攻防之道矛與盾:反擊網(wǎng)絡執(zhí)法官 |
發(fā)布時間: 2012/9/23 18:02:03 |
作為管理軟件的“網(wǎng)絡執(zhí)法官”已經(jīng)流行一段時間了,對于深受其害的小菜們一定對他非常痛恨,今天我們以網(wǎng)管及被管理者的身份說說該軟件的執(zhí)法過程、突破過程。首先我們先看一下網(wǎng)絡上對“網(wǎng)絡執(zhí)法官”的描述:可以在局域網(wǎng)中任意一臺機器上運行網(wǎng)絡執(zhí)法官的主程,它可以穿透防火墻、實時監(jiān)控、記錄整個局域網(wǎng)用戶上線情況,可限制各用戶上線時所用的IP、時段,并可將非法用戶踢下局域網(wǎng)。該軟件適用范圍為局域網(wǎng)內(nèi)部,不能對網(wǎng)關(guān)或路由器外的機器進行監(jiān)視或管理! 因為在網(wǎng)絡上傳聞它可以穿透防火墻,真是嚇了我一大跳,但在軟件方有沒有這種說法,我就不清楚了,可能是一些擁護者把他神圣化了,于是俺開始研究他如何穿透防火墻的。讀完此文您也就知道“穿透防火墻是怎么實現(xiàn)的”。 其實“網(wǎng)絡執(zhí)法官”是通過ARP欺騙來達到管理目的,網(wǎng)絡關(guān)于ARP欺騙的文章很多,不太清楚的可以去搜索一下。其實“絡網(wǎng)執(zhí)法官”只不過是一個很普通的管理軟件,其功能雖說更全面、更穩(wěn)定但也和其它軟件沒有什么本質(zhì)上的分別。要想知道他是怎么管理所在網(wǎng)段而不讓所管理的工作站上網(wǎng),這還要追尋到網(wǎng)絡通信原理上面。因為此軟件主要特性是建立在數(shù)據(jù)鏈路層,所以其它我就將他簡化了,圖表一是IOS七層參考模型主要功能。 網(wǎng)絡基礎(chǔ):物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層 使用者方面:傳輸、會話、表示及應用層 我們知道,我們的通信是和網(wǎng)絡的七層協(xié)議密切相關(guān)的,以下我們虛擬一個局域網(wǎng),來講解網(wǎng)絡通信過程及“網(wǎng)絡執(zhí)法官”的管理過程。當我們在七層協(xié)議最上層,主機A想和其它主機通信,比如telnet到主機B,各層都為數(shù)據(jù)打包后在封裝自己能識別的數(shù)據(jù)標簽,我們只說四層以下的通信過程,如圖二。 1、當數(shù)據(jù)包到達傳輸層,由于telnet使用TCP協(xié)議,傳輸層將上層傳過來的數(shù)據(jù)不變在封裝TCP的包頭以便目標主機可以正確解包,繼續(xù)向下層(網(wǎng)絡層)傳遞。 2、網(wǎng)絡層同樣不會改變之前的數(shù)據(jù)包,當然也包括之前的任何頭文件,首先主機A要對目標主機作判斷,他會用自己的IP地址和自己的子網(wǎng)掩碼進行與運算結(jié)果是172.16.12.0,然后在拿自己的掩碼和主機B的IP地址作與運算,結(jié)果是172.16.12.0,這個時候他知道他們在同一網(wǎng)段內(nèi),這時他會封裝自己的IP及目標的IP地址,同上層傳下來的數(shù)據(jù)一下向下傳。 3、數(shù)據(jù)鏈路層其實包括兩個子層,一是LLC子層另一個是MAC子層。我們知道在以太網(wǎng)中通信是物理尋址的,在這層中會封裝自己的MAC地址及對方的MAC地址。當然用戶是沒有通知他MAC地址是多少的,這時主機會查自己的緩存表,看有沒有主機B的MAC地址,如果有就封裝,否則他會發(fā)一個ARP的地址解析廣播包,該包只會存活在該網(wǎng)段并且以打了標簽,雖說所有的主機都可以收到該廣播包,但只會傳遞到該主機的數(shù)據(jù)鏈路層,更確切的說傳遞到了數(shù)據(jù)鏈路層的高層就給丟棄了。 