號（MAC）識別用戶，可靠性高；該軟件不需運(yùn)行于指定的服務(wù)器，在網(wǎng)內(nèi)任一臺主機(jī)上運(yùn)行即可有效監(jiān)控所有本機(jī)連接到的網(wǎng)絡(luò)（支持多網(wǎng)段監(jiān)控）。主要具有以下功能：

1．實(shí)時記錄上線用戶并存檔備查：網(wǎng)絡(luò)中任一臺主機(jī)，開機(jī)即會被本軟件實(shí)時檢測并記錄其網(wǎng)卡號、所用的IP、上線時間、下線時間等信息。

2．自動偵測未登記主機(jī)接入并報警：管理員登記完或軟件自動檢測到所有合法的主機(jī)后，可在軟件中作出設(shè)定，拒絕所有未登記的主機(jī)接入網(wǎng)絡(luò)。一旦有未登記主機(jī)接入，軟件會自動將其MAC、IP、主機(jī)名、上下線時段等信息作永久記錄，并可采用聲音、向指定主機(jī)發(fā)消息等多種方式報警。

3．限定各主機(jī)的IP，防止IP盜用：管理員可對每臺主機(jī)指定一個IP或一段IP，當(dāng)該主機(jī)采用超出范圍的IP時，軟件會判定其為“非法用戶”，自動采用管理員事先指定的方式對其進(jìn)行控制，并將其MAC、IP、主機(jī)名作記錄備查。

  其實(shí)網(wǎng)絡(luò)執(zhí)法官是一款非常優(yōu)秀的局域網(wǎng)管理軟件。然而正象大多數(shù)遠(yuǎn)程控制軟件一樣，軟件本身的功能是非常實(shí)用的，但是這些工具一旦被一些別有用心的黑客或者搗亂分子利用，就成了他們“為虎作仗”的“幫兇”。

二、破壞方法大曝光
1．這些攻擊者通常不具備管理網(wǎng)絡(luò)的權(quán)利，但卻去下載“網(wǎng)絡(luò)執(zhí)法官”來使用。運(yùn)行網(wǎng)絡(luò)執(zhí)法官，它會自動檢測機(jī)器上的網(wǎng)卡。

2．此時，選擇一個網(wǎng)卡就會彈出一個監(jiān)控范圍選擇，你可以選擇局域網(wǎng)內(nèi)的全部機(jī)器，當(dāng)然，你也可以只選擇其中的幾臺，在“指定監(jiān)控范圍”中輸入，然后單擊“添加/修改”就可以了。

3．上面的設(shè)置完畢后，他們就可以開始實(shí)施攻擊的的行為了。首先需要把攻擊的網(wǎng)卡MAC地址跟IP綁定。選擇要綁定的一臺或者多臺機(jī)器，然后點(diǎn)擊右鍵，選擇“Mac_ip綁定”。

4．然后選擇要攻擊的對象，右鍵單擊選擇“用戶屬性”，在彈出的“用戶屬性”窗口中單擊“權(quán)限設(shè)定”按鈕，在這里，你可以進(jìn)行相關(guān)的設(shè)置。你也可以雙擊“用戶列表”中某用戶的“鎖”列或者在右鍵菜單中選擇“鎖定”選項，那么，該用戶會被快速斷開與關(guān)鍵主機(jī)或者全部主機(jī)的連接。

5．攻擊者設(shè)置好后就可以等著好戲上場了：被攻擊者的電腦會不斷顯示IP沖突，不能訪問局域網(wǎng)內(nèi)的其他電腦，使用者不停地找網(wǎng)管，忙得“不亦樂乎”！筆者的同事好幾個都領(lǐng)教過這種被“騷擾”的煩惱。

三、局域網(wǎng)內(nèi)的“反擊戰(zhàn)”
遇到這種問題，難道就只有“被動挨打”的份嗎？經(jīng)過一番研究，有些情況下，你終于找到了有效的防范方法，筆者甚至還可以“以其人之道，還治其人之身”！

1．防范為主——修改網(wǎng)卡的MAC地址
  由于該軟件采用網(wǎng)絡(luò)底層協(xié)議，能穿透各客戶端防火墻對網(wǎng)絡(luò)的每一臺主機(jī)進(jìn)行監(jiān)控和管理，所以防范起來有一定的難度。但是我們也可以通過修改自己的網(wǎng)卡的MAC地址來改變IP到MAC的映射，從而使得網(wǎng)絡(luò)執(zhí)法官的ARP欺騙失效，進(jìn)而擺脫網(wǎng)絡(luò)執(zhí)法官的破壞。具體操作步驟如下：依次打開“網(wǎng)上鄰居→屬性→網(wǎng)絡(luò)和撥號連接屬性”，右擊要修改MAC的網(wǎng)卡，在彈出的菜單中選擇屬性。然后點(diǎn)擊“配置→高級”，點(diǎn)擊“Network Address”，默認(rèn)的選項為“沒有顯示”，選中上面的“設(shè)置值”選項，并輸入新的網(wǎng)卡MAC地址，注意應(yīng)該是12個十六進(jìn)制數(shù)，如4561787895BA，不能設(shè)置為000000000000，也不能與別的網(wǎng)卡的MAC地址重復(fù)，然后點(diǎn)擊確定。

2．主動還擊——查看日志
  如果是惡意的網(wǎng)絡(luò)攻擊者，只是被動防范肯定是不夠的，一定要讓他受到“懲罰”！你可以通過網(wǎng)絡(luò)執(zhí)法官的日志功能揪出攻擊者，注意通過網(wǎng)絡(luò)執(zhí)法官的版本不要太低，最少保證在2.0以上，只要從日志中找出攻擊者的IP（具體方法為：依次打開主界面上的“系統(tǒng)→查看系統(tǒng)日志”），然后提給網(wǎng)絡(luò)管理人員或者當(dāng)?shù)鼐W(wǎng)絡(luò)安全部門，就可以將他“繩之以法”了，甚至你還可以采用一些黑客手段“以其人之道，還治其人之身”。

本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：昵稱1415 > 《電腦》

舉報/認(rèn)領(lǐng)