文章內容

攻防之道矛與盾：反擊網絡執法官

發布時間: 2012/9/23 18:02:03

作為管理軟件的“網絡執法官”已經流行一段時間了，對于深受其害的小菜們一定對他非常痛恨，今天我們以網管及被管理者的身份說說該軟件的執法過程、突破過程。首先我們先看一下網絡上對“網絡執法官”的描述：可以在局域網中任意一臺機器上運行網絡執法官的主程，它可以穿透防火墻、實時監控、記錄整個局域網用戶上線情況，可限制各用戶上線時所用的IP、時段，并可將非法用戶踢下局域網。該軟件適用范圍為局域網內部，不能對網關或路由器外的機器進行監視或管理！

因為在網絡上傳聞它可以穿透防火墻，真是嚇了我一大跳，但在軟件方有沒有這種說法，我就不清楚了，可能是一些擁護者把他神圣化了，于是俺開始研究他如何穿透防火墻的。讀完此文您也就知道“穿透防火墻是怎么實現的”。

其實“網絡執法官”是通過ARP欺騙來達到管理目的，網絡關于ARP欺騙的文章很多，不太清楚的可以去搜索一下。其實“絡網執法官”只不過是一個很普通的管理軟件，其功能雖說更全面、更穩定但也和其它軟件沒有什么本質上的分別。要想知道他是怎么管理所在網段而不讓所管理的工作站上網，這還要追尋到網絡通信原理上面。因為此軟件主要特性是建立在數據鏈路層，所以其它我就將他簡化了，圖表一是IOS七層參考模型主要功能。

網絡基礎：物理層、數據鏈路層、網絡層

使用者方面：傳輸、會話、表示及應用層

我們知道，我們的通信是和網絡的七層協議密切相關的，以下我們虛擬一個局域網，來講解網絡通信過程及“網絡執法官”的管理過程。當我們在七層協議最上層，主機A想和其它主機通信，比如telnet到主機B，各層都為數據打包后在封裝自己能識別的數據標簽，我們只說四層以下的通信過程，如圖二。

1、當數據包到達傳輸層，由于telnet使用TCP協議，傳輸層將上層傳過來的數據不變在封裝TCP的包頭以便目標主機可以正確解包，繼續向下層（網絡層）傳遞。

2、網絡層同樣不會改變之前的數據包，當然也包括之前的任何頭文件，首先主機A要對目標主機作判斷，他會用自己的IP地址和自己的子網掩碼進行與運算結果是172.16.12.0，然后在拿自己的掩碼和主機B的IP地址作與運算，結果是172.16.12.0，這個時候他知道他們在同一網段內，這時他會封裝自己的IP及目標的IP地址，同上層傳下來的數據一下向下傳。

3、數據鏈路層其實包括兩個子層，一是LLC子層另一個是MAC子層。我們知道在以太網中通信是物理尋址的，在這層中會封裝自己的MAC地址及對方的MAC地址。當然用戶是沒有通知他MAC地址是多少的，這時主機會查自己的緩存表，看有沒有主機B的MAC地址，如果有就封裝，否則他會發一個ARP的地址解析廣播包，該包只會存活在該網段并且以打了標簽，雖說所有的主機都可以收到該廣播包，但只會傳遞到該主機的數據鏈路層，更確切的說傳遞到了數據鏈路層的高層就給丟棄了。

4、接著該數據會從我們的網線等傳輸介質傳出去，主機B當收到數據的時候進行相同的工作但是作相反的操作，我相信不用解釋太多您能明白，如圖三所示。

以上是簡單的描述了一下兩臺主機的數據傳輸過程，說了半天也沒說到“絡網執法官”是怎么可以不讓我們上網的，其實我們局域網的工作站想通過代理服務器上公網的數據包和以上就有點不同了，其實明白了上面的我們就很容易了解工作站去公網的數據包是怎么走的了。

話說主機A想去黑X官方網站，數據在傳輸到網絡層的時候在這個時候呢他會用自己的IP和自己的子網掩碼進行與結果是172.16.12.0，然后在拿自己的掩碼和黑X官方網站的IP與運算（黑X的IP地址由DNS得到），結果為61.152.251.0發現不在同一個網段，注意：這時也是用自己IP和目標IP進行封裝，然后向下層傳遞。在數據鏈路層這時就不會封裝黑X的MAC地址，他也不知道MAC地址是什么，這時他會封裝網關的MAC地址，而讓網關將數據轉發出去。同時在網關收到數據時候，他會查看目標IP地址，當然不是他自己的IP地址了，所以他知道這個數據發是要由他路由出去的，然后把數據包發給了他的鄰居或網絡運營商的路由器上去，重復以上動作，在TTL值為0之前將數據傳遞給黑X官方網站，數據傳遞成功！

