網路執法官原理
㈠ 校園網問題
網路執法官用他.
首先我們了解一下網路執法官的原理:
網路執法官是一款網管軟體,可用於管理區域網,能禁止區域網任意機器連接網路。對於網管來說,這個功能自然很不錯,但如果區域網中有別人也使用該功能那就麻煩了。因為這樣輕則會導致別人無法上網,重則會導致整個區域網癱瘓。有什麼解決辦法呢?請您看下面的招數及其原理。
一、網路執法官簡介
我們可以在區域網中任意一台機器上運行網路執法官的主程序NetRobocop.exe,它可以穿透防火牆、實時監控、記錄整個區域網用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下區域網。該軟體適用范圍為區域網內部,不能對網關或路由器外的機器進行監視或管理,適合區域網管理員使用。
在網路執法官中,要想限制某台機器上網,只要點擊"網卡"菜單中的"許可權",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇 "許可權 ",在彈出的對話框中即可限制該用戶的許可權。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的默認許可權改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
二、ARP欺騙的原理
網路執法官中利用的ARP欺騙使被攻擊的電腦無法上網,其原理就是使該電腦無法找到網關的MAC地址。那麼ARP欺騙到底是怎麼回事呢?
首先給大家說說什麼是ARP,ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。
ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個 ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP 和 MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的 IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC 地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
網路執法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。
三、區域網內的「反擊戰」修改MAC地址突破網路執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網路執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_
MACHINE\System\CurrentControl
Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這里保存了有關你的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這里假設你的網卡在0000子鍵。
在0000子鍵下添加一個字元串,命名為"NetworkAddress",鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在 "0000"子鍵下的NDI\params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字元串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性",雙擊相應的網卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在注冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
關閉注冊表,重新啟動,你的網卡地址已改。打開網路鄰居的屬性,雙擊相應網卡項會發現有一個MAC Address的高級設置項,用於直接修改MAC地址。
MAC地址也叫物理地址、硬體地址或鏈路地址,由網路設備製造商生產時寫在硬體內部。這個地址與網路無關,即無論將帶有這個地址的硬體(如網卡、集線器、路由器等)接入到網路的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每 2 個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網卡)的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個乙太網設備都具有唯一的MAC地址。
另外,網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
四、找到使你無法上網的對方
解除了網路執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網IP段,然後查找處在"混雜"模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller,然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止 IP,單擊"開始檢測"就可以了。
檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。
掃描時自己也處在混雜模式,把自己不能算在其中哦!
如果大家絕的這方法太復雜的話,也可以簡單點,介紹個防ARP欺騙的軟體(用法很簡單,軟體大家可以去網上搜索下載這里就不多說了):
ARP防火牆單機版4.0 Beta4,02月04日發布,原名Anti ARP Sniffer,採用全新系統內核層攔截技術,能徹底解決所有ARP攻擊帶來的問題,能夠保證在受到ARP攻擊時網路仍然正常,能徹底解決在受到攻擊時出現的丟包現象。能自動攔截並防禦各類ARP攻擊程序、ARP病毒、ARP木馬、通過智能分析抑制所有ARP惡意程序發送虛假數據包。自動識別ARP攻擊數據類型:外部攻擊、IP沖突、對外攻擊數據,並詳細記錄所有可疑數據包並追蹤攻擊者,軟體能自動統計ARP廣播包發送接受數量。作者授權發布。
主要功能:
