反擊"網路執法官"(轉)

反擊"網路執法官"(轉)[@more@]這幾天老有人在局域中使用網路執法官來限制別人,所以在網上找了找這方面的資料,
拿出來分享給大家

----------------------------------------------------------------------------------------------------------------------------------------------

網路執法官簡介
我們可以在區域網中任意一臺機器上執行網路執法官的主程式NetRobocop.exe，它可以穿透防火牆、實時監控、記錄整個區域網使用者上線情況，可限制各使用者上線時所用的IP、時段，並可將非法使用者踢下區域網。該軟體適用範圍為區域網內部，不能對閘道器或路由器外的機器進行監視或管理，適合區域網管理員使用

在代理伺服器端
??捆綁IP和MAC地址，解決區域網內盜用IP：
??ARP －s 192.168.10.59 00－50－ff－6c－08－75
??解除網路卡的IP與MAC地址的繫結：
??arp -d 網路卡IP
??
在網路鄰居上隱藏你的計算機
??net config server /hidden:yes
??net config server /hidden:no 則為開啟



在網路執法官中，要想限制某臺機器上網，只要點選"網路卡"選單中的"許可權"，選擇指定的網路卡號或在使用者列表中點選該網路卡所在行，從右鍵選單中選擇"許可權"，在彈出的對話方塊中即可限制該使用者的許可權。對於未登記網路卡，可以這樣限定其上線：只要設定好所有已知使用者（登記）後，將網路卡的預設許可權改為禁止上線即可阻止所有未知的網路卡上線。使用這兩個功能就可限制使用者上網。其原理是透過ARP欺騙發給被攻擊的電腦一個假的閘道器IP地址對應的MAC，使其找不到閘道器真正的MAC地址，這樣就可以禁止其上網

二、ARP欺騙的原理

網路執法官中利用的ARP欺騙使被攻擊的電腦無法上網，其原理就是使該電腦無法找到閘道器的MAC地址。那麼ARP欺騙到底是怎麼回事呢？知其然，知其所以然是我們《駭客X檔案》的優良傳統，下面我們就談談這個問題。
首先給大家說說什麼是ARP,ARP（Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成實體地址的協議。從IP地址到實體地址的對映有兩種方式：表格方式和非表格方式。ARP具體說來就是將網路層（IP層，也就是相當於OSI的第三層）地址解析為資料連線層（MAC層，也就是相當於OSI的第二層）的MAC地址。
ARP原理：某機器A要向主機B傳送報文，會查詢本地的ARP快取表，找到B的IP地址對應的MAC地址後，就會進行資料傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——實體地址Pa），請求IP地址為Ib的主機B回答實體地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP快取。接著使用這個MAC地址傳送資料（由網路卡附加MAC地址）。因此，本地快取記憶體的這個ARP表是本地網路流通的基礎，而且這個快取是動態的。

ARP協議並不只在傳送了ARP請求才接收ARP應答。當計算機接收到ARP應答資料包的時候，就會對本地的ARP快取進行更新，將應答中的IP和MAC地址儲存在ARP快取中。因此，當區域網中的某臺機器B向A傳送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答後，就會更新本地的ARP快取，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網路不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。
網路執法官利用的就是這個原理！知道了它的原理，再突破它的防線就容易多了

三、修改MAC地址突破網路執法官的封鎖

根據上面的分析，我們不難得出結論：只要修改MAC地址，就可以騙過網路執法官的掃描，從而達到突破封鎖的目的。下面是修改網路卡MAC地址的方法：
在"開始"選單的"執行"中輸入regedit，開啟登錄檔編輯器，展開登錄檔到：HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵，在子鍵下的0000，0001，0002等分支中查詢DriverDesc（如果你有一塊以上的網路卡，就有0001，0002......在這裡儲存了有關你的網路卡的資訊，其中的DriverDesc內容就是網路卡的資訊描述，比如我的網路卡是Intel 210
41 based Ethernet Controller），在這裡假設你的網路卡在0000子鍵。
在0000子鍵下新增一個字串，命名為"NetworkAddress"，鍵值為修改後的MAC地址，要求為連續的12個16進位制數。然後在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵，在該子鍵下新增名為"default"的字串，鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字串，其作用為指定Network
Address的描述，其值可為"MAC Address"。這樣以後開啟網路鄰居的"屬性"，雙擊相應的網路卡就會發現有一個"高階"設定，其下存在MAC Address的選項，它就是你在登錄檔中加入的新項"NetworkAddress"，以後只要在此修改MAC地址就可以了。
關閉登錄檔，重新啟動，你的網路卡地址已改。開啟網路鄰居的屬性，雙擊相應網路卡項會發現有一個MAC Address的高階設定項，用於直接修改MAC地址。