至于“網絡執法官”為什么可以根據網卡的MAC剝奪我們上網的權力呢！由于“網絡執法官”利用ARP欺騙的原理，他會持續不斷的發低速的ARP廣播包，他主要是欺騙該PC機的第二層設備，使得該主機迷失正確的MAC地址，使第二層功能失效。該軟件管理有如下癥狀:

1、主機無法訪問internet，而局域網功能沒問題，是由于ARP歪曲的通告一個偽網關MAC地址，使用戶機器無法找到真正網關的MAC地址，當然在數據鏈路層就封裝錯誤了。

2、無法訪問internet、無法使用局域網功能（一般網管不會這么做，只會對付受限制用戶的手法），這種情況是運行“網絡執法官”的主機欺騙了所有局域網中同網段主機，使所有主機歪曲的記錄了被管理的主機的MAC地址，同樣被管理的主機也會錯誤的記錄到其它主機的MAC地址，導致如上結果。

3、無法訪問internet、無法使用局域網功能、桌面上常常彈出“IP地址沖突”的字樣（一般受限制用戶也不會有此待遇），這種是一個典型的“IP地址爭奪游戲”。

在針對這種以MAC地址+IP地址來管理我們的網絡管理軟件，在對付第一種限制時，局域網無限制。網上有種方法就是用http、sock代理，就是給同網段一臺機器上安裝相應的軟件，起到可以上網的辦法！但是您說這種方法可行嗎？圖四給你結論，當網管發現后會繼續封殺！一般網管不用發現該方法也是不可行的，比如：你看到一件事物是假的，你用看到的事物在去思考當然也是假的。

還有一種方法，就是改MAC地址，當然，這種方法是從原理上把這種軟件控制功能給搞定了，但是您別忘了這個公司除了網絡管理軟件還有網管本人呢！他會根據您的IP地址及計算機名繼續封殺。小菜問了：“我改了計算機名、IP地址、MAC地址那不就OK了嗎？”常理說這種方法是一定行的，但是一個合理規劃的網絡是不會讓你隨意更改以上各種設置的。比如公司30臺主機，網關的設置是192.168.1.1/27，看你怎么改，當網管工作不認真的時候告訴您，你暫時勝了，要是遇到我哈哈……。如果網管也是個小菜完全可以用這個方法以達到上網的目的，但是這個時候在“網絡絡執法官”的主界面中會多出一個用戶來。

在網絡上呼聲最高的一種，暴力解決，拿個比管理軟件頻率更高的ARP軟件和網管（頻率達到幾千個Frame/秒）對攻，更有甚者提倡用網絡執法官VS網絡執法官，這種方法是最可笑的，因為軟件設計中為了保護網管不被攻擊而設置了“友鄰用戶”他們可以相互發現但不能相互管理，這是我說為什么這種方法可笑的原因。另外在“日志”中可以查到友鄰用戶的記錄，如果被網管查到是你在搞鬼，我相信你的這個月的獎金沒了！

靜態MAC地址突破管理，arp –d、arp –s等命令把ARP高速緩存改成ARP靜態緩存,這種對于只限制了internet的功能，并且網絡執法官是安裝在網關上是行之有效的，如果軟件沒有安裝在網關上嘿嘿……還是不行。（小菜：那么我們就沒辦法上網了嗎？）當然不是，一種方法只能保證TCP連接可以通信，就是自己用靜態ARP緩存，并且不斷的向網關及其它主機發送正確自己的MAC地址信息，可以保證上internet的TCP正常連接，注：TCP有錯誤檢測機制，可以重傳！當然，如果網管是一個非常狡猾而且卑鄙的話，還會在一分鐘內把你踢出局！

看網絡執法官很厲害吧！大家一定以為我在為這款軟件作廣告，其實是想告訴大家不同的管理方法我們要用不同的對策，攻防中才有進步嘛！我在來看看他的管理范圍如圖四，他的管理范圍是陰影部分，也包括路由器（網關）的E0接口，而路由其它接口及那個二層交換機S2其它網絡設備他無權過問，看到這您應該明白怎么作了吧！當然不是讓你把你的網線接到S2的那個交換機上，那不是明確告訴網管我現在不用你管理了嗎？我們來個百戰百勝的方法，自己加一塊網卡、找同網段、雙網卡并能正常上網的機器如PC1，用另一跟網線接到那臺主機上，做成“代理服務器”讓你所有的數據包經過他而到達網關，而網關或管理主機只會認為是PC1（代理服務器）在使用網絡，如圖五。白色部分就是管理軟件的禁區！而之前接受管理而上不了網的那塊網卡他還在接受管理，而你的應用層數據以悄無聲息的從網絡層選擇路徑的時候繞過他的封鎖！