作為管理軟件的“網絡執法官”已經流行壹段時間了,對於深受其害的小菜們壹定對他非常痛恨,今天我們以網管及被管理者的身份說說該軟件的執法過程、突破過程。首先我們先看壹下網絡上對“網絡執法官”的描述:可以在局域網中任意壹臺機器上運行網絡執法官的主程,它可以穿透防火墻、實時監控、記錄整個局域網用戶上線情況,可限制各用戶上線時所用的IP、時段,並可將非法用戶踢下局域網。該軟件適用範圍為局域網內部,不能對網關或路由器外的機器進行監視或管理!
因為在網絡上傳聞它可以穿透防火墻,真是嚇了我壹大跳,但在軟件方有沒有這種說法,我就不清楚了,可能是壹些擁護者把他神聖化了,於是俺開始研究他如何穿透防火墻的。讀完此文您也就知道“穿透防火墻是怎麽實現的”。
其實“絡網執法官”是通過ARP欺騙來達到管理目的,網絡關於ARP欺騙的文章很多,不太清楚的可以去搜索壹下。其實“絡網執法官”只不過是壹個很普通的管理軟件,其功能雖說更全面、更穩定但也和其它軟件沒有什麽本質上的分別。要想知道他是怎麽管理所在網段而不讓所管理的工作站上網,這還要追尋到網絡通信原理上面。因為此軟件主要特性是建立在數據鏈路層,所以其它我就將他簡化了,圖表壹是IOS七層參考模型主要功能。
網絡基礎:物理層、數據鏈路層、網絡層
使用者方面:傳輸、會話、表示及應用層
我們知道,我們的通信是和網絡的七層協議密切相關的,以下我們虛擬壹個局域網,來講解網絡通信過程及“網絡執法官”的管理過程。當我們在七層協議最上層,主機A想和其它主機通信,比如telnet到主機B,各層都為數據打包後在封裝自己能識別的數據標簽,我們只說四層以下的通信過程,如圖二。
1、當數據包到達傳輸層,由於telnet使用TCP協議,傳輸層將上層傳過來的數據不變在封裝TCP的包頭以便目標主機可以正確解包,繼續向下層(網絡層)傳遞。
2、網絡層同樣不會改變之前的數據包,當然也包括之前的任何頭文件,首先主機A要對目標主機作判斷,他會用自己的IP地址和自己的子網掩碼進行與運算結果是172.16.12.0,然後在拿自己的掩碼和主機B的IP地址作與運算,結果是172.16.12.0,這個時候他知道他們在同壹網段內,這時他會封裝自己的IP及目標的IP地址,同上層傳下來的數據壹下向下傳。
3、數據鏈路層其實包括兩個子層,壹是LLC子層另壹個是MAC子層。我們知道在以太網中通信是物理尋址的,在這層中會封裝自己的MAC地址及對方的MAC地址。當然用戶是沒有通知他MAC地址是多少的,這時主機會查自己的緩存表,看有沒有主機B的MAC地址,如果有就封裝,否則他會發壹個ARP的地址解析廣播包,該包只會存活在該網段並且以打了標簽,雖說所有的主機都可以收到該廣播包,但只會傳遞到該主機的數據鏈路層,更確切的說傳遞到了數據鏈路層的高層就給丟棄了。
4、接著該數據會從我們的網線等傳輸介質傳出去,主機B當收到數據的時候進行相同的工作但是作相反的操作,我相信不用解釋太多您能明白,如圖三所示。
以上是簡單的描述了壹下兩臺主機的數據傳輸過程,說了半天也沒說到“絡網執法官”是怎麽可以不讓我們上網的,其實我們局域網的工作站想通過代理服務器上公網的數據包和以上就有點不同了,其實明白了上面的我們就很容易了解工作站去公網的數據包是怎麽走的了。
話說主機A想去黑X官方網站,數據在傳輸到網絡層的時候在這個時候呢他會用自己的IP和自己的子網掩碼進行與結果是172.16.12.0,然後在拿自己的掩碼和黑X官方網站的IP與運算(黑X的IP地址由DNS得到),結果為61.152.251.0發現不在同壹個網段,註意:這時也是用自己IP和目標IP進行封裝,然後向下層傳遞。在數據鏈路層這時就不會封裝黑X的MAC地址,他也不知道MAC地址是什麽,這時他會封裝網關的MAC地址,而讓網關將數據轉發出去。同時在網關收到數據時候,他會查看目標IP地址,當然不是他自己的IP地址了,所以他知道這個數據發是要由他路由出去的,然後把數據包發給了他的鄰居或網絡運營商的路由器上去,重復以上動作,在TTL值為0之前將數據傳遞給黑X官方網站,數據傳遞成功!
至於“網絡執法官”為什麽可以根據網卡的MAC剝奪我們上網的權力呢!由於“網絡執法官”利用ARP欺騙的原理,他會持續不斷的發低速的ARP廣播包,他主要是欺騙該PC機的第二層設備,使得該主機迷失正確的MAC地址,使第二層功能失效。該軟件管理有如下癥狀:
1、主機無法訪問internet,而局域網功能沒問題,是由於ARP歪曲的通告壹個偽網關MAC地址,使用戶機器無法找到真正網關的MAC地址,當然在數據鏈路層就封裝錯誤了。
2、無法訪問internet、無法使用局域網功能(壹般網管不會這麽做,只會對付受限制用戶的手法),這種情況是運行“網絡執法官”的主機欺騙了所有局域網中同網段主機,使所有主機歪曲的記錄了被管理的主機的MAC地址,同樣被管理的主機也會錯誤的記錄到其它主機的MAC地址,導致如上結果。
3、無法訪問internet、無法使用局域網功能、桌面上常常彈出“IP地址沖突”的字樣(壹般受限制用戶也不會有此待遇),這種是壹個典型的“IP地址爭奪遊戲”。
在針對這種以MAC地址+IP地址來管理我們的網絡管理軟件,在對付第壹種限制時,局域網無限制。網上有種方法就是用的功能,並且網絡執法官是安裝在網關上是行之有效的,如果軟件沒有安裝在網關上嘿嘿……還是不行。(小菜:那麽我們就沒辦法上網了嗎?)當然不是,壹種方法只能保證TCP連接可以通信,就是自己用靜態ARP緩存,並且不斷的向網關及其它主機發送正確自己的MAC地址信息,可以保證上internet的TCP正常連接,註:TCP有錯誤檢測機制,可以重傳!當然,如果網管是壹個非常狡猾而且卑鄙的話,還會在壹分鐘內把妳踢出局!
看網絡執法官很厲害吧!大家壹定以為我在為這款軟件作廣告,其實是想告訴大家不同的管理方法我們要用不同的對策,攻防中才有進步嘛!我在來看看他的管理範圍如圖四,他的管理%