反網(wǎng)絡(luò)剪刀手、網(wǎng)絡(luò)執(zhí)法官、局域網(wǎng)終結(jié)者、聚生網(wǎng)管、P2P終結(jié)

1、反網(wǎng)絡(luò)剪刀手、網(wǎng)絡(luò)執(zhí)法官、局域網(wǎng)終結(jié)者、聚生網(wǎng)管、P2P終結(jié)者等軟件限制攻擊的措施=防御ARP欺. 網(wǎng)絡(luò)剪刀手等工具的原理就是利用了ARP欺騙，所以，只要防止了ARP欺騙也等于防止了網(wǎng)絡(luò)剪刀手。 解決辦法： 方法1：.裝個風(fēng)云防火墻 或者 arpkill(Arp殺手）、ARP防火墻或者 AntiArpSniffer 或者Anti-netcut(Netcut克星 都是防止ARP欺騙的好軟件 ARP防火墻下載： (推薦使用 (推薦使用 arpkill下載： 方法2 ：網(wǎng)絡(luò)剪刀手， 就是專門剪掉別人的 IP 地址,讓自己一個人上網(wǎng)，使自己擁有最快的網(wǎng)速。我們當(dāng)時非常生氣。自己也下載了一個網(wǎng)絡(luò)剪刀手，

2、以其人之道，還其人之生。 但后來絕對對不起其他的兄弟門。 就有IP 綁定的方式。 ip捆綁的方法 首先要查看自己的IP地址和網(wǎng)卡的MAC地址。對于Windows 98/Me，運行"winipcfg"，在對話框看的IP地址就是，而"適配器地址"就是網(wǎng)卡的MAC地址。在Windows 2000/XP系統(tǒng)下，要在命令提示符下輸入"ipconfig /all"，顯示列表中的"Physical Address"就是MAC地址，"IP Address"就是IP地址；要將二者綁定，輸入"arp -s

3、 IP地址 MAC地址"，如"arp -s 192.168.0.28 54-44-4B-B7-37-21"即可 方法3：.應(yīng)該把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP+MAC地址基礎(chǔ)上，設(shè)置靜態(tài)的MAC-地址->IP對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。 具體步驟：編寫一個批處理文件arp.bat內(nèi)容如下(假設(shè)192.168.1.2的mac地址是00-22-aa-00-22-aa： echo off arp -d arp -s 192.168.1.2 00-22-aa-00-22-aa . . . arp -s 192.168.1.254 00-99-cc-00-

4、99-cc (所有的IP與相應(yīng)MAC地址都按上面的格式寫好 將文件中的IP地址和MAC地址更改為您自己的網(wǎng)絡(luò)IP地址和MAC地址即可。 將這個批處理軟件拖到每一臺主機的"windows-開始-程序-啟動"中。這樣每次開機時，都會刷新ARP表。 如果有人刷新了你的ARP緩存表，你手動運行arp.bat再次恢復(fù)即可。 網(wǎng)絡(luò)剪刀手還以這樣防 進入"MS-DOS方式"或"命令提示符"，在命令提示符下輸入命令：ARP -s 10.88.56.72 00-10-5C-AD-72-E3，即可把MAC地址和IP地址捆綁在一起。這樣，就不會出現(xiàn)IP地址

5、被盜用而不能正常使用網(wǎng)絡(luò)的情況，更不會被網(wǎng)絡(luò)剪刀手剪斷，可以有效保證小區(qū)網(wǎng)絡(luò)的安全和用戶的應(yīng)用。 注意：ARP命令僅對局域網(wǎng)的上網(wǎng)代理服務(wù)器有用，而且是針對靜態(tài)IP地址，如果采用Modem撥號上網(wǎng)或是動態(tài)IP地址就不起作用。 不過，只是簡單地綁定IP和MAC地址是不能完全的解決IP盜用問題的。作為一個網(wǎng)絡(luò)供應(yīng)商，他們有責(zé)任為用戶解決好這些問題之的后，才交給用戶使用，而不是把安全問題交給用戶來解決。不應(yīng)該讓用戶來承擔(dān)一些不必要盜用的損失。 作為網(wǎng)絡(luò)供應(yīng)商，最常用也是最有效的解決方法就是在IP、MAC綁定的基礎(chǔ)上，再把端口綁定進去，即IPMACPORT三者綁定在一起，端口（PORT）指的是交換機的