MAC地址也叫實體地址、硬體地址或鏈路地址，由網路裝置製造商生產時寫在硬體內部。這個地址與網路無關，即無論將帶有這個地址的硬體（如網路卡、集線器、路由器等）接入到網路的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由使用者自己設定。MAC地址通常表示為12個16進位制數，每2個16進位制數之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進位制數，08:00:20代表網路硬體製造商的編號，它由IEEE分配，而後3位16進位制數0A:8C:6D代表該製造商所製造的某個網路產品（如網路卡）的系列號。每個網路製造商必須確保它所製造的每個乙太網裝置都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個乙太網裝置都具有唯一的MAC地址。

另外，網路執法官的原理是透過ARP欺騙發給某臺電腦有關假的閘道器IP地址所對應的MAC地址，使其找不到閘道器真正的MAC地址。因此，只要我們修改IP到MAC的對映就可使網路執法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下閘道器，然後再用ARP -a命令得到閘道器的MAC地址，最後用ARP -s IP 網路卡MAC地址命令把閘道器的IP地址和它的MAC地址對映起來就可以了。
四、找到使你無法上網的對方
解除了網路執法官的封鎖後，我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網IP段，然後查詢處在"混雜"模式下的計算機，就可以發現對方了。具體方法是：執行Arpkiller，然後點選"Sniffer監測工具"，在出現的"Sniffer殺手"視窗中輸入檢測的起始和終止IP，單擊"開始檢測"就可以了。
檢測完成後，如果相應的IP是綠帽子圖示，說明這個IP處於正常模式，如果是紅帽子則說明該網路卡處於混雜模式。它就是我們的目標，就是這個傢伙在用網路執法官在搗亂。

掃描時自己也處在混雜模式，把自己不能算在其中哦！

找到對方後怎麼對付他就是你的事了，比方說你可以利用網路執法官把對方也給封鎖了
檢視幫助檔案發現：

14、怎樣防止網路中使用者非法使用本軟體？
軟體中特別設定了"友鄰使用者"的相互發現功能。"友鄰使用者"不能相互管理，使管理員免受非法使用者攻擊，而且不需註冊也能發現其他正在使用本軟體的使用者，也可以在軟體自帶的"日誌"中檢視友鄰使用者的記錄。普通使用者無力解決其他使用者濫用的問題，請與網路管理員聯絡。

原來安裝和對方一樣的版本，對方就不能控制你了。版本高的許可權大於版本低的。

在網上瀏覽了一下，發現還可以用arp欺騙的方式，方法是開啟dos視窗，輸入以下命令：

arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd

apr -a

其中192.168.1.24是自己的ip地址。這是把自己的實體地址給改了
筆者辦公所在的區域網最近總出問題，系統總是提示有IP衝突，導致區域網的計算機不能互相訪問，而且不能正常上網。這可是辦公網路的大忌，要知道離開了網路，離開了區域網很多工作都是沒法開展的，經過一番分析，我終於找到了肇事的“元兇”——網路執法官！下面就隨筆者一起來看看“網路執法官”到底是怎樣在區域網中搗亂的？

一、認識網路執法官

“網路執法官”是一款區域網管理輔助軟體，採用網路底層協議，能穿透各客戶端防火牆對網路中的每一臺主機進行監控。它採用網路卡號（MAC）識別使用者，可靠性高；該軟體不需執行於指定的伺服器，在網內任一臺主機上執行即可有效監控所有本機連線到的網路（支援多網段監控）。主要具有以下功能：