自動攔截和防禦所有ARP惡意程序,無論ARP惡意程序如何變種都能進行主動攔截。
自動防禦來自區域網的任意地址的ARP攻擊,無論如何欺騙都能進行主動防禦。
智能分析並詳細記錄欺騙數據包內容,快速定位區域網ARP攻擊者。
自動防禦和欺騙狀態都能保持正常通訊,不丟棄任何數據包。
㈡ 誰能給個攻擊網路執法官的軟體或者辦法,我的所有分都給他。
攻擊到是沒什麼辦法。網路執法官是利用ARP欺騙攻擊的。下個ARP防火牆應該就能好了吧。至於再攻擊回去……沒研究
給篇文章:
破解網路執法官限制
網路執法官簡介
我們可以在區域網中任意一台機器上運行網路執法官的主程序NetRobocop.exe,它可以穿透防火牆、實時監控、記錄整個區域網用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下區域網。該軟體適用范圍為區域網內部,不能對網關或路由器外的機器進行監視或管理,適合區域網管理員使用
在代理伺服器端
捆綁IP和MAC地址,解決區域網內盜用IP:
ARP -s 192.168.10.59 00-50-ff-6c-08-75
解除網卡的IP與MAC地址的綁定:
arp -d 網卡IP
在網路鄰居上隱藏你的計算機
net config server /hidden:yes
net config server /hidden:no 則為開啟
在網路執法官中,要想限制某台機器上網,只要點擊"網卡"菜單中的"許可權",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇"許可權",在彈出的對話框中即可限制該用戶的許可權。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的默認許可權改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
二、ARP欺騙的原理
網路執法官中利用的ARP欺騙使被攻擊的電腦無法上網,其原理就是使該電腦無法找到網關的MAC地址。那麼ARP欺騙到底是怎麼回事呢?知其然,知其所以然是我們《黑客X檔案》的優良傳統,下面我們就談談這個問題。
首先給大家說說什麼是ARP,ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
網路執法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。
三、修改MAC地址突破網路執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網路執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這里保存了有關你的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這里假設你的網卡在0000子鍵。
在0000子鍵下添加一個字元串,命名為"NetworkAddress",鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字元串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性",雙擊相應的網卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在注冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
關閉注冊表,重新啟動,你的網卡地址已改。打開網路鄰居的屬性,雙擊相應網卡項會發現有一個MAC Address的高級設置項,用於直接修改MAC地址。
MAC地址也叫物理地址、硬體地址或鏈路地址,由網路設備製造商生產時寫在硬體內部。這個地址與網路無關,即無論將帶有這個地址的硬體(如網卡、集線器、路由器等)接入到網路的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網卡)的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個乙太網設備都具有唯一的MAC地址。
另外,網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
四、找到使你無法上網的對方
解除了網路執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網IP段,然後查找處在"混雜"模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller(圖2),然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了。
檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。
掃描時自己也處在混雜模式,把自己不能算在其中哦!
找到對方後怎麼對付他就是你的事了,比方說你可以利用網路執法官把對方也給封鎖了!
-----------------------------------------------------------------------------------------------------------------------------
運 行 機 制
本軟體以各主機的網卡號來識別用戶,通過收發底層數據包來監控用戶,佔用網路資源極少;在軟體剛啟動的前90秒內,有數量較多的數據包收發,並會佔用較多的CPU資源,屬正常現象。
本軟體以用戶許可權為核心,管理員設置各用戶許可權後,軟體即依各用戶的許可權進行自動管理。
為保證管理員對用戶的正常管理,及防止非法用戶利用本軟體攻擊管理員,除了禁止管理"友鄰主機"外,本軟還設置了"友鄰用戶"相互發現機制,即同一區域網中,所有運行本軟體的用戶(友鄰用戶)都可以相互發現(參見名詞解釋"友鄰用戶")。注意,本軟體2.0以前版本(包括專用檢測版)不能檢測到2.0以後版本,只有運行2.0以後版本,才能發現所有的友鄰用戶。
本軟體還採用了分級機制,同一區域網中,低級別的用戶將自動停止運行本軟體。總的來說,注冊用戶級別高於未注冊用戶,某些新版本的級別高於以前版本。最新的注冊版本,總是擁有最高級別。
查看幫助文件發現:
14、怎樣防止網路中用戶非法使用本軟體?
