2022年网络执法官的使用方法及原理 .pdf

《2022年网络执法官的使用方法及原理 .pdf》由会员分享，可在线阅读，更多相关《2022年网络执法官的使用方法及原理 .pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 / 7 网络执法官的使用方法网络执法官是一款网管软件， 可用于管理局域网， 能禁止局域网任意机器连接网络。对于网管来说，这个功能自然很不错，但如果局域网中有别人也使用该功能那就麻烦了。因为这样轻则会导致别人无法上网，重则会导致整个局域网瘫痪。有什么解决办法呢？请您看下面的招数及其原理。一、网络执法官简介我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe，它可以穿透防火墙、实时监控、记录整个局域网用户上线情况， 可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。 该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理，适合局域网管理员

2、使用。在网络执法官中，要想限制某台机器上网，只要点击网卡菜单中的权限，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择 权限 ，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线： 只要设定好所有已知用户 （登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP 欺骗发精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 1 页，共 7 页2 / 7 给被攻击的电脑一个假的网关IP 地址对应的 MAC ， 使其找不到网关真正的 MAC 地址，这样就可以禁止

3、其上网。二、ARP 欺骗的原理网络执法官中利用的ARP 欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC 地址。那么 ARP 欺骗到底是怎么回事呢？首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP 地址转化成物理地址的协议。从IP 地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP 具体说来就是将网络层（ IP 层，也就是相当于OSI 的第三层）地址解析为数据连接层（ MAC 层，也就是相当于OSI 的第二层）的MAC 地址。ARP 原理：某机器 A 要向主机 B 发送报文， 会查询本地的 AR

4、P 缓存表，找到 B 的 IP 地址对应的 MAC 地址后，就会进行数据传输。如果未找到，则广播A 一个 ARP 请求报文（携带主机A 的 IP 地址Ia物理地址Pa） ， 请求 IP 地址为 Ib 的主机 B 回答物理地址 Pb。网上所有主机包括B 都收到 ARP 请求，但只有主机 B 识别自己的 IP地址，于是向 A 主机发回一个 ARP 响应报文。其中就包含有B 的MAC 地址，A 接收到 B 的应答后， 就会更新本地的 ARP 缓存。接着使用这个 MAC 地址发送数据（由网卡附加MAC 地址）。因此，本地高速缓存的这个ARP 表是本地网络流通的基础，而且这个缓存是精选学习资料 - -

5、- - - - - - - 名师归纳总结 - - - - - - -第 2 页，共 7 页3 / 7 动态的。ARP 协议并不只在发送了ARP 请求才接收 ARP 应答。 当计算机接收到 ARP 应答数据包的时候， 就会对本地的 ARP 缓存进行更新， 将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。因此，当局域网中的某台机器 B 向 A 发送一个自己伪造的ARP 应答，而如果这个应答是B冒充 C 伪造来的，即 IP 地址为 C 的 IP，而 MAC 地址是伪造的，则当 A 接收到 B 伪造的 ARP 应答后，就会更新本地的ARP 缓存，这样在 A 看来 C 的 IP 地址没有变，而

6、它的MAC 地址已经不是原来那个了。由于局域网的网络流通不是根据IP 地址进行，而是按照 MAC地址进行传输。 所以，那个伪造出来的MAC 地址在 A 上被改变成一个不存在的 MAC 地址，这样就会造成网络不通，导致A 不能 Ping通 C！这就是一个简单的ARP 欺骗。网络执法官利用的就是这个原理！知道了它的原理， 再突破它的防线就容易多了。三、局域网内的“反击战”修改MAC 地址突破网络执法官的封锁根据上面的分析，我们不难得出结论：只要修改MAC 地址，就可以骗过网络执法官的扫描， 从而达到突破封锁的目的。 下面是修改网卡MAC 地址的方法：在开始菜单的 运行中输入 regedit ，打开

7、注册表编辑器，展开注精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页，共 7 页4 / 7 册表到： HKEY_LOCAL_ MACHINESystemCurrentControl SetControlClass4D36E972-E325-11CE-BFC1-08002BE103 18子键，在子键下的 0000 ， 0001 ， 0002 等分支中查找 DriverDesc（如果你有一块以上的网卡，就有0001 ，0002. 在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是 Intel 210

