廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 6270 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
a1182
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[問題討論] 破解網路執法官限制
破解網路執法官限制
  
  網路執法官簡介
  我們可以在局域網中任意一台機器上執行網路執法官的主程序NetRobocop.exe,它可以穿透防火牆、即時監控、記錄整個局域網用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下局域網。該軟體適用範圍為局域網內部,不能對網關或路由器外的機器進行監視或管理,適合局域網管理員使用
  
  在代理服務器端
  捆綁IP和MAC地址,解決局域網內盜用IP:
  ARP -s 192.168.10.59 00-50-ff-6c-08-75
  解除網路卡的IP與MAC地址的綁定:
  arp -d 網路卡IP
  
  在網路鄰居上隱藏你的電腦
  net config server /hidden:yes
  net config server /hidden:no 則為開啟
  
  
  
  在網路執法官中,要想限制某台機器上網,只要點擊"網路卡"菜單中的"權限",選擇指定的網路卡號或在用戶列表中點擊該網路卡所在行,從右鍵菜單中選擇"權限",在彈出的對話框中即可限制該用戶的權限。對於未登記網路卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)后,將網路卡的默認權限改為禁止上線即可阻止所有未知的網路卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
  
  二、ARP欺騙的原理
  網路執法官中利用的ARP欺騙使被攻擊的電腦無法上網,其原理就是使該電腦無法找到網關的MAC地址。那么ARP欺騙到底是怎么回事呢?知其然,知其所以然是我們《黑客X檔案》的優良傳統,下面我們就談談這個問題。
  首先給大家說說什么是ARP,ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當于OSI的第二層)的MAC地址。
  ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址后,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答后,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網路卡附加MAC地址)。因此,本地快取記憶體的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
  
  ARP協議並不只在發送了ARP請求才接收ARP應答。當電腦接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當局域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答后,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於局域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
  網路執法官利用的就是這個原理!知道了它的原理,再突破它的防線就容易多了。
  
  三、修改MAC地址突破網路執法官的封鎖
  根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網路執法官的掃描,從而達到突破封鎖的目的。下面是修改網路卡MAC地址的方法:
  在"開始"菜單的"執行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_
  MACHINE/System/CurrentControl
  Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
  18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網路卡,就有0001,0002......在這裡保存了有關你的網路卡的信息,其中的DriverDesc內容就是網路卡的資訊描述,比如我的網路卡是Intel 210
  41 based Ethernet Controller),在這裡假設你的網路卡在0000子鍵。
  在0000子鍵下添加一個字元串,命名為"NetworkAddress",鍵值為修改后的MAC地址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字元串,鍵值為修改后的MAC地址。
  在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串,其作用為指定Network
  Address的描述,其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性",雙擊相應的網路卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在注冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
  關閉注冊表,重新啟動,你的網路卡地址已改。打開網路鄰居的屬性,雙擊相應網路卡項會發現有一個MAC Address的高級設置項,用於直接修改MAC地址。
  
  MAC地址也叫物理地址、硬體地址或鏈路地址,由網路設備製造商生產時寫在硬體內部。這個地址與網路無關,即無論將帶有這個地址的硬體(如網路卡、集線器、路由器等)接入到網路的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網路卡)的系列號。每個網路製造商必須確保它所製造的每個以太網設備都具有相同的前三字節以及不同的后三個字節。這樣就可保証世界上每個以太網設備都具有唯一的MAC地址。
  
  另外,網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網路卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
  
  四、找到使你無法上網的對方
  解除了網路執法官的封鎖后,我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網IP段,然後查找處在"混雜"模式下的電腦,就可以發現對方了。具體方法是:執行Arpkiller(圖2),然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了。
  檢測完成后,如果相應的IP是綠帽子圖示,說明這個IP處於正常模式,如果是紅帽子則說明該網路卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。
  
  掃描時自己也處在混雜模式,把自己不能算在其中哦!
  