6、端口。這就需要在布線時候做好端口定時管理工作。在布線時應(yīng)該把用戶墻上的接線盒和交換機的端口一一對應(yīng)，并做好登記工作，然后把用戶交上來的MAC地址填入對應(yīng)的交換機端口，進而再和IP一起綁定，達到IPMACPORT的三者綁定。這樣一來，即使盜用者擁有這個IP對應(yīng)的MAC地址，但是它不可能同樣擁有墻上的端口，因此，從物理通道上隔離了盜用者。 單間的說MAC地址是指網(wǎng)卡物理地址.相當(dāng)于網(wǎng)卡的"身份證".它唯一的. IP-MAC綁定是指將IP地址與MAC地址進行綁定.這樣子就不能任意修改IP地址了.因為MAC地址是唯一的. 反擊"網(wǎng)絡(luò)執(zhí)法官" 這幾天老有人在局域中

7、使用網(wǎng)絡(luò)執(zhí)法官來限制別人,所以在網(wǎng)上找了找這方面的資料, 拿出來分享給大家 - - - 網(wǎng)絡(luò)執(zhí)法官簡介 我們可以在局域網(wǎng)中任意一臺機器上運行網(wǎng)絡(luò)執(zhí)法官的主程序NetRobocop.exe，它可以穿透防火墻、實時監(jiān)控、記錄整個局域網(wǎng)用戶上線情況，可限制各用戶上線時所用的IP、時段，并可將非法用戶踢下局域網(wǎng)。該軟件適用范圍為局域網(wǎng)內(nèi)部，不能對網(wǎng)關(guān)或路由器外的機器進行監(jiān)視或管理，適合局域網(wǎng)管理員使用 在代理服務(wù)器端 捆綁IP和MAC地址，解決局域網(wǎng)內(nèi)盜用IP： ARP s 192.168.10.59 0050ff6c0875 解除網(wǎng)卡的IP與MAC地址的綁定： arp -d 網(wǎng)卡IP 在網(wǎng)絡(luò)鄰居上隱

8、藏你的計算機 net config server /hidden:yes net config server /hidden:no 則為開啟 在網(wǎng)絡(luò)執(zhí)法官中，要想限制某臺機器上網(wǎng)，只要點擊"網(wǎng)卡"菜單中的"權(quán)限"，選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行，從右鍵菜單中選擇"權(quán)限"，在彈出的對話框中即可限制該用戶的權(quán)限。對于未登記網(wǎng)卡，可以這樣限定其上線：只要設(shè)定好所有已知用戶（登記）后，將網(wǎng)卡的默認權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地

9、址對應(yīng)的MAC，使其找不到網(wǎng)關(guān)真正的MAC地址，這樣就可以禁止其上網(wǎng) 二、ARP欺騙的原理 網(wǎng)絡(luò)執(zhí)法官中利用的ARP欺騙使被攻擊的電腦無法上網(wǎng)，其原理就是使該電腦無法找到網(wǎng)關(guān)的MAC地址。那么ARP欺騙到底是怎么回事呢？知其然，知其所以然是我們黑客X檔案的優(yōu)良傳統(tǒng)，下面我們就談?wù)勥@個問題。 首先給大家說說什么是ARP,ARP（Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是

10、相當(dāng)于OSI的第二層）的MAC地址。ARP原理：某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia-物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。 ARP

11、協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。因此，當(dāng)局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應(yīng)答，而如果這個應(yīng)答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當(dāng)A接收到B偽造的ARP應(yīng)答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，導(dǎo)致A不能

12、Ping通C！這就是一個簡單的ARP欺騙。 網(wǎng)絡(luò)執(zhí)法官利用的就是這個原理！知道了它的原理，再突破它的防線就容易多了 三、修改MAC地址突破網(wǎng)絡(luò)執(zhí)法官的封鎖 根據(jù)上面的分析，我們不難得出結(jié)論：只要修改MAC地址，就可以騙過網(wǎng)絡(luò)執(zhí)法官的掃描，從而達到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法： 在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/4D36E972-E325-11CE-BFC1-08002BE 1

