网络执法官原理

㈠ 校园网问题

网络执法官用他.
首先我们了解一下网络执法官的原理：

网络执法官是一款网管软件，可用于管理局域网，能禁止局域网任意机器连接网络。对于网管来说，这个功能自然很不错，但如果局域网中有别人也使用该功能那就麻烦了。因为这样轻则会导致别人无法上网，重则会导致整个局域网瘫痪。有什么解决办法呢？请您看下面的招数及其原理。

一、网络执法官简介
我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe，它可以穿透防火墙、实时监控、记录整个局域网用户上线情况，可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理，适合局域网管理员使用。

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择 "权限 "，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

二、ARP欺骗的原理
网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？
首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。
ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个 ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP 和 MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的 IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC 地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。

三、局域网内的“反击战”修改MAC地址突破网络执法官的封锁
根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：
在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_
MACHINE\System\CurrentControl
Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210
41 based Ethernet Controller），在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在 "0000"子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network
Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。
关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每 2 个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

四、找到使你无法上网的对方
解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller，然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止 IP，单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

如果大家绝的这方法太复杂的话，也可以简单点，介绍个防ARP欺骗的软件（用法很简单，软件大家可以去网上搜索下载这里就不多说了）：

ARP防火墙单机版4.0 Beta4，02月04日发布，原名Anti ARP Sniffer，采用全新系统内核层拦截技术，能彻底解决所有ARP攻击带来的问题，能够保证在受到ARP攻击时网络仍然正常，能彻底解决在受到攻击时出现的丢包现象。能自动拦截并防御各类ARP攻击程序、ARP病毒、ARP木马、通过智能分析抑制所有ARP恶意程序发送虚假数据包。自动识别ARP攻击数据类型：外部攻击、IP冲突、对外攻击数据，并详细记录所有可疑数据包并追踪攻击者，软件能自动统计ARP广播包发送接受数量。作者授权发布。
主要功能：
自动拦截和防御所有ARP恶意程序，无论ARP恶意程序如何变种都能进行主动拦截。
自动防御来自局域网的任意地址的ARP攻击，无论如何欺骗都能进行主动防御。
智能分析并详细记录欺骗数据包内容，快速定位局域网ARP攻击者。
自动防御和欺骗状态都能保持正常通讯，不丢弃任何数据包。

㈡ 谁能给个攻击网络执法官的软件或者办法，我的所有分都给他。

攻击到是没什么办法。网络执法官是利用ARP欺骗攻击的。下个ARP防火墙应该就能好了吧。至于再攻击回去……没研究
给篇文章：
破解网络执法官限制

网络执法官简介
我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe，它可以穿透防火墙、实时监控、记录整个局域网用户上线情况，可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理，适合局域网管理员使用

在代理服务器端
捆绑IP和MAC地址，解决局域网内盗用IP：
ARP －s 192.168.10.59 00－50－ff－6c－08－75
解除网卡的IP与MAC地址的绑定：
arp -d 网卡IP

在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开启

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

二、ARP欺骗的原理
网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们《黑客X档案》的优良传统，下面我们就谈谈这个问题。
首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。
网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。

三、修改MAC地址突破网络执法官的封锁
根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：
在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210
41 based Ethernet Controller），在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network
Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。
关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

四、找到使你无法上网的对方
解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller（图2），然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP（图3），单击"开始检测"就可以了。
检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

找到对方后怎么对付他就是你的事了，比方说你可以利用网络执法官把对方也给封锁了！
-----------------------------------------------------------------------------------------------------------------------------
运 行 机 制

