反击"网络执法官"(转)[@more@]这几天老有人在局域中使用网络执法官来限制别人,所以在网上找了找这方面的资料,
拿出来分享给大家

----------------------------------------------------------------------------------------------------------------------------------------------

网络执法官简介
我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe，它可以穿透防火墙、实时监控、记录整个局域网用户上线情况，可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理，适合局域网管理员使用

在代理服务器端
??捆绑IP和MAC地址，解决局域网内盗用IP：
??ARP －s 192.168.10.59 00－50－ff－6c－08－75
??解除网卡的IP与MAC地址的绑定：
??arp -d 网卡IP
??
在网络邻居上隐藏你的计算机
??net config server /hidden:yes
??net config server /hidden:no 则为开启

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网

二、ARP欺骗的原理

网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们《黑客X档案》的优良传统，下面我们就谈谈这个问题。
首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。
网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了

三、修改MAC地址突破网络执法官的封锁

根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：
在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210
41 based Ethernet Controller），在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network
Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。
关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
四、找到使你无法上网的对方
解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller，然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP，单击"开始检测"就可以了。
检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

找到对方后怎么对付他就是你的事了，比方说你可以利用网络执法官把对方也给封锁了
查看帮助文件发现：

14、怎样防止网络中用户非法使用本软件？
软件中特别设置了"友邻用户"的相互发现功能。"友邻用户"不能相互管理，使管理员免受非法用户攻击，而且不需注册也能发现其他正在使用本软件的用户，也可以在软件自带的"日志"中查看友邻用户的记录。普通用户无力解决其他用户滥用的问题，请与网络管理员联系。

原来安装和对方一样的版本，对方就不能控制你了。版本高的权限大于版本低的。

在网上浏览了一下，发现还可以用arp欺骗的方式，方法是打开dos窗口，输入以下命令：

arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd

apr -a

其中192.168.1.24是自己的ip地址。这是把自己的物理地址给改了
笔者办公所在的局域网最近总出问题，系统总是提示有IP冲突，导致局域网的计算机不能互相访问，而且不能正常上网。这可是办公网络的大忌，要知道离开了网络，离开了局域网很多工作都是没法开展的，经过一番分析，我终于找到了肇事的“元凶”——网络执法官！下面就随笔者一起来看看“网络执法官”到底是怎样在局域网中捣乱的？

一、认识网络执法官

“网络执法官”是一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机进行监控。它采用网卡号（MAC）识别用户，可靠性高；该软件不需运行于指定的服务器，在网内任一台主机上运行即可有效监控所有本机连接到的网络（支持多网段监控）。主要具有以下功能：

1． 实时记录上线用户并存档备查：网络中任一台主机，开机即会被本软件实时检测并记录其网卡号、所用的IP、上线时间、下线时间等信息。

2． 自动侦测未登记主机接入并报警：管理员登记完或软件自动检测到所有合法的主机后，可在软件中作出设定，拒绝所有未登记的主机接入网络。一旦有未登记主机接入，软件会自动将其MAC、IP、主机名、上下线时段等信息作永久记录，并可采用声音、向指定主机发消息等多种方式报警。

3． 限定各主机的IP，防止IP盗用：管理员可对每台主机指定一个IP或一段IP，当该主机采用超出范围的IP时，软件会判定其为“非法用户”，自动采用管理员事先指定的方式对其进行控制，并将其MAC、IP、主机名作记录备查。

其实网络执法官是一款非常优秀的局域网管理软件。然而正象大多数远程控制软件一样，软件本身的功能是非常实用的，但是这些工具一旦被一些别有用心的黑客或者捣乱分子利用，就成了他们“为虎作仗”的“帮凶”。

二、破坏方法大曝光

1．这些攻击者通常不具备管理网络的权利，但却去下载“网络执法官”来使用。运行网络执法官，它会自动检测机器上的网卡。

2．此时，选择一个网卡就会弹出一个监控范围选择，你可以选择局域网内的全部机器，当然，你也可以只选择其中的几台，在“指定监控范围”中输入，然后单击“添加/修改”就可以了。

3．上面的设置完毕后，他们就可以开始实施攻击的的行为了。首先需要把攻击的网卡MAC地址跟IP绑定。选择要绑定的一台或者多台机器，然后点击右键，选择“Mac_ip绑定”。

4．然后选择要攻击的对象，右键单击选择“用户属性”，在弹出的“用户属性”窗口中单击“权限设定”按钮，在这里，你可以进行相关的设置。你也可以双击“用户列表”中某用户的“锁”列或者在右键菜单中选择“锁定”选项，那么，该用户会被快速断开与关键主机或者全部主机的连接。

5．攻击者设置好后就可以等着好戏上场了：被攻击者的电脑会不断显示IP冲突，不能访问局域网内的其他电脑，使用者不停地找网管，忙得“不亦乐乎”！笔者的同事好几个都领教过这种被“骚扰”的烦恼。

三、局域网内的“反击战”

遇到这种问题，难道就只有“被动挨打”的份吗？经过一番研究，有些情况下，你终于找到了有效的防范方法，笔者甚至还可以“以其人之道，还治其人之身”！

1．防范为主——修改网卡的MAC地址

由于该软件采用网络底层协议，能穿透各客户端防火墙对网络的每一台主机进行监控和管理，所以防范起来有一定的难度。但是我们也可以通过修改自己的网卡的MAC地址来改变IP到MAC的映射，从而使得网络执法官的ARP欺骗失效，进而摆脱网络执法官的破坏。具体操作步骤如下：依次打开“网上邻居→属性→网络和拨号连接属性”，右击要修改MAC的网卡，在弹出的菜单中选择属性。然后点击“配置→高级”，点击“Network Address”，默认的选项为“没有显示”，选中上面的“设置值”选项，并输入新的网卡MAC地址，注意应该是12个十六进制数，如4561787895BA，不能设置为000000000000，也不能与别的网卡的MAC地址重复，然后点击确定。

2．主动还击——查看日志

如果是恶意的网络攻击者，只是被动防范肯定是不够的，一定要让他受到“惩罚”！你可以通过网络执法官的日志功能揪出攻击者，注意通过网络执法官的版本不要太低，最少保证在2.0以上，只要从日志中找出攻击者的IP（具体方法为：依次打开主界面上的“系统→查看系统日志”），然后提给网络管理人员或者当地网络安全部门，就可以将他“绳之以法”了，甚至你还可以采用一些黑客手段“以其人之道，还治其人之身”。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10617731/viewspace-950613/，如需转载，请注明出处，否则将追究法律责任。