Desconexión de red ilimitada en el dormitorio, ataques ARP ilimitados, no importa qué firewall presione, se otorgarán altas calificaciones por la respuesta correcta.
Intenta cambiar la dirección MAC y luego instala el firewall. Al final, también tomaron represalias contra la otra parte haciendo cosas como Jusheng Network Management.
Es posible que haya sido atacado por un caballo de Troya.
Materiales de referencia:
Cómo lidiar con la herramienta de engaño arp: oficial de aplicación de la ley en red
[Autor: anónimo Atributo del artículo: Reimpreso de: Desconocido Número de clics : 7568 Hora de entrada: 2005-11-28 Entrada del artículo: Feiquan]
1. Network Law Enforcement Officer es una buena herramienta de engaño arp
Podemos ejecutar la red en cualquier máquina en la LAN El programa principal del agente de la ley, NetRobocop.exe, puede penetrar el firewall, monitorear y registrar el estado en línea de los usuarios en toda la LAN en tiempo real y puede limitar la IP utilizada por cada usuario cuando se conecta. período de tiempo y puede expulsar a los usuarios ilegales de la LAN. El software es aplicable dentro de la LAN y no puede
monitorear ni administrar máquinas fuera de la puerta de enlace o enrutador. Es adecuado para que lo utilicen administradores de LAN.
En Network Law Enforcement Officer, si desea restringir el acceso a Internet de una determinada máquina, simplemente haga clic en "Permisos" en el menú "Tarjeta de red" y seleccione
la red especificada. número de tarjeta o en la lista de usuarios Haga clic en la fila donde se encuentra la tarjeta de red, seleccione "Permisos" en el menú contextual y podrá restringir los permisos del usuario en el cuadro de diálogo emergente. Para las tarjetas de red no registradas, puede limitar su acceso en línea de la siguiente manera: después de configurar todos los usuarios conocidos (registro), cambie los permisos predeterminados de la tarjeta de red para prohibir el acceso en línea y evitar que todos los usuarios se conecten.
La tarjeta de red desconocida se conecta . Utilice estas dos funciones para restringir el acceso de los usuarios a Internet. El principio es utilizar la suplantación de identidad de ARP para enviar una MAC correspondiente a una dirección IP de puerta de enlace falsa a la computadora atacada, de modo que no pueda encontrar la dirección MAC real de la puerta de enlace. De esta manera,
prohíbalos. de acceder a Internet.
2. El principio de suplantación de identidad ARP
La suplantación de identidad ARP utilizada en la aplicación de la ley en redes evita que la computadora atacada acceda a Internet. El principio es hacer que la computadora no pueda ser encontrada. /p>
A la dirección MAC de la puerta de enlace. Entonces, ¿qué es exactamente la suplantación de identidad ARP? Saber lo que está sucediendo y saber por qué es la excelente tradición de nuestros "Hacker X-Files". Hablemos de este tema a continuación.
Primero, déjame decirte qué es ARP (Protocolo de resolución de direcciones) es un protocolo de resolución de direcciones.
Es un protocolo que convierte direcciones IP en direcciones físicas. Hay dos formas de asignar direcciones IP a direcciones físicas
: tabular y no tabular. Específicamente, ARP resuelve la dirección de la capa de red (capa IP, que es equivalente a la tercera capa de OSI) en la capa de conexión de datos (capa MAC, que es equivalente a la segunda capa de dirección MAC de OSI).
Principio ARP: cuando una máquina A quiere enviar un mensaje al host B, consultará la tabla de caché ARP local y encontrará la dirección MAC correspondiente a la dirección IP de B.
Realizará la transferencia de datos. Si no se encuentra, A transmitirá un mensaje de solicitud ARP (que lleva la dirección IP Ia del Host A - dirección física Pa), solicitando al Host B con la dirección IP Ib que responda con la dirección física Pb.
Todos los hosts de la red, incluido B, reciben la solicitud ARP, pero solo el host B reconoce su propia dirección IP, por lo que envía
un mensaje de respuesta ARP al host A. Contiene la dirección MAC de B. Después de que A reciba la respuesta de B, actualizará la caché ARP local. Luego use esta dirección MAC para enviar datos (la dirección MAC se agrega a la tarjeta de red). Por lo tanto, la tabla ARP en el caché local de alta velocidad es la base para la circulación de la red local, y este caché es dinámico.
El protocolo ARP no solo recibe respuestas ARP después de enviar solicitudes ARP. Cuando la computadora reciba el paquete de respuesta ARP, actualizará la caché ARP local y almacenará las direcciones IP y MAC en la respuesta en la caché ARP.
Por lo tanto, cuando una máquina B en la red local envía una respuesta ARP falsificada a A, y si esta respuesta es falsificada por B haciéndose pasar por C, es decir, la dirección IP es la IP de C, pero la La dirección MAC es falsificada Cuando A recibe la respuesta AR falsificada de B, actualizará el caché ARP local, de modo que desde la perspectiva de A, la dirección IP de C no haya cambiado y su dirección MAC. >
ya no es el original. Porque el tráfico de red en la LAN no se basa en direcciones IP, sino en direcciones MAC. Por lo tanto, la dirección MAC falsificada se cambia a una dirección MAC inexistente en A.
¡Esto provocará una falla en la red y evitará que A haga ping a C! Esta es una simple suplantación de ARP.