本软件以各主机的网卡号来识别用户，通过收发底层数据包来监控用户，占用网络资源极少；在软件刚启动的前90秒内，有数量较多的数据包收发，并会占用较多的CPU资源，属正常现象。
本软件以用户权限为核心，管理员设置各用户权限后，软件即依各用户的权限进行自动管理。
为保证管理员对用户的正常管理，及防止非法用户利用本软件攻击管理员，除了禁止管理"友邻主机"外，本软还设置了"友邻用户"相互发现机制，即同一局域网中，所有运行本软件的用户（友邻用户）都可以相互发现（参见名词解释"友邻用户"）。注意，本软件2.0以前版本（包括专用检测版）不能检测到2.0以后版本，只有运行2.0以后版本，才能发现所有的友邻用户。
本软件还采用了分级机制，同一局域网中，低级别的用户将自动停止运行本软件。总的来说，注册用户级别高于未注册用户，某些新版本的级别高于以前版本。最新的注册版本，总是拥有最高级别。

查看帮助文件发现：

14、怎样防止网络中用户非法使用本软件？
软件中特别设置了"友邻用户"的相互发现功能。"友邻用户"不能相互管理，使管理员免受非法用户攻击，而且不需注册也能发现其他正在使用本软件的用户，也可以在软件自带的"日志"中查看友邻用户的记录。普通用户无力解决其他用户滥用的问题，请与网络管理员联系。

原来安装和对方一样的版本，对方就不能控制你了。版本高的权限大于版本低的。

在网上浏览了一下，发现还可以用arp欺骗的方式，方法是打开dos窗口，输入以下命令：

arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd

apr -a

其中192.168.1.24是自己的ip地址。这是把自己的物理地址给改了。
参考资料：http://www.tianyaclub.com/new/Publicforum/Content.asp?idWriter=0&Key=0&strItem=it&idArticle=277484&flag=1

㈢ 怎样在网络执法官里封锁ARP欺骗

第一步nbsp;只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：nbsp;在“开始“菜单的“运行“中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_nbsp;;SetControlClass{4D36E972-E325-11CE-BFC1-08002BE103nbsp;18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intelnbsp;210nbsp;41nbsp;basednbsp;Ethernetnbsp;Controller），在这里假设你的网卡在0000子键。nbsp;在0000子键下添加一个字符串，命名为“NetworkAddress“，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在nbsp;“0000“子键下的NDIparams中新建一项名为NetworkAddress的子键，在该子键下添加名为“default“的字符串，键值为修改后的MAC地址。nbsp;在NetworkAddress的子键下继续建立名为“ParamDesc“的字符串，其作用为指定Networknbsp;Address的描述，其值可为“MACnbsp;Address“。这样以后打开网络邻居的“属性“，双击相应的网卡就会发现有一个“高级“设置，其下存在MACnbsp;Address的选项，它就是你在注册表中加入的新项“NetworkAddress“，以后只要在此修改MAC地址就可以了。nbsp;关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MACnbsp;Address的高级设置项，用于直接修改MAC地址。nbsp;MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2nbsp;个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。nbsp;另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARPnbsp;-a命令得到网关的MAC地址，最后用ARPnbsp;-snbsp;IPnbsp;网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。nbsp;第二找到使你无法上网的对方nbsp;解除了网络执法官的封锁后，我们可以利用Arpkiller的“Sniffer杀手“扫描整个局域网IP段，然后查找处在“混杂“模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller，然后点击“Sniffer监测工具“，在出现的“Sniffer杀手“窗口中输入检测的起始和终止nbsp;IP，单击“开始检测“就可以了。nbsp;检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。nbsp;扫描时自己也处在混杂模式，把自己不能算在其中哦！nbsp;如果大家绝的这方法太复杂的话，也可以简单点，介绍个防ARP欺骗的软件（用法很简单，软件大家可以去网上搜索下载这里就不多说了）：nbsp;ARP防火墙单机版4.0nbsp;Beta4，02月04日发布，原名Antinbsp;ARPnbsp;Sniffer，采用全新系统内核层拦截技术，能彻底解决所有ARP攻击带来的问题，能够保证在受到ARP攻击时网络仍然正常，能彻底解决在受到攻击时出现的丢包现象

㈣ 网络执法官好用么

网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

四、找到使你无法上网的对方
解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller，然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止 IP，单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