  找到對方后怎么對付他就是你的事了,比方說你可以利用網路執法官把對方也給封鎖了!
  -----------------------------------------------------------------------------------------------------------------------------
  運 行 機 制
  
   本軟體以各主機的網路卡號來識別用戶,通過收發底層數據包來監控用戶,佔用網路資源極少;在軟體剛啟動的前90秒內,有數量較多的數據包收發,並會佔用較多的CPU資源,屬正常現象。
   本軟體以用戶權限為核心,管理員設置各用戶權限后,軟體即依各用戶的權限進行自動管理。
   為保証管理員對用戶的正常管理,及防止非法用戶利用本軟體攻擊管理員,除了禁止管理"友鄰主機"外,本軟還設置了"友鄰用戶"相互發現機制,即同一局域網中,所有執行本軟體的用戶(友鄰用戶)都可以相互發現(參見名詞解釋"友鄰用戶")。注意,本軟體2.0以前版本(包括專用檢測版)不能檢測到2.0以後版本,只有執行2.0以後版本,才能發現所有的友鄰用戶。
   本軟體還採用了分級機制,同一局域網中,低級別的用戶將自動停止執行本軟體。總的來說,注冊用戶級別高于未注冊用戶,某些新版本的級別高于以前版本。最新的注冊版本,總是擁有最高級別。
  
  
  查看幫助文件發現:
  
  14、怎樣防止網路中用戶非法使用本軟體?
   軟體中特別設置了"友鄰用戶"的相互發現功能。"友鄰用戶"不能相互管理,使管理員免受非法用戶攻擊,而且不需注冊也能發現其他正在使用本軟體的用戶,也可以在軟體自帶的"日誌"中查看友鄰用戶的記錄。普通用戶無力解決其他用戶濫用的問題,請與網路管理員聯繫。
  
  原來安裝和對方一樣的版本,對方就不能控制你了。版本高的權限大於版本低的。
  
  在網上瀏覽了一下,發現還可以用arp欺騙的方式,方法是打開dos窗口,輸入以下命令:
  
  arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd
  
  apr -a
  
  其中192.168.1.24是自己的ip地址。這是把自己的物理地址給改了。
  ---------------------------------------------------------------------------------------------------------------------
  筆者辦公所在的局域網最近總出問題,系統總是提示有IP衝突,導致局域網的電腦不能互相訪問,而且不能正常上網。這可是辦公網路的大忌,要知道離開了網路,離開了局域網很多工作都是沒法開展的,經過一番分析,我終於找到了肇事的“元兇”——網路執法官!下面就隨筆者一起來看看“網路執法官”到底是怎樣在局域網中搗亂的?
  
  一、認識網路執法官
   “網路執法官”是一款局域網管理輔助軟體,採用網路底層協議,能穿透各客戶端防火牆對網路中的每一台主機進行監控。它採用網路卡號(MAC)識別用戶,可靠性高;該軟體不需執行于指定的伺服器,在網內任一台主機上執行即可有效監控所有本機連接到的網路(支持多網段監控)。主要具有以下功能:
  
  1‧ 即時記錄上線用戶並存檔備查:網路中任一台主機,開機即會被本軟體即時檢測並記錄其網路卡號、所用的IP、上線時間、下線時間等資訊。
  
  2‧ 自動偵測未登記主機接入並報警:管理員登記完或軟體自動檢測到所有合法的主機后,可在軟體中作出設定,拒絕所有未登記的主機接入網路。一旦有未登記主機接入,軟體會自動將其MAC、IP、主機名、上下線時段等資訊作永久記錄,並可採用聲音、向指定主機發消息等多種方式報警。
  
  3‧ 限定各主機的IP,防止IP盜用:管理員可對每台主機指定一個IP或一段IP,當該主機採用超出範圍的IP時,軟體會判定其為“非法用戶”,自動採用管理員事先指定的方式對其進行控制,並將其MAC、IP、主機名作記錄備查。
  
   其實網路執法官是一款非常優秀的局域網管理軟體。然而正象大多數遠程控制軟體一樣,軟體本身的功能是非常實用的,但是這些工具一旦被一些別有用心的黑客或者搗亂分子利用,就成了他們“為虎作仗”的“幫兇”。
  