4、接著該數(shù)據(jù)會從我們的網(wǎng)線等傳輸介質(zhì)傳出去,主機B當收到數(shù)據(jù)的時候進行相同的工作但是作相反的操作,我相信不用解釋太多您能明白,如圖三所示。 以上是簡單的描述了一下兩臺主機的數(shù)據(jù)傳輸過程,說了半天也沒說到“絡網(wǎng)執(zhí)法官”是怎么可以不讓我們上網(wǎng)的,其實我們局域網(wǎng)的工作站想通過代理服務器上公網(wǎng)的數(shù)據(jù)包和以上就有點不同了,其實明白了上面的我們就很容易了解工作站去公網(wǎng)的數(shù)據(jù)包是怎么走的了。 話說主機A想去黑X官方網(wǎng)站,數(shù)據(jù)在傳輸?shù)骄W(wǎng)絡層的時候在這個時候呢他會用自己的IP和自己的子網(wǎng)掩碼進行與結(jié)果是172.16.12.0,然后在拿自己的掩碼和黑X官方網(wǎng)站的IP與運算(黑X的IP地址由DNS得到),結(jié)果為61.152.251.0發(fā)現(xiàn)不在同一個網(wǎng)段,注意:這時也是用自己IP和目標IP進行封裝,然后向下層傳遞。在數(shù)據(jù)鏈路層這時就不會封裝黑X的MAC地址,他也不知道MAC地址是什么,這時他會封裝網(wǎng)關(guān)的MAC地址,而讓網(wǎng)關(guān)將數(shù)據(jù)轉(zhuǎn)發(fā)出去。同時在網(wǎng)關(guān)收到數(shù)據(jù)時候,他會查看目標IP地址,當然不是他自己的IP地址了,所以他知道這個數(shù)據(jù)發(fā)是要由他路由出去的,然后把數(shù)據(jù)包發(fā)給了他的鄰居或網(wǎng)絡運營商的路由器上去,重復以上動作,在TTL值為0之前將數(shù)據(jù)傳遞給黑X官方網(wǎng)站,數(shù)據(jù)傳遞成功! 至于“網(wǎng)絡執(zhí)法官”為什么可以根據(jù)網(wǎng)卡的MAC剝奪我們上網(wǎng)的權(quán)力呢!由于“網(wǎng)絡執(zhí)法官”利用ARP欺騙的原理,他會持續(xù)不斷的發(fā)低速的ARP廣播包,他主要是欺騙該PC機的第二層設(shè)備,使得該主機迷失正確的MAC地址,使第二層功能失效。該軟件管理有如下癥狀: 1、主機無法訪問internet,而局域網(wǎng)功能沒問題,是由于ARP歪曲的通告一個偽網(wǎng)關(guān)MAC地址,使用戶機器無法找到真正網(wǎng)關(guān)的MAC地址,當然在數(shù)據(jù)鏈路層就封裝錯誤了。 2、無法訪問internet、無法使用局域網(wǎng)功能(一般網(wǎng)管不會這么做,只會對付受限制用戶的手法),這種情況是運行“網(wǎng)絡執(zhí)法官”的主機欺騙了所有局域網(wǎng)中同網(wǎng)段主機,使所有主機歪曲的記錄了被管理的主機的MAC地址,同樣被管理的主機也會錯誤的記錄到其它主機的MAC地址,導致如上結(jié)果。 3、無法訪問internet、無法使用局域網(wǎng)功能、桌面上常常彈出“IP地址沖突”的字樣(一般受限制用戶也不會有此待遇),這種是一個典型的“IP地址爭奪游戲”。 在針對這種以MAC地址+IP地址來管理我們的網(wǎng)絡管理軟件,在對付第一種限制時,局域網(wǎng)無限制。網(wǎng)上有種方法就是用http、sock代理,就是給同網(wǎng)段一臺機器上安裝相應的軟件,起到可以上網(wǎng)的辦法!但是您說這種方法可行嗎?圖四給你結(jié)論,當網(wǎng)管發(fā)現(xiàn)后會繼續(xù)封殺!一般網(wǎng)管不用發(fā)現(xiàn)該方法也是不可行的,比如:你看到一件事物是假的,你用看到的事物在去思考當然也是假的。 還有一種方法,就是改MAC地址,當然,這種方法是從原理上把這種軟件控制功能給搞定了,但是您別忘了這個公司除了網(wǎng)絡管理軟件還有網(wǎng)管本人呢!他會根據(jù)您的IP地址及計算機名繼續(xù)封殺。