如果大家绝的这方法太复杂的话，也可以简单点，介绍个防ARP欺骗的软件（用法很简单，软件大家可以去网上搜索下载这里就不多说了）：

ARP防火墙单机版4.0 Beta4，02月04日发布，原名Anti ARP Sniffer，采用全新系统内核层拦截技术，能彻底解决所有ARP攻击带来的问题，能够保证在受到ARP攻击时网络仍然正常，能彻底解决在受到攻击时出现的丢包现象。能自动拦截并防御各类ARP攻击程序、ARP病毒、ARP木马、通过智能分析抑制所有ARP恶意程序发送虚假数据包。自动识别ARP攻击数据类型：外部攻击、IP冲突、对外攻击数据，并详细记录所有可疑数据包并追踪攻击者，软件能自动统计ARP广播包发送接受数量。作者授权发布。
主要功能：
自动拦截和防御所有ARP恶意程序，无论ARP恶意程序如何变种都能进行主动拦截。
自动防御来自局域网的任意地址的ARP攻击，无论如何欺骗都能进行主动防御。
智能分析并详细记录欺骗数据包内容，快速定位局域网ARP攻击者。
自动防御和欺骗状态都能保持正常通讯，不丢弃任何数据包。

㈤ 据说P2P终结者,聚生网管,网络执法官之类的都是利用ARP攻击的原理

是的，我用过这三类软件，尤其现在使的是聚生网管，有ARP防火墙很容易冲突，表现为假死机。问题是你是要用ARP欺骗，来管理网络么？

㈥ 网络执法官 的原理~~

这个是ARP欺骗,执法官遇上ARP防火墙那就宣告瘫痪了.你可以使用洪水攻击软件比如DDOS,给他发送大量的数据包,让他断网,不过既然是在网吧,我想人家也应该有一定的防御措施吧.你也可以下载个SwitchSniffer,这个是英文的,你看得懂的话,可以控制任意一台机断网,只要你的机不关.

㈦ 请教如何突破网络执法官设置的上网限制限制

首先要搞清楚网络执法官所用的原理——即ARP欺骗，让某台机子上不了网，这个时候其实你回可以绑定你的网卡答

或者干脆用工具监听局域网内的机子，看哪台处于混杂模式，那台就是用网络执法官的机子。

内网中破解网络执法官的管制软件

http://www.17ut.com/soft/softdown.asp?softid=2671

下面是破解机制和教程

http://nkang.spaces.live.com/blog/cns!543C18AD9C3B8A67!120.entry

㈧ ARP是什么东西！！

RP实际上是英文词组Address Resolution Protocol的简称，它的中文名叫做地址解析协议。

它主要指的就是根据电脑的ip地址获取到的一个物理地址上的ip协议，arp是建立在网络中各个主机之间互相信任的前提下，它还可以对本机ARP缓存中的的ip地址以及mac地址这两者的对应关系进行排查，由此做出添加以及删除各种静态对应关系等等。

现在我们常见的相关协议有rarp、代理arp等等，如果ndp的用户还能在IPv6中来代替arp。

解决办法

根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。

如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。

源主机A的IP地址和MAC地址都包括在ARP请求中，本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。

主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。

主机B将包含其MAC地址的ARP回复消息直接发送回主机A。

当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。

(8)网络执法官原理扩展阅读

防护原理

防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。

首先，你要知道，如果一个错误的记录被插入ARP或者IP route表，可以用两种方式来删除。

a. 使用arp –d host_entry

ARP断网攻击

b. 自动过期，由系统删除

这样，可以采用以下的一些方法：

减少过期时间

#ndd –set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000=60000毫秒 默认是300000

加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。

参考资料：网络-ARP攻击

㈨ 网络执法官

反击网络执法官
作为管理软件的“网络执法官”已经流行一段时间了，对于深受其害的小菜们一定对他非常痛恨，今天我们以网管及被管理者的身份说说该软件的执法过程、突破过程。首先我们先看一下网络上对“网络执法官”的描述：可以在局域网中任意一台机器上运行网络执法官的主程，它可以穿透防火墙、实时监控、记录整个局域网用户上线情况，可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理！