軟體中特別設置了"友鄰用戶"的相互發現功能。"友鄰用戶"不能相互管理,使管理員免受非法用戶攻擊,而且不需注冊也能發現其他正在使用本軟體的用戶,也可以在軟體自帶的"日誌"中查看友鄰用戶的記錄。普通用戶無力解決其他用戶濫用的問題,請與網路管理員聯系。
原來安裝和對方一樣的版本,對方就不能控制你了。版本高的許可權大於版本低的。
在網上瀏覽了一下,發現還可以用arp欺騙的方式,方法是打開dos窗口,輸入以下命令:
arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd
apr -a
其中192.168.1.24是自己的ip地址。這是把自己的物理地址給改了。
參考資料:http://www.tianyaclub.com/new/Publicforum/Content.asp?idWriter=0&Key=0&strItem=it&idArticle=277484&flag=1
㈢ 怎樣在網路執法官里封鎖ARP欺騙
第一步nbsp;只要修改MAC地址,就可以騙過網路執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:nbsp;在「開始「菜單的「運行「中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_nbsp;;SetControlClass{4D36E972-E325-11CE-BFC1-08002BE103nbsp;18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這里保存了有關你的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intelnbsp;210nbsp;41nbsp;basednbsp;Ethernetnbsp;Controller),在這里假設你的網卡在0000子鍵。nbsp;在0000子鍵下添加一個字元串,命名為「NetworkAddress「,鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在nbsp;「0000「子鍵下的NDIparams中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為「default「的字元串,鍵值為修改後的MAC地址。nbsp;在NetworkAddress的子鍵下繼續建立名為「ParamDesc「的字元串,其作用為指定Networknbsp;Address的描述,其值可為「MACnbsp;Address「。這樣以後打開網路鄰居的「屬性「,雙擊相應的網卡就會發現有一個「高級「設置,其下存在MACnbsp;Address的選項,它就是你在注冊表中加入的新項「NetworkAddress「,以後只要在此修改MAC地址就可以了。nbsp;關閉注冊表,重新啟動,你的網卡地址已改。打開網路鄰居的屬性,雙擊相應網卡項會發現有一個MACnbsp;Address的高級設置項,用於直接修改MAC地址。nbsp;MAC地址也叫物理地址、硬體地址或鏈路地址,由網路設備製造商生產時寫在硬體內部。這個地址與網路無關,即無論將帶有這個地址的硬體(如網卡、集線器、路由器等)接入到網路的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每2nbsp;個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網卡)的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個乙太網設備都具有唯一的MAC地址。nbsp;另外,網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARPnbsp;-a命令得到網關的MAC地址,最後用ARPnbsp;-snbsp;IPnbsp;網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。nbsp;第二找到使你無法上網的對方nbsp;解除了網路執法官的封鎖後,我們可以利用Arpkiller的「Sniffer殺手「掃描整個區域網IP段,然後查找處在「混雜「模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller,然後點擊「Sniffer監測工具「,在出現的「Sniffer殺手「窗口中輸入檢測的起始和終止nbsp;IP,單擊「開始檢測「就可以了。nbsp;檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。nbsp;掃描時自己也處在混雜模式,把自己不能算在其中哦!nbsp;如果大家絕的這方法太復雜的話,也可以簡單點,介紹個防ARP欺騙的軟體(用法很簡單,軟體大家可以去網上搜索下載這里就不多說了):nbsp;ARP防火牆單機版4.0nbsp;Beta4,02月04日發布,原名Antinbsp;ARPnbsp;Sniffer,採用全新系統內核層攔截技術,能徹底解決所有ARP攻擊帶來的問題,能夠保證在受到ARP攻擊時網路仍然正常,能徹底解決在受到攻擊時出現的丟包現象
㈣ 網路執法官好用么
網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
四、找到使你無法上網的對方
解除了網路執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網IP段,然後查找處在"混雜"模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller,然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止 IP,單擊"開始檢測"就可以了。
檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。
掃描時自己也處在混雜模式,把自己不能算在其中哦!
如果大家絕的這方法太復雜的話,也可以簡單點,介紹個防ARP欺騙的軟體(用法很簡單,軟體大家可以去網上搜索下載這里就不多說了):
ARP防火牆單機版4.0 Beta4,02月04日發布,原名Anti ARP Sniffer,採用全新系統內核層攔截技術,能徹底解決所有ARP攻擊帶來的問題,能夠保證在受到ARP攻擊時網路仍然正常,能徹底解決在受到攻擊時出現的丟包現象。能自動攔截並防禦各類ARP攻擊程序、ARP病毒、ARP木馬、通過智能分析抑制所有ARP惡意程序發送虛假數據包。自動識別ARP攻擊數據類型:外部攻擊、IP沖突、對外攻擊數據,並詳細記錄所有可疑數據包並追蹤攻擊者,軟體能自動統計ARP廣播包發送接受數量。作者授權發布。
主要功能:
自動攔截和防禦所有ARP惡意程序,無論ARP惡意程序如何變種都能進行主動攔截。
自動防禦來自區域網的任意地址的ARP攻擊,無論如何欺騙都能進行主動防禦。
智能分析並詳細記錄欺騙數據包內容,快速定位區域網ARP攻擊者。
自動防禦和欺騙狀態都能保持正常通訊,不丟棄任何數據包。
㈤ 據說P2P終結者,聚生網管,網路執法官之類的都是利用ARP攻擊的原理
是的,我用過這三類軟體,尤其現在使的是聚生網管,有ARP防火牆很容易沖突,表現為假死機。問題是你是要用ARP欺騙,來管理網路么?