小菜問了:“我改了計算機名、IP地址、MAC地址那不就OK了嗎?”常理說這種方法是一定行的,但是一個合理規(guī)劃的網(wǎng)絡是不會讓你隨意更改以上各種設(shè)置的。比如公司30臺主機,網(wǎng)關(guān)的設(shè)置是192.168.1.1/27,看你怎么改,當網(wǎng)管工作不認真的時候告訴您,你暫時勝了,要是遇到我哈哈……。如果網(wǎng)管也是個小菜完全可以用這個方法以達到上網(wǎng)的目的,但是這個時候在“網(wǎng)絡絡執(zhí)法官”的主界面中會多出一個用戶來。 在網(wǎng)絡上呼聲最高的一種,暴力解決,拿個比管理軟件頻率更高的ARP軟件和網(wǎng)管(頻率達到幾千個Frame/秒)對攻,更有甚者提倡用網(wǎng)絡執(zhí)法官VS網(wǎng)絡執(zhí)法官,這種方法是最可笑的,因為軟件設(shè)計中為了保護網(wǎng)管不被攻擊而設(shè)置了“友鄰用戶”他們可以相互發(fā)現(xiàn)但不能相互管理,這是我說為什么這種方法可笑的原因。另外在“日志”中可以查到友鄰用戶的記錄,如果被網(wǎng)管查到是你在搞鬼,我相信你的這個月的獎金沒了! 靜態(tài)MAC地址突破管理,arp –d、arp –s等命令把ARP高速緩存改成ARP靜態(tài)緩存,這種對于只限制了internet的功能,并且網(wǎng)絡執(zhí)法官是安裝在網(wǎng)關(guān)上是行之有效的,如果軟件沒有安裝在網(wǎng)關(guān)上嘿嘿……還是不行。(小菜:那么我們就沒辦法上網(wǎng)了嗎?)當然不是,一種方法只能保證TCP連接可以通信,就是自己用靜態(tài)ARP緩存,并且不斷的向網(wǎng)關(guān)及其它主機發(fā)送正確自己的MAC地址信息,可以保證上internet的TCP正常連接,注:TCP有錯誤檢測機制,可以重傳!當然,如果網(wǎng)管是一個非常狡猾而且卑鄙的話,還會在一分鐘內(nèi)把你踢出局! 看網(wǎng)絡執(zhí)法官很厲害吧!大家一定以為我在為這款軟件作廣告,其實是想告訴大家不同的管理方法我們要用不同的對策,攻防中才有進步嘛!我在來看看他的管理范圍如圖四,他的管理范圍是陰影部分,也包括路由器(網(wǎng)關(guān))的E0接口,而路由其它接口及那個二層交換機S2其它網(wǎng)絡設(shè)備他無權(quán)過問,看到這您應該明白怎么作了吧!當然不是讓你把你的網(wǎng)線接到S2的那個交換機上,那不是明確告訴網(wǎng)管我現(xiàn)在不用你管理了嗎?我們來個百戰(zhàn)百勝的方法,自己加一塊網(wǎng)卡、找同網(wǎng)段、雙網(wǎng)卡并能正常上網(wǎng)的機器如PC1,用另一跟網(wǎng)線接到那臺主機上,做成“代理服務器”讓你所有的數(shù)據(jù)包經(jīng)過他而到達網(wǎng)關(guān),而網(wǎng)關(guān)或管理主機只會認為是PC1(代理服務器)在使用網(wǎng)絡,如圖五。白色部分就是管理軟件的禁區(qū)!而之前接受管理而上不了網(wǎng)的那塊網(wǎng)卡他還在接受管理,而你的應用層數(shù)據(jù)以悄無聲息的從網(wǎng)絡層選擇路徑的時候繞過他的封鎖! 什么原理呢?這種軟件他工作在網(wǎng)絡的第二層上,他無法穿透第三層設(shè)備!而網(wǎng)絡流言它可以“穿透防火墻”到現(xiàn)在您應該知道這是怎么穿透的了,何從穿透!硬(軟)防火墻全部工作在三層以上,而該軟件利用了二層的協(xié)議來管理網(wǎng)絡,那么他根本就沒有達到防火墻的層次如何“穿透”防火墻呢? 好了筆者在本文結(jié)束時考慮是以魔高一尺還是道高一丈來結(jié)束本文,其實都不重要了,在攻防對立才能進步嘛!沒有任何一種管理軟件可以完全控制,也沒有任何一種手法可以永遠可以突破管理軟件。 本文出自:億恩科技【1tcdy.com】 |