熱心網(wǎng)友
你可以跳過,直接看第三個板塊。前兩個是講原理。突破網(wǎng)絡執(zhí)法官封鎖的方法及其原理 網(wǎng)絡執(zhí)法官是一款網(wǎng)管軟件,可用于管理局域網(wǎng),能禁止局域網(wǎng)任意機器連接網(wǎng)絡。對于網(wǎng)管來說,這個功能自然很不錯,但如果局域網(wǎng)中有別人也使用該功能那就麻煩了。因為這樣輕則會導致別人無法上網(wǎng),重則會導致整個局域網(wǎng)癱瘓。有什么解決辦法呢?請您看下面的招數(shù)及其原理。 一、網(wǎng)絡執(zhí)法官簡介 我們可以在局域網(wǎng)中任意一臺機器上運行網(wǎng)絡執(zhí)法官的主程序NetRobocop。exe,圖1是它的主界面。它可以穿透防火墻、實時監(jiān)控、記錄整個局域網(wǎng)用戶上線情況,可限制各用戶上線時所用的IP、時段,并可將非法用戶踢下局域網(wǎng)。該軟件適用范圍為局域網(wǎng)內(nèi)部,不能對網(wǎng)關或路由器外的機器進行監(jiān)視或管理,適合局域網(wǎng)管理員使用(該軟件光盤中有收錄)。 在網(wǎng)絡執(zhí)法官中,要想限制某臺機器上網(wǎng),只要點擊"網(wǎng)卡"菜單中的"權限",選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行,從右鍵菜單中選擇"權限",在彈出的對話框中即可限制該用戶的權限。對于未登記網(wǎng)卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)后,將網(wǎng)卡的默認權限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關IP地址對應的MAC,使其找不到網(wǎng)關真正的MAC地址,這樣就可以禁止其上網(wǎng)。 二、ARP欺騙的原理 網(wǎng)絡執(zhí)法官中利用的ARP欺騙使被攻擊的電腦無法上網(wǎng),其原理就是使該電腦無法找到網(wǎng)關的MAC地址。那么ARP欺騙到底是怎么回事呢?知其然,知其所以然是我們《黑客X檔案》的優(yōu)良傳統(tǒng),下面我們就談談這個問題。 首先給大家說說什么是ARP,ARP(Address Resolution Protocol)是地址解析協(xié)議,是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡層(IP層,也就是相當于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層,也就是相當于OSI的第二層)的MAC地址。 ARP原理:某機器A要向主機B發(fā)送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址后,就會進行數(shù)據(jù)傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網(wǎng)上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答后,就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎,而且這個緩存是動態(tài)的。 ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答后,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網(wǎng)絡不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。 網(wǎng)絡執(zhí)法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。 三、修改MAC地址突破網(wǎng)絡執(zhí)法官的封鎖 根據(jù)上面的分析,我們不難得出結(jié)論:只要修改MAC地址,就可以騙過網(wǎng)絡執(zhí)法官的掃描,從而達到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法: 在"開始"菜單的"運行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_ MACHINE\System\CurrentControl Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103 18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網(wǎng)卡,就有0001,0002。。。。。。在這里保存了有關你的網(wǎng)卡的信息,其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述,比如我的網(wǎng)卡是Intel 210 41 based Ethernet Controller),在這里假設你的網(wǎng)卡在0000子鍵。 在0000子鍵下添加一個字符串,命名為"NetworkAddress",鍵值為修改后的MAC地址,要求為連續(xù)的12個16進制數(shù)。然后在"0000"子鍵下的NDI\params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字符串,鍵值為修改后的MAC地址。 在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串,其作用為指定Network Address的描述,其值可為"MAC Address"。這樣以后打開網(wǎng)絡鄰居的"屬性",雙擊相應的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設置,其下存在MAC Address的選項,它就是你在注冊表中加入的新項"NetworkAddress",以后只要在此修改MAC地址就可以了。 關閉注冊表,重新啟動,你的網(wǎng)卡地址已改。打開網(wǎng)絡鄰居的屬性,雙擊相應網(wǎng)卡項會發(fā)現(xiàn)有一個MAC Address的高級設置項,用于直接修改MAC地址。 MAC地址也叫物理地址、硬件地址或鏈路地址,由網(wǎng)絡設備制造商生產(chǎn)時寫在硬件內(nèi)部。這個地址與網(wǎng)絡無關,即無論將帶有這個地址的硬件(如網(wǎng)卡、集線器、路由器等)接入到網(wǎng)絡的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數(shù),每2個16進制數(shù)之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數(shù),08:00:20代表網(wǎng)絡硬件制造商的編號,它由IEEE分配,而后3位16進制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡產(chǎn)品(如網(wǎng)卡)的系列號。每個網(wǎng)絡制造商必須確保它所制造的每個以太網(wǎng)設備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每個以太網(wǎng)設備都具有唯一的MAC地址。 另外,網(wǎng)絡執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關假的網(wǎng)關IP地址所對應的MAC地址,使其找不到網(wǎng)關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網(wǎng)絡執(zhí)法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網(wǎng)關,然后再用ARP -a命令得到網(wǎng)關的MAC地址,最后用ARP -s IP 網(wǎng)卡MAC地址命令把網(wǎng)關的IP地址和它的MAC地址映射起來就可以了。 四、找到使你無法上網(wǎng)的對方 解除了網(wǎng)絡執(zhí)法官的封鎖后,我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網(wǎng)IP段,然后查找處在"混雜"模式下的計算機,就可以發(fā)現(xiàn)對方了。具體方法是:運行Arpkiller(圖2),然后點擊"Sniffer監(jiān)測工具",在出現(xiàn)的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了。 檢測完成后,如果相應的IP是綠帽子圖標,說明這個IP處于正常模式,如果是紅帽子則說明該網(wǎng)卡處于混雜模式。它就是我們的目標,就是這個家伙在用網(wǎng)絡執(zhí)法官在搗亂。 掃描時自己也處在混雜模式,把自己不能算在其中哦! 找到對方后怎么對付他就是你的事了,比方說你可以利用網(wǎng)絡執(zhí)法官把對方也給封鎖了 。
熱心網(wǎng)友
你遇到的比較可能是 “局域網(wǎng)終結(jié)者”的攻擊。解決辦法一:arp -s 網(wǎng)關ip 網(wǎng)關真實mac解決辦法二:(如果有彈出ip沖突信息)把自己的mac改為和有沖突的那個mac地址如果遭遇洪水a(chǎn)rp欺騙,以上方法無效。需找網(wǎng)絡管理員投訴,如果你是網(wǎng)絡管理員,搜索網(wǎng)絡內(nèi)除了你以外的處于混雜模式的計算機,拔掉他的網(wǎng)線觀察欺騙廣播是否停止,可以找出肇事機器處理。
熱心網(wǎng)友
那就以其人之道還治其人之身,你也動用黑軟保衛(wèi)啊