㈥ 網路執法官 的原理~~
這個是ARP欺騙,執法官遇上ARP防火牆那就宣告癱瘓了.你可以使用洪水攻擊軟體比如DDOS,給他發送大量的數據包,讓他斷網,不過既然是在網吧,我想人家也應該有一定的防禦措施吧.你也可以下載個SwitchSniffer,這個是英文的,你看得懂的話,可以控制任意一台機斷網,只要你的機不關.
㈦ 請教如何突破網路執法官設置的上網限制限制
首先要搞清楚網路執法官所用的原理——即ARP欺騙,讓某台機子上不了網,這個時候其實你回可以綁定你的網卡答
或者乾脆用工具監聽區域網內的機子,看哪台處於混雜模式,那台就是用網路執法官的機子。
內網中破解網路執法官的管制軟體
http://www.17ut.com/soft/softdown.asp?softid=2671
下面是破解機制和教程
http://nkang.spaces.live.com/blog/cns!543C18AD9C3B8A67!120.entry
㈧ ARP是什麼東西!!
RP實際上是英文片語Address Resolution Protocol的簡稱,它的中文名叫做地址解析協議。
它主要指的就是根據電腦的ip地址獲取到的一個物理地址上的ip協議,arp是建立在網路中各個主機之間互相信任的前提下,它還可以對本機ARP緩存中的的ip地址以及mac地址這兩者的對應關系進行排查,由此做出添加以及刪除各種靜態對應關系等等。
現在我們常見的相關協議有rarp、代理arp等等,如果ndp的用戶還能在IPv6中來代替arp。
解決辦法
根據主機A上的路由表內容,IP確定用於訪問主機B的轉發IP地址是192.168.1.2。然後A主機在自己的本地ARP緩存中檢查主機B的匹配MAC地址。
如果主機A在ARP緩存中沒有找到映射,它將詢問192.168.1.2的硬體地址,從而將ARP請求幀廣播到本地網路上的所有主機。
源主機A的IP地址和MAC地址都包括在ARP請求中,本地網路上的每台主機都接收到ARP請求並且檢查是否與自己的IP地址匹配。如果主機發現請求的IP地址與自己的IP地址不匹配,它將丟棄ARP請求。
主機B確定ARP請求中的IP地址與自己的IP地址匹配,則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。
主機B將包含其MAC地址的ARP回復消息直接發送回主機A。
當主機A收到從主機B發來的ARP回復消息時,會用主機B的IP和MAC地址映射更新ARP緩存。本機緩存是有生存期的,生存期結束後,將再次重復上面的過程。主機B的MAC地址一旦確定,主機A就能向主機B發送IP通信了。
(8)網路執法官原理擴展閱讀
防護原理
防止ARP攻擊是比較困難的,修改協議也是不大可能。但是有一些工作是可以提高本地網路的安全性。
首先,你要知道,如果一個錯誤的記錄被插入ARP或者IP route表,可以用兩種方式來刪除。
a. 使用arp –d host_entry
ARP斷網攻擊
b. 自動過期,由系統刪除
這樣,可以採用以下的一些方法:
減少過期時間
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默認是300000
加快過期時間,並不能避免攻擊,但是使得攻擊更加困難,帶來的影響是在網路中會大量的出現ARP請求和回復,請不要在繁忙的網路上使用。
參考資料:網路-ARP攻擊
㈨ 網路執法官
反擊網路執法官
作為管理軟體的「網路執法官」已經流行一段時間了,對於深受其害的小菜們一定對他非常痛恨,今天我們以網管及被管理者的身份說說該軟體的執法過程、突破過程。首先我們先看一下網路上對「網路執法官」的描述:可以在區域網中任意一台機器上運行網路執法官的主程,它可以穿透防火牆、實時監控、記錄整個區域網用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下區域網。該軟體適用范圍為區域網內部,不能對網關或路由器外的機器進行監視或管理!
