史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-06-27, 09:29 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - 面對局域網用戶濫用網路執法官,p2p終結者等網管軟件的破解方法

總結網路執法官,p2p終結者等網管軟件使用arp欺騙的防範方法

首先介紹一個超好的防火牆給大家:Outpost Firewall 它可以防護p2p終結者等惡意軟件..效果超好..還能查出局域網哪台機在使用,這個防火牆功能強大,佔用資源少,個人評分5個星.大家可以上網查找一下.

這幾天很鬱悶,同一個局域網的同學經常使用p2p終結者來限制網內用戶的流量,搞的大家都很惱火,但是歸於是同學,也不好明說,後來借助論壇的搜索功能,成功解決了這個問題事先聲明,我是一個菜鳥,但是我也想在這裡建議和我一樣程度的網友,多使用論壇的搜索功能,它真的比你在「求助區」發貼來的快多了(在某些方面),而且自己也能學到東西
現將我搜索的資料總結如下,以方便以後遇到同樣問題的霏友能搜到一個完整的資料,同時在這裡也要感謝「zzswans」這位網友對我提供的幫助!

其實,類似這種網路管理軟件都是利用arp欺騙達到目的的
其原理就是使電腦無法找到網關的MAC地址。
那麼ARP欺騙到底是怎麼回事呢?
首先給大家說說什麼是ARP,ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。
ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為資料連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本機的ARP快取記憶體表,找到B的IP地址對應的MAC地址後,就會進行資料傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本機的ARP快取記憶體。接著使用這個MAC地址發送資料(由網卡附加MAC地址)。因此,本機高速快取記憶體的這個ARP表是本機網路流通的基礎,而且這個快取記憶體是動態的。

ARP協議並不只在發送了ARP請求才接收ARP應答。當電腦接收到ARP應答資料包的時候,就會對本機的ARP快取記憶體進行更新,將應答中的IP和MAC地址存儲在ARP快取記憶體中。因此,當局域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本機的ARP快取記憶體,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於局域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。

解決方法
歸納起來有以下方法:

1. 使用VLAN
只要你的PC和P2P終結者軟件不在同一個VLAN裡, 他就拿你沒辦法.

2. 使用雙向IP/MAC綁定
在PC上綁定你的出口路由器的MAC地址, P2P終結者軟件不能對你進行ARP欺騙, 自然也沒法管你, 不過只是PC綁路由的MAC
還不安全, 因為P2P終結者軟件可以欺騙路由, 所以最好的解決辦法是使用PC, 路由上雙向IP/MAC綁定, 就是說, 在PC
上綁定出路路由的MAC地址, 在路由上綁定PC的IP和MAC地址, 這樣要求路由要支持IP/MAC綁定, 比如HIPER路由器.

3. 使用IP/MAC地址盜用+IP/MAC綁定

索性你把自己的MAC地址和IP地址改成和執行P2P終結者軟件者一樣的IP和MAC, 看他如何管理, 這是一個兩敗俱傷的辦法,
改動中要有一些小技巧, 否則會報IP衝突. 要先改MAC地址, 再改IP, 這樣一來WINDOWS就不報IP衝突了(windows傻吧))), 做到這一步還沒有完, 最好你在PC上吧路由的MAC地址也綁定, 這樣一來P2P終結者欺騙路由也白費力氣了.

以上的方法我覺得都不適合我這邊的環境,所以我採用了一下的解決方法:
利用Look N Stop防火牆,防止arp欺騙
1.阻止網路執法官控制
  網路執法官是利用的ARp欺騙的來達到控制目的的。  
  ARP協議用來解析IP與MAC的對應關係,所以用下列方法可以實現抗拒網路執法官的控制。
如果你的機器不準備與局域網中的機器通訊,那麼可以使用下述方法:
  A.在「互連網過濾」裡面有一條「ARP : Authorize all ARP packets」規則,在這個規則前面打上禁止標誌;
  B.但這個規則預定會把網關的訊息也禁止了,處理的辦法是把網關的MAC地址(通常網關是固定的)放在這條規則的「目標」區,在「以太網:地址」裡選擇「不等於」,並把網關的MAC地址填寫在那時;把自己的MAC地址放在「來源」區,在「以太網:地址」裡選擇「不等於」。
  C.在最後一條「All other packet」裡,修改這條規則的「目標」區,在「以太網:地址」裡選擇「不等於」,MAC地址裡填FF:FF:FF:FF:FF:FF;把自己的MAC地址放在「來源」區,在「以太網:地址」裡選擇「不等於」。其它不改動。
  這樣網路執法官就無能為力了。此方法適用於不與局域網中其它機器通訊,且網關地址是固定的情況下。
  如果你的機器需要與局域網中的機器通訊,僅需要擺脫網路執法官的控制,那麼下述方法更簡單實用(此方法與防火牆無關):
  進入命令行狀態,執行「ARP -s 網關IP 網關MAC」就可以了,想獲得網關的MAC,只要Ping一下網關,然後用Arp -a命令檢視,就可以得到網關的IP與MAC的對應。此方法應該更具通用性,而且當網關地址可變時也很好操作,重複一次「ARP -s 網關IP 網關MAC」就行了。此命令作用是建立靜態的ARP解析表。

