攻防之道矛與盾：反擊網(wǎng)絡(luò)執(zhí)法官

作為管理軟件的“網(wǎng)絡(luò)執(zhí)法官”已經(jīng)流行一段時間了，對于深受其害的小菜們一定對他非常痛恨，今天我們以網(wǎng)管及被管理者的身份說說該軟件的執(zhí)法過程、突破過程。首先我們先看一下網(wǎng)絡(luò)上對“網(wǎng)絡(luò)執(zhí)法官”的描述：可以在局域網(wǎng)中任意一臺機(jī)器上運行網(wǎng)絡(luò)執(zhí)法官的主程，它可以穿透防火墻、實時監(jiān)控、記錄整個局域網(wǎng)用戶上線情況，可限制各用戶上線時所用的IP、時段，并可將非法用戶踢下局域網(wǎng)。該軟件適用范圍為局域網(wǎng)內(nèi)部，不能對網(wǎng)關(guān)或路由器外的機(jī)器進(jìn)行監(jiān)視或管理！

因為在網(wǎng)絡(luò)上傳聞它可以穿透防火墻，真是嚇了我一大跳，但在軟件方有沒有這種說法，我就不清楚了，可能是一些擁護(hù)者把他神圣化了，于是俺開始研究他如何穿透防火墻的。讀完此文您也就知道“穿透防火墻是怎么實現(xiàn)的”。

其實“網(wǎng)絡(luò)執(zhí)法官”是通過ARP欺騙來達(dá)到管理目的，網(wǎng)絡(luò)關(guān)于ARP欺騙的文章很多，不太清楚的可以去搜索一下。其實“絡(luò)網(wǎng)執(zhí)法官”只不過是一個很普通的管理軟件，其功能雖說更全面、更穩(wěn)定但也和其它軟件沒有什么本質(zhì)上的分別。要想知道他是怎么管理所在網(wǎng)段而不讓所管理的工作站上網(wǎng)，這還要追尋到網(wǎng)絡(luò)通信原理上面。因為此軟件主要特性是建立在數(shù)據(jù)鏈路層，所以其它我就將他簡化了，圖表一是IOS七層參考模型主要功能。

網(wǎng)絡(luò)基礎(chǔ)：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層

使用者方面：傳輸、會話、表示及應(yīng)用層

我們知道，我們的通信是和網(wǎng)絡(luò)的七層協(xié)議密切相關(guān)的，以下我們虛擬一個局域網(wǎng)，來講解網(wǎng)絡(luò)通信過程及“網(wǎng)絡(luò)執(zhí)法官”的管理過程。當(dāng)我們在七層協(xié)議最上層，主機(jī)A想和其它主機(jī)通信，比如telnet到主機(jī)B，各層都為數(shù)據(jù)打包后在封裝自己能識別的數(shù)據(jù)標(biāo)簽，我們只說四層以下的通信過程，如圖二。

1、當(dāng)數(shù)據(jù)包到達(dá)傳輸層，由于telnet使用TCP協(xié)議，傳輸層將上層傳過來的數(shù)據(jù)不變在封裝TCP的包頭以便目標(biāo)主機(jī)可以正確解包，繼續(xù)向下層（網(wǎng)絡(luò)層）傳遞。

2、網(wǎng)絡(luò)層同樣不會改變之前的數(shù)據(jù)包，當(dāng)然也包括之前的任何頭文件，首先主機(jī)A要對目標(biāo)主機(jī)作判斷，他會用自己的IP地址和自己的子網(wǎng)掩碼進(jìn)行與運算結(jié)果是172.16.12.0，然后在拿自己的掩碼和主機(jī)B的IP地址作與運算，結(jié)果是172.16.12.0，這個時候他知道他們在同一網(wǎng)段內(nèi)，這時他會封裝自己的IP及目標(biāo)的IP地址，同上層傳下來的數(shù)據(jù)一下向下傳。

3、數(shù)據(jù)鏈路層其實包括兩個子層，一是LLC子層另一個是MAC子層。我們知道在以太網(wǎng)中通信是物理尋址的，在這層中會封裝自己的MAC地址及對方的MAC地址。當(dāng)然用戶是沒有通知他MAC地址是多少的，這時主機(jī)會查自己的緩存表，看有沒有主機(jī)B的MAC地址，如果有就封裝，否則他會發(fā)一個ARP的地址解析廣播包，該包只會存活在該網(wǎng)段并且以打了標(biāo)簽，雖說所有的主機(jī)都可以收到該廣播包，但只會傳遞到該主機(jī)的數(shù)據(jù)鏈路層，更確切的說傳遞到了數(shù)據(jù)鏈路層的高層就給丟棄了。

4、接著該數(shù)據(jù)會從我們的網(wǎng)線等傳輸介質(zhì)傳出去，主機(jī)B當(dāng)收到數(shù)據(jù)的時候進(jìn)行相同的工作但是作相反的操作，我相信不用解釋太多您能明白，如圖三所示。