因為在網路上傳聞它可以穿透防火牆,真是嚇了我一大跳,但在軟體方有沒有這種說法,我就不清楚了,可能是一些擁護者把他神聖化了,於是俺開始研究他如何穿透防火牆的。讀完此文您也就知道「穿透防火牆是怎麼實現的」。
其實「絡網執法官」是通過ARP欺騙來達到管理目的,網路關於ARP欺騙的文章很多,不太清楚的可以去搜索一下。其實「絡網執法官」只不過是一個很普通的管理軟體,其功能雖說更全面、更穩定但也和其它軟體沒有什麼本質上的分別。要想知道他是怎麼管理所在網段而不讓所管理的工作站上網,這還要追尋到網路通信原理上面。因為此軟體主要特性是建立在數據鏈路層,所以其它我就將他簡化了,圖表一是IOS七層參考模型主要功能。
網路基礎:物理層、數據鏈路層、網路層
使用者方面:傳輸、會話、表示及應用層
我們知道,我們的通信是和網路的七層協議密切相關的,以下我們虛擬一個區域網,來講解網路通信過程及「網路執法官」的管理過程。當我們在七層協議最上層,主機A想和其它主機通信,比如telnet到主機B,各層都為數據打包後在封裝自己能識別的數據標簽,我們只說四層以下的通信過程,如圖二。
1、當數據包到達傳輸層,由於telnet使用TCP協議,傳輸層將上層傳過來的數據不變在封裝TCP的包頭以便目標主機可以正確解包,繼續向下層(網路層)傳遞。
2、網路層同樣不會改變之前的數據包,當然也包括之前的任何頭文件,首先主機A要對目標主機作判斷,他會用自己的IP地址和自己的子網掩碼進行與運算結果是172.16.12.0,然後在拿自己的掩碼和主機B的IP地址作與運算,結果是172.16.12.0,這個時候他知道他們在同一網段內,這時他會封裝自己的IP及目標的IP地址,同上層傳下來的數據一下向下傳。
3、數據鏈路層其實包括兩個子層,一是LLC子層另一個是MAC子層。我們知道在乙太網中通信是物理定址的,在這層中會封裝自己的MAC地址及對方的MAC地址。當然用戶是沒有通知他MAC地址是多少的,這時主機會查自己的緩存表,看有沒有主機B的MAC地址,如果有就封裝,否則他會發一個ARP的地址解析廣播包,該包只會存活在該網段並且以打了標簽,雖說所有的主機都可以收到該廣播包,但只會傳遞到該主機的數據鏈路層,更確切的說傳遞到了數據鏈路層的高層就給丟棄了。
4、接著該數據會從我們的網線等傳輸介質傳出去,主機B當收到數據的時候進行相同的工作但是作相反的操作,我相信不用解釋太多您能明白,如圖三所示。
以上是簡單的描述了一下兩台主機的數據傳輸過程,說了半天也沒說到「絡網執法官」是怎麼可以不讓我們上網的,其實我們區域網的工作站想通過代理伺服器上公網的數據包和以上就有點不同了,其實明白了上面的我們就很容易了解工作站去公網的數據包是怎麼走的了。
話說主機A想去黑X官方網站,數據在傳輸到網路層的時候在這個時候呢他會用自己的IP和自己的子網掩碼進行與結果是172.16.12.0,然後在拿自己的掩碼和黑X官方網站的IP與運算(黑X的IP地址由DNS得到),結果為61.152.251.0發現不在同一個網段,注意:這時也是用自己IP和目標IP進行封裝,然後向下層傳遞。在數據鏈路層這時就不會封裝黑X的MAC地址,他也不知道MAC地址是什麼,這時他會封裝網關的MAC地址,而讓網關將數據轉發出去。同時在網關收到數據時候,他會查看目標IP地址,當然不是他自己的IP地址了,所以他知道這個數據發是要由他路由出去的,然後把數據包發給了他的鄰居或網路運營商的路由器上去,重復以上動作,在TTL值為0之前將數據傳遞給黑X官方網站,數據傳遞成功!
