Cómo utilizar la versión V2.88 de Network Law Enforcement Officer
En primer lugar, comprendamos el principio de Network Law Enforcement Officer:
Network Law Enforcement Officer es un software de administración de red que se puede utilizar para administrar redes de área local y puede prohibir cualquier máquina en la red de área local se conecte a la red. Para los administradores de red, esta función es naturalmente muy buena, pero si otras personas en la LAN también usan esta función, será problemático. Porque esto al menos hará que otros no puedan acceder a Internet y, en el peor de los casos, paralizará toda la red de área local. ¿Cuál es la solución? Eche un vistazo a los siguientes trucos y sus principios.
1. Introducción al Network Law Enforcement Officer
Podemos ejecutar el programa principal NetRobocop.exe del Network Law Enforcement Officer en cualquier máquina de la LAN. Puede penetrar firewalls. monitorear en tiempo real, registrar todo el estado en línea del usuario de la LAN, limitar la IP y el período de tiempo utilizado por cada usuario cuando está en línea y expulsar a los usuarios ilegales de la LAN. El software es aplicable dentro de la LAN y no puede monitorear ni administrar máquinas fuera de la puerta de enlace o enrutador. Es adecuado para que lo utilicen administradores de LAN.
En Network Law Enforcement Officer, si desea restringir el acceso a Internet de una determinada máquina, simplemente haga clic en "Permisos" en el menú "Tarjeta de red", seleccione el número de tarjeta de red especificado o haga clic en la fila de la tarjeta de red en la lista de usuarios y luego seleccione "Permisos" en el menú contextual y podrá restringir los permisos del usuario en el cuadro de diálogo emergente. Para las tarjetas de red no registradas, puede limitar su acceso en línea de esta manera: siempre que todos los usuarios conocidos estén configurados (registrados), cambie los permisos predeterminados de la tarjeta de red para prohibir el acceso en línea para evitar que todas las tarjetas de red desconocidas se conecten. Utilice estas dos funciones para restringir el acceso de los usuarios a Internet. El principio es enviar a la computadora atacada una MAC falsa correspondiente a la dirección IP de la puerta de enlace mediante suplantación de ARP, de modo que no pueda encontrar la dirección MAC real de la puerta de enlace, de modo que se le pueda prohibir el acceso a Internet.
2. El principio de la suplantación de identidad ARP
La suplantación de identidad ARP utilizada en la aplicación de la ley en redes evita que la computadora atacada acceda a Internet. El principio es evitar que la computadora encuentre la dirección MAC. de la puerta de enlace. Entonces, ¿qué es exactamente la suplantación de identidad ARP?
Primero que nada, déjame decirte qué es ARP (Protocolo de resolución de direcciones) es un protocolo de resolución de direcciones, que es un protocolo que convierte direcciones IP en direcciones físicas. Hay dos formas de asignar direcciones IP a direcciones físicas: tabular y no tabular.
Para ser específicos, ARP resuelve la dirección de la capa de red (capa IP, que es equivalente a la tercera capa de OSI) en la capa de conexión de datos (capa MAC, que es equivalente a la segunda capa de OSI).
Principio ARP: cuando una máquina A quiere enviar un mensaje al host B, consultará la tabla de caché ARP local. Después de encontrar la dirección MAC correspondiente a la dirección IP de B, los datos se transmitirán. Si no se encuentra, A envía un mensaje de solicitud ARP (que lleva la dirección IP Ia del host A - dirección física Pa) para solicitar al host B con la dirección IP Ib que responda con la dirección física Pb. Todos los hosts de la red, incluido B, reciben la solicitud ARP, pero solo el host B reconoce su propia dirección IP, por lo que envía un mensaje de respuesta ARP al host A. Contiene la dirección MAC de B. Después de que A reciba la respuesta de B, actualizará la caché ARP local. Luego use esta dirección MAC para enviar datos (la dirección MAC se agrega a la tarjeta de red). Por lo tanto, la tabla ARP del caché local es la base para la circulación de la red local y este caché es dinámico.