另外,聽說op防火牆也可以阻止,我沒有試過,所以請有興趣的朋友可以試試

插曲:
期間,我也用網路特工查找過,到底是誰在使用p2p終結者,通過檢測
我發現那台主機是通過UDP的137連接阜向我發送資料的,
於是做為菜鳥的我設想,用防火牆屏蔽掉這個連接阜
然後發局域網內所有的人拖入黑名單,
阻止他們和我通訊
似乎也可以達到阻止被控制的目的
這裡經zzswans霏友的提示說arp不基於連接阜的,連接阜只有tcpip協議裡有,arp協議裡無連接阜概念。,所以可能這種方法行不通
但我覺得我思考過了,得到了經驗,這才是最重要的



因為短信沒有辦法恢復太多的文字,所以重新發貼。
轉自其他論壇的文章。


網路執法官是一款網管軟件,可用於管理局域網,能禁止局域網任意機器連接網路。對於網管來說,這個功能自然很不錯,但如果局域網中有別人也使用該功能那就麻煩了。因為這樣輕則會導致別人無法上網,重則會導致整個局域網癱瘓。有什麼解決辦法呢?請您看下面的招數及其原理。



一、網路執法官簡介
我們可以在局域網中任意一台機器上執行網路執法官的主程式NetRobocop.exe,它可以穿透防火牆、實時監控、記錄整個局域網用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下局域網。該軟件適用範圍為局域網內部,不能對網關或路由器外的機器進行監視或管理,適合局域網管理員使用。


在網路執法官中,要想限制某台機器上網,只要點擊"網卡"表菜單中的"權限",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵表菜單中選擇"權限",在彈出的交談視窗中即可限制該用戶的權限。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的預定權限改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。

二、ARP欺騙的原理
網路執法官中利用的ARP欺騙使被攻擊的電腦無法上網,其原理就是使該電腦無法找到網關的MAC地址。那麼ARP欺騙到底是怎麼回事呢?
首先給大家說說什麼是ARP,ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。
ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為資料連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本機的ARP快取記憶體表,找到B的IP地址對應的MAC地址後,就會進行資料傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本機的ARP快取記憶體。接著使用這個MAC地址發送資料(由網卡附加MAC地址)。因此,本機高速快取記憶體的這個ARP表是本機網路流通的基礎,而且這個快取記憶體是動態的。

ARP協議並不只在發送了ARP請求才接收ARP應答。當電腦接收到ARP應答資料包的時候,就會對本機的ARP快取記憶體進行更新,將應答中的IP和MAC地址存儲在ARP快取記憶體中。因此,當局域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本機的ARP快取記憶體,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於局域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。

網路執法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。

三、修改MAC地址突破網路執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網路執法官的掃瞄,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:
在"開始"表菜單的"執行"中輸入regedit,打開註冊表編輯器,展開註冊表到:HKEY_LOCAL_
MACHINE\System\CurrentControl
Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這裡儲存了有關你的網卡的訊息,其中的DriverDesc內容就是網卡的訊息描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這裡假設你的網卡在0000子鍵。
在0000子鍵下新增一個字元串,命名為"NetworkAddress",鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI\params中新增一項名為NetworkAddress的子鍵,在該子鍵下新增名為"default"的字元串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後打開網路鄰居的"內容",雙擊相應的網卡就會發現有一個"高階"設置,其下存在MAC Address的選項,它就是你在註冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
關閉註冊表,重新啟動,你的網卡地址已改。打開網路鄰居的內容,雙擊相應網卡項會發現有一個MAC Address的高階設置選項,用於直接修改MAC地址。

MAC地址也叫物理地址、硬體地址或鏈路地址,由網路設備製造商生產時寫在硬體內部。這個地址與網路無關,即無論將帶有這個地址的硬體(如網卡、集線器、路由器等)接入到網路的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網卡)的系列號。每個網路製造商必須確保它所製造的每個以太網設備都具有相同的前三字節以及不同的後三個字節。這樣就可保證世界上每個以太網設備都具有唯一的MAC地址。

另外,網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。

四、找到使你無法上網的對方
解除了網路執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃瞄整個局域網IP段,然後查找處在"混雜"模式下的電腦,就可以發現對方了。具體方法是:執行Arpkiller,然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"視窗中輸入檢測的起始和終止IP,單擊"開始檢測"就可以了。

檢測完成後,如果相應的IP是綠帽子圖示,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。

掃瞄時自己也處在混雜模式,把自己不能算在其中哦!

這是另一個網友的方法大家可以試試.
==========================================
xp系統:只要用arp命令綁定自己MAC和路由MAC就行了,
如:arp -s 自己IP 自己MAC
arp -s 路由IP 路由MAC
最好都綁定一下,我試過,只綁定路由的話,出了IP衝突就上不去了,別人照樣能T你下線.如果綁定了自己的話,IP衝突了也能上網
9x/2000就需要軟件了
搜索一下anti arp sniffer就行了,
設置好路由IP,mac
不過我是xp系統也安裝了這個軟件,可以清楚的看到誰想T你下線或者想限制你
建議更換xp
只要上面設置一下,p2p終結者就報廢了,

xp系統在cmd狀態輸入: arp -a
如果路由IP 還有自己IP最後面狀態是static,那麼就表示綁定成功
arp -d
綁定之前也最好輸入一下,刪除非法綁定

關於限制流量:
我這裡的網路是adsl-路由-集線器-電腦
我把預定設置子網掩碼255.255.255.0改成255.240.0.0,還可以上網,p2p終結者,限制流量失效!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 02:45 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1