至於「網路執法官」為什麼可以根據網卡的MAC剝奪我們上網的權力呢!由於「網路執法官」利用ARP欺騙的原理,他會持續不斷的發低速的ARP廣播包,他主要是欺騙該PC機的第二層設備,使得該主機迷失正確的MAC地址,使第二層功能失效。該軟體管理有如下症狀:
1、主機無法訪問internet,而區域網功能沒問題,是由於ARP歪曲的通告一個偽網關MAC地址,使用戶機器無法找到真正網關的MAC地址,當然在數據鏈路層就封裝錯誤了。
2、無法訪問internet、無法使用區域網功能(一般網管不會這么做,只會對付受限制用戶的手法),這種情況是運行「網路執法官」的主機欺騙了所有區域網中同網段主機,使所有主機歪曲的記錄了被管理的主機的MAC地址,同樣被管理的主機也會錯誤的記錄到其它主機的MAC地址,導致如上結果。
3、無法訪問internet、無法使用區域網功能、桌面上常常彈出「IP地址沖突」的字樣(一般受限制用戶也不會有此待遇),這種是一個典型的「IP地址爭奪游戲」。
在針對這種以MAC地址+IP地址來管理我們的網路管理軟體,在對付第一種限制時,區域網無限制。網上有種方法就是用http、sock代理,就是給同網段一台機器上安裝相應的軟體,起到可以上網的辦法!但是您說這種方法可行嗎?圖四給你結論,當網管發現後會繼續封殺!一般網管不用發現該方法也是不可行的,比如:你看到一件事物是假的,你用看到的事物在去思考當然也是假的。
還有一種方法,就是改MAC地址,當然,這種方法是從原理上把這種軟體控制功能給搞定了,但是您別忘了這個公司除了網路管理軟體還有網管本人呢!他會根據您的IP地址及計算機名繼續封殺。小菜問了:「我改了計算機名、IP地址、MAC地址那不就OK了嗎?」常理說這種方法是一定行的,但是一個合理規劃的網路是不會讓你隨意更改以上各種設置的。比如公司30台主機,網關的設置是192.168.1.1/27,看你怎麼改,當網管工作不認真的時候告訴您,你暫時勝了,要是遇到我哈哈……。如果網管也是個小菜完全可以用這個方法以達到上網的目的,但是這個時候在「網路絡執法官」的主界面中會多出一個用戶來。
在網路上呼聲最高的一種,暴力解決,拿個比管理軟體頻率更高的ARP軟體和網管(頻率達到幾千個Frame/秒)對攻,更有甚者提倡用網路執法官VS網路執法官,這種方法是最可笑的,因為軟體設計中為了保護網管不被攻擊而設置了「友鄰用戶」他們可以相互發現但不能相互管理,這是我說為什麼這種方法可笑的原因。另外在「日誌」中可以查到友鄰用戶的記錄,如果被網管查到是你在搞鬼,我相信你的這個月的獎金沒了!
靜態MAC地址突破管理,arp –d、arp –s等命令把ARP高速緩存改成ARP靜態緩存,這種對於只限制了internet的功能,並且網路執法官是安裝在網關上是行之有效的,如果軟體沒有安裝在網關上嘿嘿……還是不行。(小菜:那麼我們就沒辦法上網了嗎?)當然不是,一種方法只能保證TCP連接可以通信,就是自己用靜態ARP緩存,並且不斷的向網關及其它主機發送正確自己的MAC地址信息,可以保證上internet的TCP正常連接,註:TCP有錯誤檢測機制,可以重傳!當然,如果網管是一個非常狡猾而且卑鄙的話,還會在一分鍾內把你踢出局!
看網路執法官很厲害吧!大家一定以為我在為這款軟體作廣告,其實是想告訴大家不同的管理方法我們要用不同的對策,攻防中才有進步嘛!我在來看看他的管理范圍如圖四,他的管理%
㈩ 網路執法官是用什麼原理斷網的
網路執法官中利用的ARP欺騙使被攻擊的電腦無法上網,其原理就是使該電腦無法找到網關的MAC地址。那麼ARP欺騙到底是怎麼回事呢?知其然,知其所以然是我們的優良傳統,下面我們就談談這個問題。
首先給大家說說什麼是ARP,ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP 和MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的 IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC 地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
網路執法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。