在網絡執法官中,要想限制某臺機器上網,只要點擊"網卡"菜單中的"權限",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇"權限",在彈出的對話框中即可限制該用戶的權限。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的默認權限改爲禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被***的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網絡執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開註冊表編輯器,展開註冊表到:HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這裏保存了有關你的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intel 21041 based Ethernet Controller),在這裏假設你的網卡在0000子鍵。
在0000子鍵下添加一個字符串,命名爲"NetworkAddress",鍵值爲修改後的MAC地址,要求爲連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建一項名爲NetworkAddress的子鍵,在該子鍵下添加名爲"default"的字符串,鍵值爲修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名爲"ParamDesc"的字符串,其作用爲指定Network Address的描述,其值可爲"MAC Address"。這樣以後打開網絡鄰居的"屬性",雙擊相應的網卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在註冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
關閉註冊表,重新啓動,你的網卡地址已改。打開網絡鄰居的屬性,雙擊相應網卡項會發現有一個MAC Address的高級設置項,用於直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或鏈路地址,由網絡設備製造商生產時寫在硬件內部。這個地址與網絡無關,即無論將帶有這個地址的硬件(如網卡、集線器、路由器等)接入到網絡的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示爲12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網絡硬件製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網絡產品(如網卡)的系列號。每個網絡製造商必須確保它所製造的每個以太網設備都具有相同的前三字節以及不同的後三個字節。這樣就可保證世界上每個以太網設備都具有唯一的MAC地址。
另外,網絡執法官的原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
找到使你無法上網的對方
解除了網絡執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網IP段,然後查找處在"混雜"模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller(圖2),然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了。
檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網絡執法官在搗亂。