各位高手，如果你的上网被别人用“超级网管”禁用了，你怎么办？

denghl

我住的地方是局域网共享一个adsl上网，但是有些缺德的人用windows下的一个叫”超级网管“的软件，可以把局域网内的机器禁止其上网，我愿来用xp的时候就被禁用过，现在以为linux不会受到干扰，谁知道还是被禁用了，他那边一执行，我这边连局域网的其他机子都ping不通。

请问有没有办法利用防火墙之类的避免这种情况？

谁了解这种软件的工作原理和对付方法吗？

我最后的解决办法是在自己的机器上打 ping 网关ip －t

然后到交换机那挨个拔网线，直到哪个机子的网线拔掉时，我得机子ping通了，那么可确定这台集资在运行超级网管或者网络执法官，掏出剪刀，沿线找个不易察觉的地方，卡查。哈哈，整个世界都清净了，但是没有从技术上解决问题还是很不爽，请高手赐教。

denghl

windows下突破网络执法官封锁的方法及其原理如下，请教linux下的方法

网络执法官是一款网管软件，可用于管理局域网，能禁止局域网任意机器连接网络。对于网管来说，这个功能自然很不错，但如果局域网中有别人也使用该功能那就麻烦了。因为这样轻则会导致别人无法上网，重则会导致整个局域网瘫痪。有什么解决办法呢？请您看下面的招数及其原理。



一、网络执法官简介
我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe，图1是它的主界面。它可以穿透防火墙、实时监控、记录整个局域网用户上线情况，可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理，适合局域网管理员使用（该软件光盘中有收录）。


在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

二、ARP欺骗的原理
网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们《黑客X档案》的优良传统，下面我们就谈谈这个问题。
首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。

三、修改MAC地址突破网络执法官的封锁
根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：
在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_
MACHINE\System\CurrentControl
Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210
41 based Ethernet Controller），在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network
Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。
关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

四、找到使你无法上网的对方
解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller（图2），然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP（图3），单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

找到对方后怎么对付他就是你的事了，比方说你可以利用网络执法官把对方也给封锁了！

denghl

看了些网上的文章,虽然脑子有点秀豆,但还算有点收获,贴出来大伙瞧瞧,并期待高手赐教
Linux下修改MAC地址的方法
先获得root权限,然后运行
/sbin/ifconfig eth0 down (禁用网卡)
/sbin/ifconfig hw ether 00:0E:1A:2B:3C:4D (修改后的MAC地址,网上还有种表示法,就是不要冒号,比如1234567890ab)
/sbin/ifconfig eth0 up (启用网卡)
网上的文章一般写到这就完了,但我试了一下(只是禁用网卡后又启用,并未改MAC地址),重新启用网卡后并联不上网,要重启一下network服务才行
/sbin/service network restart
但这种修改只是临时性的,系统重启后就无效了,如果想每次都能自动修改,则可以在
/etc/rc.d/rc.local或者/etc/init.d/network里加上上面的三个ifconfig命令.不过这个我没试.
这种修改本机MAC的办法只在如下条件下有效,既
攻击者仅仅是伪造了网关的ARP应答,而不是向网关发送伪造的你的ARP应答(这种情况在Win下的表现好像是IP地址冲突).
目前我还没在网上看到好的解决办法,只是有些建议,但不是在本机操作,而是设置网关,在你那就是交换机了.
建议是
在网关设置IP-MAC的表,同时启用DHCP,并静态分配IP,使用静态ARP.
不过这好像不现实.
你的那种物理隔绝法我想用一次,那以后也就不会有类似情况了.

疑惑的地方
上面的改MAC的方法我总觉得有点奇怪,既然此法可以防止攻击者向你发送伪造的ARP应答(其实是他发错地方了),那又是如何保证网关能找到我的呢?是不是先要告诉网关一个真实的MAC地址,然后在使用假MAC地址.
我形像的举个例子,有错的地方大伙一定要指出来啊(伪造网关ARP应答)

我(本机)原先知道老师办公室(门牌号403,物理地址是4层楼左数第三间)在哪,今天已经去了好几回了,但是当我又要去的时候,收到条消息,而且这条消息很像是真的,我就信了.这条消息是什么呢,说老师办公室换地方了,已经搬到1楼右数第五间了,但门牌号还是403.(这我也能信???).于是我就按着新地址去了,结果当然是找不到老师了.

为了防止这种事再发生,于是我整容了(够恨的),这样想骗我的人就找不到我了,我自然也就收不到假消息了.那老师想找我怎么办?这就是我疑惑的地方.(也许整容的比喻不恰当,用带个面具较合适)
难道只用我找老师,老师根本不用找我?我想不是这样的.

其合理解释我想应该是这样的:
以其人之道还制其人之身,我并没有整容(请大家忘了上一段),而是在本宿舍门口贴了张告示,说本宿舍已搬往他处,这样骗子就找不到我了(够傻的).但是为了让老师能找到我,我必须在贴告示之前把我真正的地址告诉老师,这样老师往后再找我就只认物理地址,而不再寻问了.
但是这是不是有个时间问题,那就是在我将真实地址告诉老师后直到我贴出告示这段时间内,骗子没来过.既在本机与网关建立链接后到本机修改MAC地址完成之前,攻击者没有通过ARP请求获得本机的真实MAC.

如果本机ARP缓存中的ARP表已经被伪造的ARP应答更改了该怎么办呢?首先就是清除本机已有的ARP表,Linux下的方法是(摘抄自CU,还有些看不明白)
arp -d -a
for HOST in `arp | sed '/Address/d' | awk '{ print $1}'` ; do arp -d $HOST; done
然后新建一个ARP表
arp -s 网关IP 网关MAC
这里的网关MAC一定要是真实的.
至于Linux下如何获取网关MAC的方法我还没找到,只好等大侠了.

xtuthl

好文，等有空慢慢看。

eexpress

就是假物理地址。

linky_fan

直接用arp -s 或-f 把网关的正确的mac 和ip绑定好.

[code:1]
#arp -s 123.45.67.8 00:10:2A:30:40:50
[/code:1]

或者建立静态IP/MAC捆绑

建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：
192.168.0.1 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加：
arp -f

然后再试试.两方法随便选一个.