13、03 18子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網(wǎng)卡，就有0001，0002.在這里保存了有關(guān)你的網(wǎng)卡的信息，其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述，比如我的網(wǎng)卡是Intel 210 41 based Ethernet Controller），在這里假設(shè)你的網(wǎng)卡在0000子鍵。 在0000子鍵下添加一個字符串，命名為"NetworkAddress"，鍵值為修改后的MAC地址，要求為連續(xù)的12個16進制數(shù)。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddre

14、ss的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的MAC地址。 在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串，其作用為指定Network Address的描述，其值可為"MAC Address"。這樣以后打開網(wǎng)絡(luò)鄰居的"屬性"，雙擊相應(yīng)的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設(shè)置，其下存在MAC Address的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以后只要在此修改MAC地址就可以了。 關(guān)閉注冊表，重

15、新啟動，你的網(wǎng)卡地址已改。打開網(wǎng)絡(luò)鄰居的屬性，雙擊相應(yīng)網(wǎng)卡項會發(fā)現(xiàn)有一個MAC Address的高級設(shè)置項，用于直接修改MAC地址。 MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部。這個地址與網(wǎng)絡(luò)無關(guān)，即無論將帶有這個地址的硬件（如網(wǎng)卡、集線器、路由器等）接入到網(wǎng)絡(luò)的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設(shè)定。MAC地址通常表示為12個16進制數(shù)，每2個16進制數(shù)之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數(shù)，08:00:20代表網(wǎng)絡(luò)硬件制造商的編號，它由IEEE分配，而后3位16進制

16、數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號。每個網(wǎng)絡(luò)制造商必須確保它所制造的每個以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每個以太網(wǎng)設(shè)備都具有唯一的MAC地址。 另外，網(wǎng)絡(luò)執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應(yīng)的MAC地址，使其找不到網(wǎng)關(guān)真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網(wǎng)絡(luò)執(zhí)法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網(wǎng)關(guān)，然后再用ARP -a命令得到網(wǎng)關(guān)的MAC地址，最后用ARP -s IP 網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來就可以了。 四

17、、找到使你無法上網(wǎng)的對方 解除了網(wǎng)絡(luò)執(zhí)法官的封鎖后，我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網(wǎng)IP段，然后查找處在"混雜"模式下的計算機，就可以發(fā)現(xiàn)對方了。具體方法是：運行Arpkiller，然后點擊"Sniffer監(jiān)測工具"，在出現(xiàn)的"Sniffer殺手"窗口中輸入檢測的起始和終止IP，單擊"開始檢測"就可以了。 檢測完成后，如果相應(yīng)的IP是綠帽子圖標(biāo)，說明這個IP處于正常模式，如果是紅帽子則說明該網(wǎng)卡處于混雜模式。它就是我們的目標(biāo)，就是這個家伙在用網(wǎng)絡(luò)執(zhí)法官在搗亂。

18、 掃描時自己也處在混雜模式，把自己不能算在其中哦！ 找到對方后怎么對付他就是你的事了，比方說你可以利用網(wǎng)絡(luò)執(zhí)法官把對方也給封鎖了 查看幫助文件發(fā)現(xiàn)： 14、怎樣防止網(wǎng)絡(luò)中用戶非法使用本軟件？ 軟件中特別設(shè)置了"友鄰用戶"的相互發(fā)現(xiàn)功能。"友鄰用戶"不能相互管理，使管理員免受非法用戶攻擊，而且不需注冊也能發(fā)現(xiàn)其他正在使用本軟件的用戶，也可以在軟件自帶的"日志"中查看友鄰用戶的記錄。普通用戶無力解決其他用戶濫用的問題，請與網(wǎng)絡(luò)管理員聯(lián)系。 原來安裝和對方一樣的版本，對方就不能控制你了。版本高的權(quán)限大于版本低的。 在網(wǎng)上瀏覽了一下，發(fā)現(xiàn)還可

19、以用arp欺騙的方式，方法是打開dos窗口，輸入以下命令： arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd apr -a 其中192.168.1.24是自己的ip地址。這是把自己的物理地址給改了 筆者辦公所在的局域網(wǎng)最近總出問題，系統(tǒng)總是提示有IP沖突，導(dǎo)致局域網(wǎng)的計算機不能互相訪問，而且不能正常上網(wǎng)。這可是辦公網(wǎng)絡(luò)的大忌，要知道離開了網(wǎng)絡(luò)，離開了局域網(wǎng)很多工作都是沒法開展的，經(jīng)過一番分析，我終于找到了肇事的"元兇"-網(wǎng)絡(luò)執(zhí)法官！下面就隨筆者一起來看看"網(wǎng)絡(luò)執(zhí)法官"到底是怎樣在局域網(wǎng)中搗亂的？一、認識網(wǎng)絡(luò)執(zhí)法官 "網(wǎng)