El protocolo ARP no solo recibe respuestas ARP después de enviar solicitudes ARP. Cuando la computadora reciba el paquete de respuesta ARP, actualizará la caché ARP local y almacenará las direcciones IP y MAC en la respuesta en la caché ARP. Por lo tanto, cuando una máquina B en la red local envía una respuesta ARP falsificada a A, y si esta respuesta es falsificada por B haciéndose pasar por C, es decir, la dirección IP es la IP de C y la dirección MAC está falsificada, entonces cuando A Después de recibir la respuesta ARP falsificada de B, el caché ARP local se actualizará, de modo que desde la perspectiva de A, la dirección IP de C no ha cambiado, pero su dirección MAC ya no es la original. Porque el tráfico de red en la LAN no se basa en direcciones IP, sino que se transmite en función de direcciones MAC. Por lo tanto, la dirección MAC falsificada se cambia a una dirección MAC inexistente en A, lo que provocará una falla en la red y hará que A no pueda hacer ping a C. Esta es una simple suplantación de ARP.
¡Éste es el principio que utilizan los agentes del orden en Internet! Una vez que conozcas su principio, será mucho más fácil atravesar sus defensas.
3. "Contraataque" en la red de área local para modificar la dirección MAC para romper el bloqueo de los agentes del orden de la red.
Según el análisis anterior, no es difícil para Para concluir: siempre que se modifique la dirección MAC, engañar al escaneo de los agentes del orden de la red para lograr el propósito de romper el bloqueo. A continuación se explica cómo modificar la dirección MAC de la tarjeta de red:
Ingrese regedit en "Ejecutar" en el menú "Inicio", abra el editor de registro y expanda el registro a: HKEY_LOCAL_
MACHINE\ System\CurrentControl
Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
18} subclave, 0000, 0001, 0002 y otras ramas bajo la subclave Busque DriverDesc (si tiene más de una tarjeta de red, hay 0001, 0002... La información sobre su tarjeta de red se guarda aquí y el contenido de DriverDesc es la descripción de la información de la tarjeta de red. Por ejemplo, mi tarjeta de red es un controlador Ethernet basado en Intel 210
41), aquí se supone que su tarjeta de red está en la subclave 0000.
Agregue una cadena bajo la subclave 0000 y asígnele el nombre "NetworkAddress". El valor de la clave es la dirección MAC modificada, que debe tener 12 números hexadecimales consecutivos. Luego cree una nueva subclave denominada NetworkAddress en NDI\params bajo la subclave "0000" y agregue una cadena llamada "default" bajo la subclave. El valor de la clave es la dirección MAC modificada.
Continúe creando una cadena denominada "ParamDesc" bajo la subclave de NetworkAddress, que se utiliza para especificar la descripción de la
dirección de red, y su valor puede ser "Dirección MAC". De esta manera, después de abrir las "Propiedades" de Network Neighborhood, haga doble clic en la tarjeta de red correspondiente, encontrará una configuración "Avanzada", debajo de la cual hay una opción para Dirección MAC, que es el nuevo elemento "NetworkAddress" que agregado al registro En el futuro, simplemente modifique la dirección MAC.
Cierra el registro y reinicia. La dirección de tu tarjeta de red ha sido cambiada. Abra las propiedades de Network Neighborhood, haga doble clic en el elemento de la tarjeta de red correspondiente y encontrará un elemento de configuración avanzada para la dirección MAC, que se puede utilizar para modificar directamente la dirección MAC.
La dirección MAC también se denomina dirección física, dirección de hardware o dirección de enlace y está escrita dentro del hardware cuando la produce el fabricante del equipo de red. Esta dirección no tiene nada que ver con la red, es decir, no importa dónde esté conectado a la red el hardware con esta dirección (como una tarjeta de red, concentrador, enrutador, etc.), tendrá la misma dirección MAC. La dirección MAC generalmente no se puede cambiar y el propio usuario no puede cambiarla. La dirección MAC generalmente se expresa como 12 números hexadecimales y cada dos números hexadecimales están separados por dos puntos. Por ejemplo: 08:00:20:0A:8C:6D es una dirección MAC, de la cual los primeros 6 dígitos hexadecimales son el número del sistema. , 08:00:20 representa el número del fabricante del hardware de red, asignado por IEEE, y el siguiente número hexadecimal de 3 dígitos 0A:8C:6D representa la serie de un determinado producto de red (como una tarjeta de red) fabricado por el número del fabricante. Cada fabricante de redes debe asegurarse de que cada dispositivo Ethernet que fabrica tenga los mismos primeros tres bytes y los últimos tres bytes diferentes. Esto garantiza que cada dispositivo Ethernet del mundo tenga una dirección MAC única.