以上是簡單的描述了一下兩臺主機(jī)的數(shù)據(jù)傳輸過程，說了半天也沒說到“絡(luò)網(wǎng)執(zhí)法官”是怎么可以不讓我們上網(wǎng)的，其實我們局域網(wǎng)的工作站想通過代理服務(wù)器上公網(wǎng)的數(shù)據(jù)包和以上就有點不同了，其實明白了上面的我們就很容易了解工作站去公網(wǎng)的數(shù)據(jù)包是怎么走的了。

話說主機(jī)A想去黑X官方網(wǎng)站，數(shù)據(jù)在傳輸?shù)骄W(wǎng)絡(luò)層的時候在這個時候呢他會用自己的IP和自己的子網(wǎng)掩碼進(jìn)行與結(jié)果是172.16.12.0，然后在拿自己的掩碼和黑X官方網(wǎng)站的IP與運算（黑X的IP地址由DNS得到），結(jié)果為61.152.251.0發(fā)現(xiàn)不在同一個網(wǎng)段，注意：這時也是用自己IP和目標(biāo)IP進(jìn)行封裝，然后向下層傳遞。在數(shù)據(jù)鏈路層這時就不會封裝黑X的MAC地址，他也不知道MAC地址是什么，這時他會封裝網(wǎng)關(guān)的MAC地址，而讓網(wǎng)關(guān)將數(shù)據(jù)轉(zhuǎn)發(fā)出去。同時在網(wǎng)關(guān)收到數(shù)據(jù)時候，他會查看目標(biāo)IP地址，當(dāng)然不是他自己的IP地址了，所以他知道這個數(shù)據(jù)發(fā)是要由他路由出去的，然后把數(shù)據(jù)包發(fā)給了他的鄰居或網(wǎng)絡(luò)運營商的路由器上去，重復(fù)以上動作，在TTL值為0之前將數(shù)據(jù)傳遞給黑X官方網(wǎng)站，數(shù)據(jù)傳遞成功！

至于“網(wǎng)絡(luò)執(zhí)法官”為什么可以根據(jù)網(wǎng)卡的MAC剝奪我們上網(wǎng)的權(quán)力呢！由于“網(wǎng)絡(luò)執(zhí)法官”利用ARP欺騙的原理，他會持續(xù)不斷的發(fā)低速的ARP廣播包，他主要是欺騙該PC機(jī)的第二層設(shè)備，使得該主機(jī)迷失正確的MAC地址，使第二層功能失效。該軟件管理有如下癥狀:

1、主機(jī)無法訪問internet，而局域網(wǎng)功能沒問題，是由于ARP歪曲的通告一個偽網(wǎng)關(guān)MAC地址，使用戶機(jī)器無法找到真正網(wǎng)關(guān)的MAC地址，當(dāng)然在數(shù)據(jù)鏈路層就封裝錯誤了。

2、無法訪問internet、無法使用局域網(wǎng)功能（一般網(wǎng)管不會這么做，只會對付受限制用戶的手法），這種情況是運行“網(wǎng)絡(luò)執(zhí)法官”的主機(jī)欺騙了所有局域網(wǎng)中同網(wǎng)段主機(jī)，使所有主機(jī)歪曲的記錄了被管理的主機(jī)的MAC地址，同樣被管理的主機(jī)也會錯誤的記錄到其它主機(jī)的MAC地址，導(dǎo)致如上結(jié)果。

3、無法訪問internet、無法使用局域網(wǎng)功能、桌面上常常彈出“IP地址沖突”的字樣（一般受限制用戶也不會有此待遇），這種是一個典型的“IP地址爭奪游戲”。

在針對這種以MAC地址+IP地址來管理我們的網(wǎng)絡(luò)管理軟件，在對付第一種限制時，局域網(wǎng)無限制。網(wǎng)上有種方法就是用http、sock代理，就是給同網(wǎng)段一臺機(jī)器上安裝相應(yīng)的軟件，起到可以上網(wǎng)的辦法！但是您說這種方法可行嗎？圖四給你結(jié)論，當(dāng)網(wǎng)管發(fā)現(xiàn)后會繼續(xù)封殺！一般網(wǎng)管不用發(fā)現(xiàn)該方法也是不可行的，比如：你看到一件事物是假的，你用看到的事物在去思考當(dāng)然也是假的。