因为在网络上传闻它可以穿透防火墙，真是吓了我一大跳，但在软件方有没有这种说法，我就不清楚了，可能是一些拥护者把他神圣化了，于是俺开始研究他如何穿透防火墙的。读完此文您也就知道“穿透防火墙是怎么实现的”。

其实“络网执法官”是通过ARP欺骗来达到管理目的，网络关于ARP欺骗的文章很多，不太清楚的可以去搜索一下。其实“络网执法官”只不过是一个很普通的管理软件，其功能虽说更全面、更稳定但也和其它软件没有什么本质上的分别。要想知道他是怎么管理所在网段而不让所管理的工作站上网，这还要追寻到网络通信原理上面。因为此软件主要特性是建立在数据链路层，所以其它我就将他简化了，图表一是IOS七层参考模型主要功能。

网络基础：物理层、数据链路层、网络层

使用者方面：传输、会话、表示及应用层

我们知道，我们的通信是和网络的七层协议密切相关的，以下我们虚拟一个局域网，来讲解网络通信过程及“网络执法官”的管理过程。当我们在七层协议最上层，主机A想和其它主机通信，比如telnet到主机B，各层都为数据打包后在封装自己能识别的数据标签，我们只说四层以下的通信过程，如图二。

1、当数据包到达传输层，由于telnet使用TCP协议，传输层将上层传过来的数据不变在封装TCP的包头以便目标主机可以正确解包，继续向下层（网络层）传递。

2、网络层同样不会改变之前的数据包，当然也包括之前的任何头文件，首先主机A要对目标主机作判断，他会用自己的IP地址和自己的子网掩码进行与运算结果是172.16.12.0，然后在拿自己的掩码和主机B的IP地址作与运算，结果是172.16.12.0，这个时候他知道他们在同一网段内，这时他会封装自己的IP及目标的IP地址，同上层传下来的数据一下向下传。

3、数据链路层其实包括两个子层，一是LLC子层另一个是MAC子层。我们知道在以太网中通信是物理寻址的，在这层中会封装自己的MAC地址及对方的MAC地址。当然用户是没有通知他MAC地址是多少的，这时主机会查自己的缓存表，看有没有主机B的MAC地址，如果有就封装，否则他会发一个ARP的地址解析广播包，该包只会存活在该网段并且以打了标签，虽说所有的主机都可以收到该广播包，但只会传递到该主机的数据链路层，更确切的说传递到了数据链路层的高层就给丢弃了。

4、接着该数据会从我们的网线等传输介质传出去，主机B当收到数据的时候进行相同的工作但是作相反的操作，我相信不用解释太多您能明白，如图三所示。

以上是简单的描述了一下两台主机的数据传输过程，说了半天也没说到“络网执法官”是怎么可以不让我们上网的，其实我们局域网的工作站想通过代理服务器上公网的数据包和以上就有点不同了，其实明白了上面的我们就很容易了解工作站去公网的数据包是怎么走的了。

话说主机A想去黑X官方网站，数据在传输到网络层的时候在这个时候呢他会用自己的IP和自己的子网掩码进行与结果是172.16.12.0，然后在拿自己的掩码和黑X官方网站的IP与运算（黑X的IP地址由DNS得到），结果为61.152.251.0发现不在同一个网段，注意：这时也是用自己IP和目标IP进行封装，然后向下层传递。在数据链路层这时就不会封装黑X的MAC地址，他也不知道MAC地址是什么，这时他会封装网关的MAC地址，而让网关将数据转发出去。同时在网关收到数据时候，他会查看目标IP地址，当然不是他自己的IP地址了，所以他知道这个数据发是要由他路由出去的，然后把数据包发给了他的邻居或网络运营商的路由器上去，重复以上动作，在TTL值为0之前将数据传递给黑X官方网站，数据传递成功！