1． 實時記錄上線使用者並存檔備查：網路中任一臺主機，開機即會被本軟體實時檢測並記錄其網路卡號、所用的IP、上線時間、下線時間等資訊。

2． 自動偵測未登記主機接入並報警：管理員登記完或軟體自動檢測到所有合法的主機後，可在軟體中作出設定，拒絕所有未登記的主機接入網路。一旦有未登記主機接入，軟體會自動將其MAC、IP、主機名、上下線時段等資訊作永久記錄，並可採用聲音、向指定主機發訊息等多種方式報警。

3． 限定各主機的IP，防止IP盜用：管理員可對每臺主機指定一個IP或一段IP，當該主機採用超出範圍的IP時，軟體會判定其為“非法使用者”，自動採用管理員事先指定的方式對其進行控制，並將其MAC、IP、主機名作記錄備查。

其實網路執法官是一款非常優秀的區域網管理軟體。然而正象大多數遠端控制軟體一樣，軟體本身的功能是非常實用的，但是這些工具一旦被一些別有用心的駭客或者搗亂分子利用，就成了他們“為虎作仗”的“幫兇”。

二、破壞方法大曝光

1．這些攻擊者通常不具備管理網路的權利，但卻去下載“網路執法官”來使用。執行網路執法官，它會自動檢測機器上的網路卡。

2．此時，選擇一個網路卡就會彈出一個監控範圍選擇，你可以選擇區域網內的全部機器，當然，你也可以只選擇其中的幾臺，在“指定監控範圍”中輸入，然後單擊“新增/修改”就可以了。

3．上面的設定完畢後，他們就可以開始實施攻擊的的行為了。首先需要把攻擊的網路卡MAC地址跟IP繫結。選擇要繫結的一臺或者多臺機器，然後點選右鍵，選擇“Mac_ip繫結”。

4．然後選擇要攻擊的物件，右鍵單擊選擇“使用者屬性”，在彈出的“使用者屬性”視窗中單擊“許可權設定”按鈕，在這裡，你可以進行相關的設定。你也可以雙擊“使用者列表”中某使用者的“鎖”列或者在右鍵選單中選擇“鎖定”選項，那麼，該使用者會被快速斷開與關鍵主機或者全部主機的連線。

5．攻擊者設定好後就可以等著好戲上場了：被攻擊者的電腦會不斷顯示IP衝突，不能訪問區域網內的其他電腦，使用者不停地找網管，忙得“不亦樂乎”！筆者的同事好幾個都領教過這種被“騷擾”的煩惱。


三、區域網內的“反擊戰”

遇到這種問題，難道就只有“被動挨打”的份嗎？經過一番研究，有些情況下，你終於找到了有效的防範方法，筆者甚至還可以“以其人之道，還治其人之身”！

1．防範為主——修改網路卡的MAC地址

由於該軟體採用網路底層協議，能穿透各客戶端防火牆對網路的每一臺主機進行監控和管理，所以防範起來有一定的難度。但是我們也可以透過修改自己的網路卡的MAC地址來改變IP到MAC的對映，從而使得網路執法官的ARP欺騙失效，進而擺脫網路執法官的破壞。具體操作步驟如下：依次開啟“網路上的芳鄰→屬性→網路和撥號連線屬性”，右擊要修改MAC的網路卡，在彈出的選單中選擇屬性。然後點選“配置→高階”，點選“Network Address”，預設的選項為“沒有顯示”，選中上面的“設定值”選項，並輸入新的網路卡MAC地址，注意應該是12個十六進位制數，如4561787895BA，不能設定為000000000000，也不能與別的網路卡的MAC地址重複，然後點選確定。

2．主動還擊——檢視日誌

如果是惡意的網路攻擊者，只是被動防範肯定是不夠的，一定要讓他受到“懲罰”！你可以透過網路執法官的日誌功能揪出攻擊者，注意透過網路執法官的版本不要太低，最少保證在2.0以上，只要從日誌中找出攻擊者的IP（具體方法為：依次開啟主介面上的“系統→檢視系統日誌”），然後提給網路管理人員或者當地網路安全部門，就可以將他“繩之以法”了，甚至你還可以採用一些駭客手段“以其人之道，還治其人之身”。