還有一種方法，就是改MAC地址，當(dāng)然，這種方法是從原理上把這種軟件控制功能給搞定了，但是您別忘了這個公司除了網(wǎng)絡(luò)管理軟件還有網(wǎng)管本人呢！他會根據(jù)您的IP地址及計算機(jī)名繼續(xù)封殺。小菜問了：“我改了計算機(jī)名、IP地址、MAC地址那不就OK了嗎？”常理說這種方法是一定行的，但是一個合理規(guī)劃的網(wǎng)絡(luò)是不會讓你隨意更改以上各種設(shè)置的。比如公司30臺主機(jī)，網(wǎng)關(guān)的設(shè)置是192.168.1.1/27，看你怎么改，當(dāng)網(wǎng)管工作不認(rèn)真的時候告訴您，你暫時勝了，要是遇到我哈哈……。如果網(wǎng)管也是個小菜完全可以用這個方法以達(dá)到上網(wǎng)的目的，但是這個時候在“網(wǎng)絡(luò)絡(luò)執(zhí)法官”的主界面中會多出一個用戶來。

在網(wǎng)絡(luò)上呼聲最高的一種，暴力解決，拿個比管理軟件頻率更高的ARP軟件和網(wǎng)管（頻率達(dá)到幾千個Frame/秒）對攻，更有甚者提倡用網(wǎng)絡(luò)執(zhí)法官VS網(wǎng)絡(luò)執(zhí)法官，這種方法是最可笑的，因為軟件設(shè)計中為了保護(hù)網(wǎng)管不被攻擊而設(shè)置了“友鄰用戶”他們可以相互發(fā)現(xiàn)但不能相互管理，這是我說為什么這種方法可笑的原因。另外在“日志”中可以查到友鄰用戶的記錄，如果被網(wǎng)管查到是你在搞鬼，我相信你的這個月的獎金沒了！

靜態(tài)MAC地址突破管理，arp –d、arp –s等命令把ARP高速緩存改成ARP靜態(tài)緩存,這種對于只限制了internet的功能，并且網(wǎng)絡(luò)執(zhí)法官是安裝在網(wǎng)關(guān)上是行之有效的，如果軟件沒有安裝在網(wǎng)關(guān)上嘿嘿……還是不行。（小菜：那么我們就沒辦法上網(wǎng)了嗎？）當(dāng)然不是，一種方法只能保證TCP連接可以通信，就是自己用靜態(tài)ARP緩存，并且不斷的向網(wǎng)關(guān)及其它主機(jī)發(fā)送正確自己的MAC地址信息，可以保證上internet的TCP正常連接，注：TCP有錯誤檢測機(jī)制，可以重傳！當(dāng)然，如果網(wǎng)管是一個非常狡猾而且卑鄙的話，還會在一分鐘內(nèi)把你踢出局！

看網(wǎng)絡(luò)執(zhí)法官很厲害吧！大家一定以為我在為這款軟件作廣告，其實是想告訴大家不同的管理方法我們要用不同的對策，攻防中才有進(jìn)步嘛！我在來看看他的管理范圍如圖四，他的管理范圍是陰影部分，也包括路由器（網(wǎng)關(guān)）的E0接口，而路由其它接口及那個二層交換機(jī)S2其它網(wǎng)絡(luò)設(shè)備他無權(quán)過問，看到這您應(yīng)該明白怎么作了吧！當(dāng)然不是讓你把你的網(wǎng)線接到S2的那個交換機(jī)上，那不是明確告訴網(wǎng)管我現(xiàn)在不用你管理了嗎？我們來個百戰(zhàn)百勝的方法，自己加一塊網(wǎng)卡、找同網(wǎng)段、雙網(wǎng)卡并能正常上網(wǎng)的機(jī)器如PC1，用另一跟網(wǎng)線接到那臺主機(jī)上，做成“代理服務(wù)器”讓你所有的數(shù)據(jù)包經(jīng)過他而到達(dá)網(wǎng)關(guān)，而網(wǎng)關(guān)或管理主機(jī)只會認(rèn)為是PC1（代理服務(wù)器）在使用網(wǎng)絡(luò)，如圖五。白色部分就是管理軟件的禁區(qū)！而之前接受管理而上不了網(wǎng)的那塊網(wǎng)卡他還在接受管理，而你的應(yīng)用層數(shù)據(jù)以悄無聲息的從網(wǎng)絡(luò)層選擇路徑的時候繞過他的封鎖！

什么原理呢？這種軟件他工作在網(wǎng)絡(luò)的第二層上，他無法穿透第三層設(shè)備！而網(wǎng)絡(luò)流言它可以“穿透防火墻”到現(xiàn)在您應(yīng)該知道這是怎么穿透的了，何從穿透！硬(軟)防火墻全部工作在三層以上，而該軟件利用了二層的協(xié)議來管理網(wǎng)絡(luò)，那么他根本就沒有達(dá)到防火墻的層次如何“穿透”防火墻呢？

好了筆者在本文結(jié)束時考慮是以魔高一尺還是道高一丈來結(jié)束本文，其實都不重要了，在攻防對立才能進(jìn)步嘛！沒有任何一種管理軟件可以完全控制，也沒有任何一種手法可以永遠(yuǎn)可以突破管理軟件。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]