20、絡(luò)執(zhí)法官"是一款局域網(wǎng)管理輔助軟件，采用網(wǎng)絡(luò)底層協(xié)議，能穿透各客戶端防火墻對網(wǎng)絡(luò)中的每一臺主機進行監(jiān)控。它采用網(wǎng)卡號（MAC）識別用戶，可*性高；該軟件不需運行于指定的服務(wù)器，在網(wǎng)內(nèi)任一臺主機上運行即可有效監(jiān)控所有本機連接到的網(wǎng)絡(luò)（支持多網(wǎng)段監(jiān)控）。主要具有以下功能： 1實時記錄上線用戶并存檔備查：網(wǎng)絡(luò)中任一臺主機，開機即會被本軟件實時檢測并記錄其網(wǎng)卡號、所用的IP、上線時間、下線時間等信息。 2自動偵測未登記主機接入并報警：管理員登記完或軟件自動檢測到所有合法的主機后，可在軟件中作出設(shè)定，拒絕所有未登記的主機接入網(wǎng)絡(luò)。一旦有未登記主機接入，軟件會自動將其MAC、IP、主機名、上下線

21、時段等信息作永久記錄，并可采用聲音、向指定主機發(fā)消息等多種方式報警。 3限定各主機的IP，防止IP盜用：管理員可對每臺主機指定一個IP或一段IP，當(dāng)該主機采用超出范圍的IP時，軟件會判定其為"非法用戶"，自動采用管理員事先指定的方式對其進行控制，并將其MAC、IP、主機名作記錄備查。 其實網(wǎng)絡(luò)執(zhí)法官是一款非常優(yōu)秀的局域網(wǎng)管理軟件。然而正象大多數(shù)遠程控制軟件一樣，軟件本身的功能是非常實用的，但是這些工具一旦被一些別有用心的黑客或者搗亂分子利用，就成了他們"為虎作仗"的"幫兇"。 二、破壞方法大曝光 1這些攻擊者通常不具備管理網(wǎng)絡(luò)的權(quán)利，

22、但卻去下載"網(wǎng)絡(luò)執(zhí)法官"來使用。運行網(wǎng)絡(luò)執(zhí)法官，它會自動檢測機器上的網(wǎng)卡。 2此時，選擇一個網(wǎng)卡就會彈出一個監(jiān)控范圍選擇，你可以選擇局域網(wǎng)內(nèi)的全部機器，當(dāng)然，你也可以只選擇其中的幾臺，在"指定監(jiān)控范圍"中輸入，然后單擊"添加/修改"就可以了。 3上面的設(shè)置完畢后，他們就可以開始實施攻擊的的行為了。首先需要把攻擊的網(wǎng)卡MAC地址跟IP綁定。選擇要綁定的一臺或者多臺機器，然后點擊右鍵，選擇"Mac_ip綁定"。 4然后選擇要攻擊的對象，右鍵單擊選擇"用戶屬性"，在彈出的"用戶屬性"

23、;窗口中單擊"權(quán)限設(shè)定"按鈕，在這里，你可以進行相關(guān)的設(shè)置。你也可以雙擊"用戶列表"中某用戶的"鎖"列或者在右鍵菜單中選擇"鎖定"選項，那么，該用戶會被快速斷開與關(guān)鍵主機或者全部主機的連接。 5攻擊者設(shè)置好后就可以等著好戲上場了：被攻擊者的電腦會不斷顯示IP沖突，不能訪問局域網(wǎng)內(nèi)的其他電腦，使用者不停地找網(wǎng)管，忙得"不亦樂乎"！筆者的同事好幾個都領(lǐng)教過這種被"騷擾"的煩惱。 三、局域網(wǎng)內(nèi)的"反擊戰(zhàn)" 遇到這種問題，難道就只有"被動挨打"的份嗎？經(jīng)過一番研究，有些情況下，你終于找到了有效的防范方法，筆者甚至還可以"以其人之道，還治其人之身"！ 1防范為主-修改網(wǎng)卡的MAC地