防备局域网攻击 ZT

= val;
if (*str == ':')
str++;
}
}

以下是我用軟件攔下的局域網終結者的記錄﹐看來這個軟件只是根據你在攻擊軟件里面輸入的IP列表的IP及MAC地址﹐然后產生一個假的MAC地址去﹐使正在使用的網絡發生異常﹐我也試著解決這個問題﹐但目前除了靜態ARP之外﹐沒有其他更好的辦法了﹐這是采用TCP/IP協議的必然了。

但是作為網管﹐完全可以追蹤到搞破壞的人的電腦呀﹐然后把此人打成馬蜂窩﹐并送公安局﹐這種只會利用別人現在工具搞破壞的人最可誤了﹗有能力自己寫吧﹗

下面作參考﹐但不要攻擊我呀﹐如果有錯誤﹐請大家指正﹐謝謝了﹗

1581 89.348477 LOCAL REALTEEE1819 SMB R tree disconnect FANLI 7733797.00E04CEE1819 IPX/XNS
Frame: Base frame properties
Frame: Time of capture = 2002/10/23 13:48:21.616
Frame: Time delta from previous physical frame: 0 microseconds
Frame: Frame number: 1581
Frame: Total frame length: 100 bytes
Frame: Capture frame length: 100 bytes
Frame: Frame data: Number of data bytes remaining = 100 (0x0064)
ETHERNET: 802.3 Length = 100
ETHERNET: Destination address : 00E04CEE1819
ETHERNET: .......0 = Individual address
ETHERNET: ......0. = Universally administered address
ETHERNET: Source address : 00E04CF8B16B
ETHERNET: .......0 = No routing information present
ETHERNET: ......0. = Universally administered address
ETHERNET: Frame Length : 100 (0x0064)
ETHERNET: Data Length : 0x0056 (86)
ETHERNET: Ethernet Data: Number of data bytes remaining = 86 (0x0056)
LLC: UI DSAP=0xE0 SSAP=0xE0 C
LLC: DSAP = 0xE0 : INDIVIDUAL : Novell IPX/SPX
LLC: SSAP = 0xE0: COMMAND : Novell IPX/SPX
LLC: Frame Category: Unnumbered Frame
LLC: Command = UI
LLC: LLC Data: Number of data bytes remaining = 83 (0x0053)
IPX: NetBIOS Packet - 7733797.00E04CF8B16B.455 -> 7733797.00E04CEE1819.455 - 0 Hops
IPX: Checksum = 65535 (0xFFFF)
IPX: IDP Length = 83 (0x53)
IPX: Transport control = 0 (0x0)
IPX: Packet type = IPX
IPX: Destination Address Summary 7733797.00E04CEE1819.455
IPX: Destination IPX Address = 07733797.00E04CEE1819
IPX: Destination Net Number = 124991383 (0x7733797)
IPX: Destination Socket Number = NetBIOS
IPX: Source Address Summary 7733797.00E04CF8B16B.455
IPX: Source IPX Address = 07733797.00E04CF8B16B
IPX: Source Net Number = 124991383 (0x7733797)
IPX: Source Socket Number = NetBIOS
IPX: Data: Number of data bytes remaining = 53 (0x0035)
NBIPX: Session Data
NBIPX: Connection control flag
NBIPX: 0....... = Non system packet
NBIPX: .0...... = No send acknowledge
NBIPX: ..0..... = No Attention
