史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-01-24, 09:27 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 突破網路執法官封鎖的方法及其原理

回答peerless的簡信(突破網路執法官封鎖的方法及其原理)

因為簡信沒有辦法恢復太多的文字,所以重新發帖。
轉自其他論壇的文章。





網路執法官是一款網管軟體,可用於管理區域網路,能禁止區域網路任意機器連接網路。對於網管來說,這個功能自然很不錯,但如果區域網路中有別人也使用該功能那就麻煩了。因為這樣輕則會導致別人無法上網,重則會導致整個區域網路癱瘓。有什麼解決辦法呢?請您看下面的招數及其原理。



一、網路執法官簡介
我們可以在區域網路中任意一台電腦上執行網路執法官的主程序NetRobocop.exe,它可以穿透防火牆、既時監控、記錄整個區域網路用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下區域網路。該軟體適用範圍為區域網路內部,不能對網路閘道或路由器外的機器進行監視或管理,適合區域網路管理員使用。


在網路執法官中,要想限制某台電腦上網,只要點擊"網路卡"表單中的"權限",選項指定的網路卡號或在用戶列表中點擊該網路卡所在行,從右鍵表單中選項"權限",在彈出的對話視窗中即可限制該用戶的權限。對於未登記網路卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網路卡的預設權限改為禁止上線即可阻止所有未知的網路卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網路閘道IP位址對應的MAC,使其找不到網路閘道真正的MAC位址,這樣就可以禁止其上網。

二、ARP欺騙的原理
網路執法官中利用的ARP欺騙使被攻擊的電腦無法上網,其原理就是使該電腦無法找到網路閘道的MAC位址。那麼ARP欺騙到底是怎麼回事呢?
首先給大家說說什麼是ARP,ARP(Address Resolution Protocol)是位址解析傳輸協定,是一種將IP位址轉化成物理位址的傳輸協定。從IP位址到物理位址的映射有兩種方式:表格方式和非表格方式。
ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)位址解析為資料連接層(MAC層,也就是相當於OSI的第二層)的MAC位址。


ARP原理:某機器A要向主機B傳送報文,會查詢本機的ARP快取表,找到B的IP位址對應的MAC位址後,就會進行資料傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP位址Ia——物理位址Pa),請求IP位址為Ib的主機B回答物理位址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP位址,於是向A主機發回一個ARP回應報文。


其中就包含有B的MAC位址,A接收到B的回應後,就會更新本機的ARP快取。接著使用這個MAC位址傳送資料(由網路卡附加MAC位址)。因此,本機高速快取的這個ARP表是本機網路流通的基礎,而且這個快取是動態的。

ARP傳輸協定並不只在傳送了ARP請求才接收ARP回應。當電腦接收到ARP回應資料包的時候,就會對本機的ARP快取進行更新,將回應中的IP和MAC位址儲存於在ARP快取中。因此,當區域網路中的某台機器B向A傳送一個自己偽造的ARP回應,而如果這個回應是B冒充C偽造來的,即IP位址為C的IP,而MAC位址是偽造的,則當A接收到B偽造的ARP回應後,就會更新本機的ARP快取,這樣在A看來C的IP位址沒有變,而它的MAC位址已經不是原來那個了。


由於區域網路的網路流通不是根據IP位址進行,而是按照MAC位址進行傳輸。所以,那個偽造出來的MAC位址在A上被改變成一個不存在的MAC位址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。

網路執法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。

三、修改MAC位址突破網路執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC位址,就可以騙過網路執法官的掃瞄,從而達到突破封鎖的目的。下面是修改網路卡MAC位址的方法:

在"開始"表單的"執行"中輸入regedit,開啟註冊表編輯器,展開註冊表到:HKEY_LOCAL_
MACHINE\System\CurrentControl
Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中搜尋DriverDesc(如果你有一塊以上的網路卡,就有0001,0002......在這裡儲存了有關你的網路卡的訊息,其中的DriverDesc內容就是網路卡的訊息描述,比如我的網路卡是Intel 210
41 based Ethernet Controller),在這裡假設你的網路卡在0000子鍵。


在0000子鍵下增加一個字元串,命名為"NetworkAddress",鍵值為修改後的MAC位址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI\params中新增一項名為NetworkAddress的子鍵,在該子鍵下增加名為"default"的字元串,鍵值為修改後的MAC位址。


在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後開啟網路鄰居的"內容",雙按相應的網路卡就會發現有一個"進階"設定,其下存在MAC Address的選項,它就是你在註冊表中加入的新項"NetworkAddress",以後只要在此修改MAC位址就可以了。









關閉註冊表,重新啟動,你的網路卡位址已改。開啟網路鄰居的內容,雙按相應網路卡項會發現有一個MAC Address的進階設定項,用於直接修改MAC位址。

MAC位址也叫物理位址、硬體位址或鏈路位址,由網路設備製造商生產時寫在硬體內部。

這個位址與網路無關,即無論將帶有這個位址的硬體(如網路卡、集線器、路由器等)接入到網路的何處,它都有相同的MAC位址,MAC位址一般不可改變,不能由用戶自己設定。MAC位址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC位址,其中前6位16進制數,08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網路卡)的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三字元以及不同的後三個字元。


這樣就可保證世界上每個乙太網設備都具有唯一的MAC位址。

另外,網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網路閘道IP位址所對應的MAC位址,使其找不到網路閘道真正的MAC位址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網路閘道,然後再用ARP -a指令得到網路閘道的MAC位址,最後用ARP -s IP 網路卡MAC位址指令把網路閘道的IP位址和它的MAC位址映射起來就可以了。

四、找到使你無法上網的對方
解除了網路執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃瞄整個區域網路IP段,然後搜尋處在"混雜"模式下的電腦,就可以發現對方了。具體方法是:執行Arpkiller,然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"視窗中輸入檢測的起始和終止IP,按下"開始檢測"就可以了。

檢測完成後,如果相應的IP是綠帽子圖示,說明這個IP處於正常模式,如果是紅帽子則說明該網路卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。

掃瞄時自己也處在混雜模式,把自己不能算在其中哦!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:27 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1