突破網絡執法官封鎖的方法及其原理

網絡執法官是一款網管軟體，可用于管理區域網路，能禁止區域網路任意機器連接配接網絡。對于網管來說，這個功能自然很不錯，但如果區域網路中有别人也使用該功能那就麻煩了。因為這樣輕則會導緻别人無法上網，重則會導緻整個區域網路癱瘓。有什麼解決辦法呢？請您看下面的招數及其原理。

一、網絡執法官簡介

我們可以在區域網路中任意一台機器上運作網絡執法官的主程式NetRobocop.exe，圖1是它的主界面。它可以穿透防火牆、實時監控、記錄整個區域網路使用者上線情況，可限制各使用者上線時所用的IP、時段，并可将非法使用者踢下區域網路。該軟體适用範圍為區域網路内部，不能對網關或路由器外的機器進行監視或管理，适合區域網路管理者使用（該軟體CD光牒中有收錄）。

圖1

在網絡執法官中，要想限制某台機器上網，隻要點選"網卡"菜單中的"權限"，選擇指定的網卡号或在使用者清單中點選該網卡所在行，從右鍵菜單中選擇"權限"，在彈出的對話框中即可限制該使用者的權限。對于未登記網卡，可以這樣限定其上線：隻要設定好所有已知使用者（登記）後，将網卡的預設權限改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制使用者上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP位址對應的MAC，使其找不到網關真正的MAC位址，這樣就可以禁止其上網。

二、ARP欺騙的原理

網絡執法官中利用的ARP欺騙使被攻擊的電腦無法上網，其原理就是使該電腦無法找到網關的MAC位址。那麼ARP欺騙到底是怎麼回事呢？知其然，知其是以然是我們《黑客X檔案》的優良傳統，下面我們就談談這個問題。

首先給大家說說什麼是ARP,ARP（Address Resolution Protocol）是位址解析協定，是一種将IP位址轉化成實體位址的協定。從IP位址到實體位址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是将網絡層（IP層，也就是相當于OSI的第三層）位址解析為資料連接配接層（MAC層，也就是相當于OSI的第二層）的MAC位址。

ARP原理：某機器A要向主機B發送封包，會查詢本地的ARP快取記錄，找到B的IP位址對應的MAC位址後，就會進行資料傳輸。如果未找到，則廣播A一個ARP請求封包（攜帶主機A的IP位址Ia——實體位址Pa），請求IP位址為Ib的主機B回答實體位址Pb。網上所有主機包括B都收到ARP請求，但隻有主機B識别自己的IP位址，于是向A主機發回一個ARP響應封包。其中就包含有B的MAC位址，A接收到B的應答後，就會更新本地的ARP緩存。接着使用這個MAC位址發送資料（由網卡附加MAC位址）。是以，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動态的。

ARP協定并不隻在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答資料包的時候，就會對本地的ARP緩存進行更新，将應答中的IP和MAC位址存儲在ARP緩存中。是以，當區域網路中的某台機器B向A發送一個自己僞造的ARP應答，而如果這個應答是B冒充C僞造來的，即IP位址為C的IP，而MAC位址是僞造的，則當A接收到B僞造的ARP應答後，就會更新本地的ARP緩存，這樣在A看來C的IP位址沒有變，而它的MAC位址已經不是原來那個了。由于區域網路的網絡流通不是根據IP位址進行，而是按照MAC位址進行傳輸。是以，那個僞造出來的MAC位址在A上被改變成一個不存在的MAC位址，這樣就會造成網絡不通，導緻A不能Ping通C！這就是一個簡單的ARP欺騙。

網絡執法官利用的就是這個原理！知道了它的原理，再突破它的防線就容易多了。

三、修改MAC位址突破網絡執法官的封鎖

根據上面的分析，我們不難得出結論：隻要修改MAC位址，就可以騙過網絡執法官的掃描，進而達到突破封鎖的目的。下面是修改網卡MAC位址的方法：

在"開始"菜單的"運作"中輸入regedit，打開系統資料庫編輯器，展開系統資料庫到：HKEY_LOCAL_

MACHINE\System\CurrentControl

Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103

18}子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網卡，就有0001，0002......在這裡儲存了有關你的網卡的資訊，其中的DriverDesc内容就是網卡的資訊描述，比如我的網卡是Intel 210

41 based Ethernet Controller），在這裡假設你的網卡在0000子鍵。

在0000子鍵下添加一個字元串，命名為"NetworkAddress"，鍵值為修改後的MAC位址，要求為連續的12個16進制數。然後在"0000"子鍵下的NDI\params中建立一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字元串，鍵值為修改後的MAC位址。

在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串，其作用為指定Network

Address的描述，其值可為"MAC Address"。這樣以後打開網絡鄰居的"屬性"，輕按兩下相應的網卡就會發現有一個"進階"設定，其下存在MAC Address的選項，它就是你在系統資料庫中加入的新項"NetworkAddress"，以後隻要在此修改MAC位址就可以了。

關閉系統資料庫，重新啟動，你的網卡位址已改。打開網絡鄰居的屬性，輕按兩下相應網卡項會發現有一個MAC Address的進階設定項，用于直接修改MAC位址。

MAC位址也叫實體位址、硬體位址或鍊路位址，由網絡裝置制造商生産時寫在硬體内部。這個位址與網絡無關，即無論将帶有這個位址的硬體（如網卡、集線器、路由器等）接入到網絡的何處，它都有相同的MAC位址，MAC位址一般不可改變，不能由使用者自己設定。MAC位址通常表示為12個16進制數，每2個16進制數之間用冒号隔開，如：08:00:20:0A:8C:6D就是一個MAC位址，其中前6位16進制數，08:00:20代表網絡硬體制造商的編号，它由IEEE配置設定，而後3位16進制數0A:8C:6D代表該制造商所制造的某個網絡産品（如網卡）的系列号。每個網絡制造商必須確定它所制造的每個以太網裝置都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個以太網裝置都具有唯一的MAC位址。

另外，網絡執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP位址所對應的MAC位址，使其找不到網關真正的MAC位址。是以，隻要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網關，然後再用ARP -a指令得到網關的MAC位址，最後用ARP -s IP 網卡MAC位址指令把網關的IP位址和它的MAC位址映射起來就可以了。

四、找到使你無法上網的對方

解除了網絡執法官的封鎖後，我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網路IP段，然後查找處在"混雜"模式下的計算機，就可以發現對方了。具體方法是：運作Arpkiller（圖2），然後點選"Sniffer監測工具"，在出現的"Sniffer殺手"視窗中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。

檢測完成後，如果相應的IP是綠帽子圖示，說明這個IP處于正常模式，如果是紅帽子則說明該網卡處于混雜模式。它就是我們的目标，就是這個家夥在用網絡執法官在搗亂。

掃描時自己也處在混雜模式，把自己不能算在其中哦！

找到對方後怎麼對付他就是你的事了，比方說你可以利用網絡執法官把對方也給封鎖了！