NBIPX: ...1.... = End Of Message
NBIPX: ....0... = No resend
NBIPX: Data stream type = Session Data
NBIPX: Source connection ID = 10227 (0x27F3)
NBIPX: Destination connection ID = 3 (0x3)
NBIPX: Send sequence number = 119 (0x77)
NBIPX: Total data length = 35 (0x23)
NBIPX: Offset = 0 (0x0)
NBIPX: Data length = 35 (0x23)
NBIPX: Receive Sequence number = 122 (0x7A)
NBIPX: Bytes received = 127 (0x7F)
NBIPX: Data: Number of data bytes remaining = 35 (0x0023)
SMB: R tree disconnect
SMB: NT status code = 0x0, Facility = System, Severity = Success, Code = (0) STATUS_WAIT_0
SMB: NT Status Severity Code = Success
SMB: NT Status Customer Code = 0 (0x0)
SMB: NT Status Reserved Bit = 0 (0x0)
SMB: NT Status Facility = System
SMB: NT Status Code System Success = STATUS_WAIT_0
SMB: Header: PID = 0xFEFF TID = 0x0803 MID = 0x5E84 UID = 0x6801
SMB: Tree ID (TID) = 2051 (0x803)
SMB: Process ID (PID) = 65279 (0xFEFF)
SMB: User ID (UID) = 26625 (0x6801)
SMB: Multiplex ID (MID) = 24196 (0x5E84)
SMB: Flags Summary = 152 (0x98)
SMB: .......0 = Lock & Read and Write & Unlock not supported
SMB: ......0. = Send No Ack not supported
SMB: ....1... = Using caseless pathnames
SMB: ...1.... = Canonicalized pathnames
SMB: ..0..... = No Opportunistic lock
SMB: .0...... = No Change Notify
SMB: 1....... = Server response
SMB: flags2 Summary = 51207 (0xC807)
SMB: ...............1 = Understands long filenames
SMB: ..............1. = Understands extended attributes
SMB: ...0............ = No DFS namespace
SMB: ..0............. = No paging of IO
SMB: .1.............. = Using NT status codes
SMB: 1............... = Using UNICODE strings
SMB: Unknown Flag2 bits = 2052 (0x804)
SMB: Command = C tree disconnect
SMB: Word count = 0
SMB: Byte count = 0
00000: 00 E0 4C EE 18 19 00 E0 4C F8 B1 6B 00 56 E0 E0 .àLî...àLø±k.Vàà
00010: 03 FF FF 00 53 00 04 07 73 37 97 00 E0 4C EE 18 .ÿÿ.S...s7—.àLî.
00020: 19 04 55 07 73 37 97 00 E0 4C F8 B1 6B 04 55 10 ..U.s7—.àLø±k.U.
00030: 06 F3 27 03 00 77 00 23 00 00 00 23 00 7A 00 7F .ó'..w.#...#.z.
00040: 00 FF 53 4D 42 71 00 00 00 00 98 07 C8 00 00 00 .ÿSMBq....˜;.È...
00050: 00 00 00 00 00 00 00 00 00 03 08 FF FE 01 68 84 ...........ÿþ.h„;
00060: 5E 00 00 00 ^...

