至于“网络执法官”为什么可以根据网卡的MAC剥夺我们上网的权力呢!由于“网络执法官”利用ARP欺骗的原理,他会持续不断的发低速的ARP广播包,他主要是欺骗该PC机的第二层设备,使得该主机迷失正确的MAC地址,使第二层功能失效。该软件管理有如下症状:
1、主机无法访问internet,而局域网功能没问题,是由于ARP歪曲的通告一个伪网关MAC地址,使用户机器无法找到真正网关的MAC地址,当然在数据链路层就封装错误了。
2、无法访问internet、无法使用局域网功能(一般网管不会这么做,只会对付受限制用户的手法),这种情况是运行“网络执法官”的主机欺骗了所有局域网中同网段主机,使所有主机歪曲的记录了被管理的主机的MAC地址,同样被管理的主机也会错误的记录到其它主机的MAC地址,导致如上结果。
3、无法访问internet、无法使用局域网功能、桌面上常常弹出“IP地址冲突”的字样(一般受限制用户也不会有此待遇),这种是一个典型的“IP地址争夺游戏”。
在针对这种以MAC地址+IP地址来管理我们的网络管理软件,在对付第一种限制时,局域网无限制。网上有种方法就是用http、sock代理,就是给同网段一台机器上安装相应的软件,起到可以上网的办法!但是您说这种方法可行吗?图四给你结论,当网管发现后会继续封杀!一般网管不用发现该方法也是不可行的,比如:你看到一件事物是假的,你用看到的事物在去思考当然也是假的。
还有一种方法,就是改MAC地址,当然,这种方法是从原理上把这种软件控制功能给搞定了,但是您别忘了这个公司除了网络管理软件还有网管本人呢!他会根据您的IP地址及计算机名继续封杀。小菜问了:“我改了计算机名、IP地址、MAC地址那不就OK了吗?”常理说这种方法是一定行的,但是一个合理规划的网络是不会让你随意更改以上各种设置的。比如公司30台主机,网关的设置是192.168.1.1/27,看你怎么改,当网管工作不认真的时候告诉您,你暂时胜了,要是遇到我哈哈……。如果网管也是个小菜完全可以用这个方法以达到上网的目的,但是这个时候在“网络络执法官”的主界面中会多出一个用户来。
在网络上呼声最高的一种,暴力解决,拿个比管理软件频率更高的ARP软件和网管(频率达到几千个Frame/秒)对攻,更有甚者提倡用网络执法官VS网络执法官,这种方法是最可笑的,因为软件设计中为了保护网管不被攻击而设置了“友邻用户”他们可以相互发现但不能相互管理,这是我说为什么这种方法可笑的原因。另外在“日志”中可以查到友邻用户的记录,如果被网管查到是你在搞鬼,我相信你的这个月的奖金没了!
静态MAC地址突破管理,arp –d、arp –s等命令把ARP高速缓存改成ARP静态缓存,这种对于只限制了internet的功能,并且网络执法官是安装在网关上是行之有效的,如果软件没有安装在网关上嘿嘿……还是不行。(小菜:那么我们就没办法上网了吗?)当然不是,一种方法只能保证TCP连接可以通信,就是自己用静态ARP缓存,并且不断的向网关及其它主机发送正确自己的MAC地址信息,可以保证上internet的TCP正常连接,注:TCP有错误检测机制,可以重传!当然,如果网管是一个非常狡猾而且卑鄙的话,还会在一分钟内把你踢出局!
看网络执法官很厉害吧!大家一定以为我在为这款软件作广告,其实是想告诉大家不同的管理方法我们要用不同的对策,攻防中才有进步嘛!我在来看看他的管理范围如图四,他的管理范围是阴影部分,也包括路由器(网关)的E0接口,而路由其它接口及那个二层交换机S2其它网络设备他无权过问,看到这您应该明白怎么作了吧!当然不是让你把你的网线接到S2的那个交换机上,那不是明确告诉网管我现在不用你管理了吗?我们来个百战百胜的方法,自己加一块网卡、找同网段、双网卡并能正常上网的机器如PC1,用另一跟网线接到那台主机上,做成“代理服务器”让你所有的数据包经过他而到达网关,而网关或管理主机只会认为是PC1(代理服务器)在使用网络,如图五。白色部分就是管理软件的禁区!而之前接受管理而上不了网的那块网卡他还在接受管理,而你的应用层数据以悄无声息的从网络层选择路径的时候绕过他的封锁!
什么原理呢?这种软件他工作在网络的第二层上,他无法穿透第三层设备!而网络流言它可以“穿透防火墙”到现在您应该知道这是怎么穿透的了,何从穿透!硬(软)防火墙全部工作在三层以上,而该软件利用了二层的协议来管理网络,那么他根本就没有达到防火墙的层次如何“穿透”防火墙呢?
好了笔者在本文结束时考虑是以魔高一尺还是道高一丈来结束本文,其实都不重要了,在攻防对立才能进步嘛!没有任何一种管理软件可以完全控制,也没有任何一种手法可以永远可以突破管理软件。