至于“网络执法官”为什么可以根据网卡的MAC剥夺我们上网的权力呢！由于“网络执法官”利用ARP欺骗的原理，他会持续不断的发低速的ARP广播包，他主要是欺骗该PC机的第二层设备，使得该主机迷失正确的MAC地址，使第二层功能失效。该软件管理有如下症状:

1、主机无法访问internet，而局域网功能没问题，是由于ARP歪曲的通告一个伪网关MAC地址，使用户机器无法找到真正网关的MAC地址，当然在数据链路层就封装错误了。

2、无法访问internet、无法使用局域网功能（一般网管不会这么做，只会对付受限制用户的手法），这种情况是运行“网络执法官”的主机欺骗了所有局域网中同网段主机，使所有主机歪曲的记录了被管理的主机的MAC地址，同样被管理的主机也会错误的记录到其它主机的MAC地址，导致如上结果。

3、无法访问internet、无法使用局域网功能、桌面上常常弹出“IP地址冲突”的字样（一般受限制用户也不会有此待遇），这种是一个典型的“IP地址争夺游戏”。

在针对这种以MAC地址+IP地址来管理我们的网络管理软件，在对付第一种限制时，局域网无限制。网上有种方法就是用http、sock代理，就是给同网段一台机器上安装相应的软件，起到可以上网的办法！但是您说这种方法可行吗？图四给你结论，当网管发现后会继续封杀！一般网管不用发现该方法也是不可行的，比如：你看到一件事物是假的，你用看到的事物在去思考当然也是假的。

还有一种方法，就是改MAC地址，当然，这种方法是从原理上把这种软件控制功能给搞定了，但是您别忘了这个公司除了网络管理软件还有网管本人呢！他会根据您的IP地址及计算机名继续封杀。小菜问了：“我改了计算机名、IP地址、MAC地址那不就OK了吗？”常理说这种方法是一定行的，但是一个合理规划的网络是不会让你随意更改以上各种设置的。比如公司30台主机，网关的设置是192.168.1.1/27，看你怎么改，当网管工作不认真的时候告诉您，你暂时胜了，要是遇到我哈哈……。如果网管也是个小菜完全可以用这个方法以达到上网的目的，但是这个时候在“网络络执法官”的主界面中会多出一个用户来。

在网络上呼声最高的一种，暴力解决，拿个比管理软件频率更高的ARP软件和网管（频率达到几千个Frame/秒）对攻，更有甚者提倡用网络执法官VS网络执法官，这种方法是最可笑的，因为软件设计中为了保护网管不被攻击而设置了“友邻用户”他们可以相互发现但不能相互管理，这是我说为什么这种方法可笑的原因。另外在“日志”中可以查到友邻用户的记录，如果被网管查到是你在搞鬼，我相信你的这个月的奖金没了！

静态MAC地址突破管理，arp –d、arp –s等命令把ARP高速缓存改成ARP静态缓存,这种对于只限制了internet的功能，并且网络执法官是安装在网关上是行之有效的，如果软件没有安装在网关上嘿嘿……还是不行。（小菜：那么我们就没办法上网了吗？）当然不是，一种方法只能保证TCP连接可以通信，就是自己用静态ARP缓存，并且不断的向网关及其它主机发送正确自己的MAC地址信息，可以保证上internet的TCP正常连接，注：TCP有错误检测机制，可以重传！当然，如果网管是一个非常狡猾而且卑鄙的话，还会在一分钟内把你踢出局！

看网络执法官很厉害吧！大家一定以为我在为这款软件作广告，其实是想告诉大家不同的管理方法我们要用不同的对策，攻防中才有进步嘛！我在来看看他的管理范围如图四，他的管理%

㈩ 网络执法官是用什么原理断网的

网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们的优良传统，下面我们就谈谈这个问题。

首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP 和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的 IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC 地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。