8、41 based Ethernet Controller），在这里假设你的网卡在0000 子键。在 0000 子键下添加一个字符串，命名为NetworkAddress，键值为修改后的 MAC 地址，要求为连续的12 个 16 进制数。然后在0000 子键下的 NDIparams中新建一项名为 NetworkAddress的子键，在该子键下添加名为default的字符串，键值为修改后的MAC 地址。在 NetworkAddress的子键下继续建立名为 ParamDesc 的字符串，其作用为指定Network Address 的描述，其值可为 MAC Address。这样以后打开网络邻居的属性，双

9、击相应的网卡就会发现有一个高级设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项NetworkAddress，以后只要在此修改MAC 地址就可以了。关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 4 页，共 7 页5 / 7 接修改 MAC 地址。MAC 地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。 这个地址与网络无关， 即无论将带有这个地址的硬件（如网卡、集线器、路由器

10、等）接入到网络的何处，它都有相同的 MAC 地址，MAC 地址一般不可改变，不能由用户自己设定。MAC 地址通常表示为 12 个 16 进制数，每 2 个 16 进制数之间用冒号隔开，如： 08:00:20:0A:8C:6D就是一个 MAC 地址，其中前 6 位16 进制数， 08:00:20 代表网络硬件制造商的编号，它由IEEE分配，而后 3 位 16 进制数 0A:8C:6D 代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC 地址。另外，网络执法官

11、的原理是通过ARP 欺骗发给某台电脑有关假的网关 IP 地址所对应的 MAC 地址，使其找不到网关真正的MAC 地址。因此，只要我们修改IP 到 MAC 的映射就可使网络执法官的ARP 欺骗失效，就隔开突破它的限制。你可以事先Ping 一下网关，然后再用 ARP -a 命令得到网关的MAC 地址， 最后用 ARP -s IP 网卡 MAC地址命令把网关的IP 地址和它的 MAC 地址映射起来就可以了。四、找到使你无法上网的对方精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 5 页，共 7 页6 / 7 解除了网络执法官的封锁后，我们可以利用Arpk

12、iller的Sniffer杀手扫描整个局域网 IP 段，然后查找处在 混杂模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller ，然后点击 Sniffer监测工具 ，在出现的 Sniffer 杀手窗口中输入检测的起始和终止IP，单击开始检测 就可以了。检测完成后，如果相应的IP 是绿帽子图标，说明这个IP 处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。扫描时自己也处在混杂模式，把自己不能算在其中哦！如果大家绝的这方法太复杂的话，也可以简单点，介绍个防ARP 欺骗的软件（用法很简单， 软件大家可以去网上搜索下载这里就不多说

13、了）：ARP 防火墙单机版 4.0 Beta4 ，02 月 04 日发布，原名 Anti ARP Sniffer ，采用全新系统内核层拦截技术，能彻底解决所有ARP 攻击带来的问题，能够保证在受到ARP 攻击时网络仍然正常，能彻底解决在受到攻击时出现的丢包现象。能自动拦截并防御各类ARP 攻击程序、ARP 病毒、ARP 木马、通过智能分析抑制所有ARP 恶意程序发送虚假数据包。 自动识别 ARP 攻击数据类型： 外部攻击、IP 冲突、精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 6 页，共 7 页7 / 7 对外攻击数据， 并详细记录所有可疑数据包并追踪攻击者，软件能自动统计 ARP 广播包发送接受数量。作者授权发布。主要功能：自动拦截和防御所有ARP 恶意程序，无论 ARP 恶意程序如何变种都能进行主动拦截。自动防御来自局域网的任意地址的ARP 攻击，无论如何欺骗都能进行主动防御。智能分析并详细记录欺骗数据包内容，快速定位局域网ARP 攻击者。自动防御和欺骗状态都能保持正常通讯，不丢弃任何数据包。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 7 页，共 7 页