¡Este es el principio que utilizan los agentes del orden en Internet! Una vez que conozcas su principio, será mucho más fácil atravesar sus defensas.
Escanea para romper el bloqueo. A continuación se explica cómo modificar la dirección MAC de la tarjeta de red:
Ingrese regedit en "Ejecutar" en el menú "Inicio", abra el editor de registro y expanda el registro a: HKEY_
LOCAL_ MACHINE \System\CurrentControl Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} subclave, busque DriverDesc en 0000, 0001, 0002 y otras ramas bajo la subclave (si tiene más de una tarjeta de red, allí 0001, 0002... La información sobre su tarjeta de red se guarda aquí. El contenido de DriverDesc es la descripción de la información de la tarjeta de red. Por ejemplo, mi tarjeta de red es un controlador Ethernet basado en Intel 21041. su tarjeta de red está en la subclave 0000.
Agregue una cadena debajo de la subclave 0000 y asígnele el nombre "NetworkAddress". El valor de la clave es la dirección MAC modificada, que debe tener 12 números hexadecimales consecutivos. Luego cree una nueva subclave llamada
NetworkAddress en NDI\params bajo la subclave "0000", agregue una cadena llamada "default" debajo de la subclave y el valor de la clave es el
modificado. Dirección MAC. Continúe creando una cadena llamada "ParamDesc" bajo la subclave de NetworkAddress. Su función es especificar la descripción de NetworkAddress. Su valor puede ser "Dirección MAC". De esta manera, después de abrir las "Propiedades" de Network Neighborhood, haga doble clic en la tarjeta de red correspondiente, encontrará una configuración "Avanzada", debajo de la cual hay una opción para Dirección MAC, que es el nuevo elemento "NetworkAddress" que agregado al registro En el futuro, simplemente modifique la dirección MAC.
Cierra el registro y reinicia. La dirección de tu tarjeta de red ha sido cambiada. Abra las propiedades de Network Neighborhood, haga doble clic en el elemento de la tarjeta de red correspondiente y encontrará un elemento de configuración avanzada para la dirección MAC, que se puede utilizar para modificar directamente la dirección MAC.
La dirección MAC también se denomina dirección física, dirección de hardware o dirección de enlace. Está escrita dentro del hardware cuando la produce el fabricante del equipo de red.
Esta dirección no tiene nada que ver con la red, es decir, no importa dónde esté conectado el hardware con esta dirección (como una tarjeta de red, concentrador, enrutador, etc.) a la red, generalmente tendrá la misma dirección MAC. no se puede modificar y no puede ser configurado por los propios usuarios. Una dirección MAC generalmente se expresa como 12 números hexadecimales, y cada dos números hexadecimales están separados por dos puntos
, como por ejemplo: 08:00:20:0A:8C:6D es una dirección MAC, los primeros 6 Los dígitos hexadecimales, 08:00:20, representan el número del fabricante del hardware de red, asignado por IEEE, y los siguientes 3 dígitos hexadecimales, 0A:8C:6D, representan el número del fabricante del hardware de red. El número de serie de una red. producto (como una tarjeta de red) fabricado por el fabricante. Cada fabricante de red debe asegurarse de que cada dispositivo Ethernet que fabrica tenga los mismos primeros tres bytes y los últimos tres bytes diferentes. Esto garantiza que cada dispositivo Ethernet del mundo tenga una dirección MAC única.
Además, el principio del agente de aplicación de la ley de la red es utilizar la suplantación de identidad ARP para enviar la dirección MAC correspondiente a la dirección IP de la puerta de enlace falsa a una determinada computadora, de modo que no pueda encontrar la dirección IP de la puerta de enlace real. Dirección MAC. Por lo tanto, siempre que modifiquemos el mapeo de IP a MAC, podemos invalidar la suplantación de ARP del Network Law Enforcement Officer y superar sus limitaciones. Puede hacer ping a la puerta de enlace con anticipación, luego usar el comando ARP -a para obtener la dirección MAC de la puerta de enlace y, finalmente, usar el comando de dirección MAC de la tarjeta de red IP ARP -s para obtener la dirección IP de la puerta de enlace. Simplemente asigne su dirección MAC.
4. Encuentra al asesino
Después de desbloquear al agente de la ley de la red, podemos usar el "Sniffer Killer" de Arpkiller para escanear todo el segmento de IP de la LAN. y luego buscar computadoras en modo "promiscuo" para descubrirse entre sí. El método específico es
: Ejecute Arpkiller (Figura 2), luego haga clic en "Herramienta de monitoreo Sniffer" e ingrese la IP inicial y final de la detección en la ventana "Sniffer Killer" que aparece
(Figura 3), simplemente haga clic en "Iniciar detección".
Una vez completada la detección, si la IP correspondiente es un ícono de sombrero verde, significa que la IP está en modo normal; si es un ícono de sombrero rojo, significa que la tarjeta de red está en modo promiscuo; modo. Ese es nuestro objetivo, este tipo está causando problemas con Cyber Enforcer
.
También estoy en modo mixto al escanear, ¡así que no puedo contarme entre ellos!
Después de encontrar a la otra parte, depende de usted cómo tratar con ella. Por ejemplo, ¡puede utilizar el Oficial de aplicación de la ley de Internet para bloquear a la otra parte también
!
Referencia: Un sitio web