解决方法:

方法一:
网段A(192.168.0.x) 通过------> 网关服务器（192.168.0.1；192.168.10.1） -----〉 和网段B（192.168.10.x)通信。

假设架设 CS服务器在 网段B 192.168.10.88 机器上，

现在 在 网关服务器上架着一个端口转发程序（有很多的自己找）

比如定义 网关服务器的27015端口 转发 指定 192.168.0.10.88 的27015端口

现在在网段A(192.168.0.x) 的玩家只要的 互联网游戏地址处加入 192.168.0.1:27015 就可以找到 192.168.10.88 的CS服务器了
个人认为比较好的 办法是 把网段分开 ， 在网关服务器上做端口转发服务

来达到 共享CS服务器等 功能，就可以解决了~

方法二:
捆绑MAC和IP地址 杜绝IP地址盗用现象
到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑。具体命令是：

ARP -s 192.168.0.4 00-EO-4C-6C-08-75

这样，就将您上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.0.4也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址，像一般的Modem拨号上网是动态IP地址就不起作用。接下来我们对各参数的功能作一些简单的介绍：

ARP��-s�牑�-d�牑�-a��

-s——将相应的IP地址与物理地址的捆绑。

-d——删除所给出的IP地址与物理地址的捆绑。

-a——通过查询Arp协议表来显示IP地址和对应物理地址情况。

方法三：

网络执法官这个软件相信大家都听说过了。功能不错，可以禁止局域网任意机器连接网络。这个功能对网管来说的确不错。不过如果这个软件落到那些卑鄙小人的手里---那后果就不堪设想了。轻则把你封了上不了网，重则可以导致整个局域网瘫痪。。
废话不说了，切入正题吧。现在教大家两招轻松防范网络执法官！！
NO.1

首先呢，最稳妥的一个办法就是修改机器的MAC地址，只要把MAC地址改为别的，就可以欺骗过网络执法官，从而达到突破封锁的目的。下面是修改MAC地址的方法：
linux环境下:
需要用
#ifconfig eth0 down
先把网卡禁用
再用ifconfig eth0 hw ether 1234567890ab
这样就可以改成功了
要想永久改就这样
在/etc/rc.d/rc.local里加上这三句(也可以在/etc/init.d/network里加下面三行)
ifconfig eth0 down
ifconfig eth0 hw ether 1234567890ab
ifconfig eth0 up
另:
在win2000中改MAC地址的方法：
打开注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\子键，在该子键下的0000，0001，0002等分支中查找DriverDesc，在0000子键下天一个字符串项，命名为NetworkAddress，键值设为修改后的MAC地址，要求为连续的12个16进制数，如1234567890AB(注意位数要对！不能是000000000000，不能与别的机器重复)。然后在0000下的NDI\params中加一项名为NetworkAddress的子键，在该子键下添加名为defau
lt的字符串，键值为修改后的MAC地址，与上面的数值相同。在NetworkAddress的主键下继续添加命名为ParamDesc的字符串，其作用是制定NetworkAddress主键的描述，其值可为“MAC 地址”，这样以后打开网络属性，双击相应的网卡会发现有一个高级设置，其下坐在“MAC地址”的选项，在此修改MAC地址就可以了，修改后需重启。

Windows环境:
用dos，8139的可以改，用realtek的pg8139.exe,比如 是8139c网卡，就改写8139c.cfg文件，第一行就是网卡mac,想怎么改就怎么改

NO.2
另外一种方法，我没有试，一种设想，有条件的朋友帮忙试一下。

由于网络执法官的原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC，那么我们可以自己修改IP->MAC的映射，使网络执法官ARP欺骗失效。具体做法如下：
在还没有被封锁的时候进入CMD执行如下命令
e:\>ping 192.168.9.1 (假设此地址位网关。)

Pinging 192.168.9.1 with 32 bytes of data:

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Ping statistics for 192.168.9.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

e:\>arp -a

Interface: 192.168.9.1 on Interface 0x5000003
Internet Address Physical Address Type
192.168.9.1 00-0E-70-32-f1-02 dynamic
(上面的就是网关的MAC)
然后作这样一个批处理文件保存起来。。注意！！！地址要换为你自己的网关的IP和MAC
arp -s 192.168.9.1 00-0E-70-32-f1-02
然后呢，在你被封锁的时候，就执行这个批处理吧。

NO.3

如果解除了网络执法官的封锁可不可以查到使用网络执法官的人究竟是谁呢?答案是可以！(感谢zva提供方法)利用arpkiller的sniffer杀手扫描整个局域网IP段查找处在“混杂”(监听)模式下的计算机，应该就是他了！！！(注意，扫描的时候自己也处在混杂模式，自己不能算哦)
之后做什么呢？就不用我说了吧？哈哈，以毒攻毒，用网络执法官把她封了！

附：

用到的工具在此下载：
网络执法官1.02注册版
http://soft.piaoye.com/downtrojan/lanlawman1.02.zip
arpkiller：
http://www.chinesehack.org/soft/sni...RPKiller1.3.zip

关键词：防备局域网攻击 ZT