  二、破壞方法大曝光
  1‧這些攻擊者通常不具備管理網路的權利,但卻去下載“網路執法官”來使用。執行網路執法官,它會自動檢測機器上的網路卡。
  
  2‧此時,選擇一個網路卡就會彈出一個監控範圍選擇,你可以選擇局域網內的全部機器,當然,你也可以只選擇其中的幾台,在“指定監控範圍”中輸入,然後單擊“添加/修改”就可以了。
  
  3‧上面的設置完畢后,他們就可以開始實施攻擊的的行為了。首先需要把攻擊的網路卡MAC地址跟IP綁定。選擇要綁定的一台或者多台機器,然後點擊右鍵,選擇“Mac_ip綁定”。
  
  4‧然後選擇要攻擊的對象,右鍵單擊選擇“用戶屬性”,在彈出的“用戶屬性”窗口中單擊“權限設定”按鈕,在這裡,你可以進行相關的設置。你也可以雙擊“用戶列表”中某用戶的“鎖”列或者在右鍵菜單中選擇“鎖定”選項,那么,該用戶會被快速斷開與關鍵主機或者全部主機的連接。
  
  5‧攻擊者設置好后就可以等著好戲上場了:被攻擊者的電腦會不斷顯示IP衝突,不能訪問局域網內的其他電腦,使用者不停地找網管,忙得“不亦樂乎”!筆者的同事好幾個都領教過這種被“騷擾”的煩惱。
  
  
  三、局域網內的“反擊戰”
  遇到這種問題,難道就只有“被動挨打”的份嗎?經過一番研究,有些情況下,你終於找到了有效的防範方法,筆者甚至還可以“以其人之道,還治其人之身”!
  
  1‧防範為主——修改網路卡的MAC地址
   由於該軟體採用網路底層協議,能穿透各客戶端防火牆對網路的每一台主機進行監控和管理,所以防範起來有一定的難度。但是我們也可以通過修改自己的網路卡的MAC地址來改變IP到MAC的映射,從而使得網路執法官的ARP欺騙失效,進而擺脫網路執法官的破壞。具體操作步驟如下:依次打開“網上鄰居→屬性→網路和撥號連接屬性”,右擊要修改MAC的網路卡,在彈出的菜單中選擇屬性。然後點擊“配置→高級”,點擊“Network Address”,默認的選項為“沒有顯示”,選中上面的“設置值”選項,並輸入新的網路卡MAC地址,注意應該是12個十六進制數,如4561787895BA,不能設置為000000000000,也不能與別的網路卡的MAC地址重複,然後點擊確定。
  
  2‧主動還擊——查看日誌
   如果是惡意的網路攻擊者,只是被動防範肯定是不夠的,一定要讓他受到“懲罰”!你可以通過網路執法官的日誌功能揪出攻擊者,注意通過網路執法官的版本不要太低,最少保証在2.0以上,只要從日誌中找出攻擊者的IP(具體方法為:依次打開主界面上的“系統→查看系統日誌”),然後提給網路管理人員或者當地網路安全部門,就可以將他“繩之以法”了,甚至你還可以採用一些黑客手段“以其人之道,還治其人之身”。
  



獻花 x0 回到頂端 [樓 主] From:台灣中華電信 | Posted:2005-08-11 19:22 |
l2371823
數位造型
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x0 鮮花 x5
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

哇!厲害,存下來學習.


獻花 x0 回到頂端 [1 樓] From:台灣新世紀資通 | Posted:2005-09-04 19:15 |
enqun6 手機
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x11
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

在0000子鍵下添加一個字元串,命名為"NetworkAddress","鍵值為修改后的MAC地址",要求為連續的12個16進制數...

上面這句話"鍵值為修改后的MAC地址"我看不懂咧,可以請大大告訴我嗎!


獻花 x0 回到頂端 [2 樓] From:台灣教育部 | Posted:2005-10-13 12:31 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.083178 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言