Además, el principio del agente de aplicación de la ley de la red es utilizar la suplantación de identidad ARP para enviar la dirección MAC correspondiente a la dirección IP de la puerta de enlace falsa a una determinada computadora, de modo que no pueda encontrar la dirección MAC real de la puerta de entrada. Por lo tanto, siempre que modifiquemos el mapeo de IP a MAC, podemos invalidar la suplantación de ARP del Network Law Enforcement Officer y superar sus limitaciones. Puede hacer ping a la puerta de enlace con anticipación, luego usar el comando ARP -a para obtener la dirección MAC de la puerta de enlace y, finalmente, usar el comando de dirección MAC de la tarjeta de red IP ARP -s para asignar la dirección IP de la puerta de enlace a su dirección MAC.
4. Encuentre a la otra parte que le impide acceder a Internet
Después de desbloquear al agente de la ley de la red, podemos usar el "Sniffer Killer" de Arpkiller para escanear todo el segmento de IP de la LAN. y luego encontrar la dirección. Las computadoras en modo "promiscuo" pueden descubrirse entre sí. El método específico es: ejecute Arpkiller, luego haga clic en "Herramienta de monitoreo Sniffer", ingrese la IP inicial y final de la detección en la ventana "Sniffer Killer" que aparece y haga clic en "Iniciar detección".
Una vez completada la detección, si la IP correspondiente es un ícono de sombrero verde, significa que la IP está en modo normal. Si es un ícono de sombrero rojo, significa que la tarjeta de red está en modo promiscuo. modo. Eso es a lo que nos dirigimos, este tipo que usa Cyber Enforcement para causar problemas.
También estoy en modo mixto al escanear, ¡así que no puedo contarme entre ellos!
Si cree que este método es demasiado complicado, también puede simplificarlo e introducir un software anti-suplantación de identidad ARP (el uso es muy simple, puede buscar y descargar el software en línea, no lo haré). entre en detalles aquí):
La versión independiente 4.0 Beta4 de ARP Firewall, lanzada el 4 de febrero, anteriormente conocida como Anti ARP Sniffer, adopta una nueva tecnología de interceptación de la capa del núcleo del sistema, que puede resolver completamente los problemas causados. por todos los ataques ARP y garantizar que cuando sea atacado por ARP La red siga siendo normal y el fenómeno de pérdida de paquetes que ocurre cuando bajo ataque pueda resolverse por completo. Puede interceptar y defenderse automáticamente contra varios programas de ataque ARP, virus ARP y troyanos ARP, y evitar que todos los programas maliciosos ARP envíen paquetes de datos falsos mediante un análisis inteligente. Identifique automáticamente los tipos de datos de ataques ARP: ataques externos, conflictos de IP, datos de ataques externos, registre todos los paquetes de datos sospechosos en detalle y rastree a los atacantes. El software puede contar automáticamente la cantidad de paquetes de transmisión ARP enviados y recibidos. Publicado con permiso del autor.
Funciones principales:
Intercepta y defiende automáticamente contra todos los programas maliciosos ARP No importa cómo se modifiquen los programas maliciosos ARP, se pueden interceptar activamente.
Se defiende automáticamente contra ataques ARP desde cualquier dirección de la LAN y puede defenderse activamente contra la suplantación de identidad.
Analice y registre de forma inteligente y detallada el contenido de los paquetes de datos falsificados para localizar rápidamente a los atacantes LAN ARP.
Los estados de autodefensa y engaño pueden mantener una comunicación normal sin descartar ningún paquete de datos.