扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
网络执法官是一款网管软件,可用于管理局域网,能禁止局域网任意机器连接网络。对网管来说,这个功能很实用,可是,现在这一优秀的管理工具软件,却成为许多捣乱分子的“凶器”,他们经常利用这一功能禁止一些机器正常上网。
不过,只要充分了解网络执法官的具体功能,就可以轻松对付这些恶意的捣乱了。
一、网络执法官简介
在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe ,都可以穿透防火墙、实时监控、记录整个局域网用户上线情况,限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理,适合局域网管理员使用。
在网络执法官中,如想限制某台机器上网,只要点击“网卡”菜单中的“权限”,选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择“权限”即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:设定好所有已知用户(登记),将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。
二、网络执法官的功能
1、查看机器流量:对于在网络执法官监控范围内的客户机,在主界面中,点一下客户机的网卡,然后查看“本机状态”就可以看到这台机器的流量了。网络执法官与Sniffer软件一样,都可以查看网络中客户机的数据流量,但网络执法官不如Sniffer的流量显示方便直观。
2、智能监控:运行网络执法官软件后,可以通过“网卡”菜单中的“权限”限制一部分机器上网,这个功能很容易被捣乱分子利用来搞破坏。机器上安装并运行网络执法官软件后,机器图标在网络执法官软件中是红色的,其他正常运行的机器是淡绿色(如图3)。红色代表机器处于网络混杂模式,利用这点可以轻松找到运行网络执法官软件的机器,从而就可以找到搞破坏者所在的机器了。但是,在手工监控时一定要注意,我们本机也是安装了网络执法官软件的,机器也处于网络混杂模式,千万不要把自己清除出去了。
如果发现网络中有捣乱者,网络执法官的监控功能会自动发出警报的。可以在网络执法官“设置”菜单中找到“安全”选项,设置管理机器的IP,当网络中有破坏者捣乱时,机器就会自动发出声音提示。这一智能监控功能,大大方便了对一些利用网络执法官捣乱者的监控。
三、典型应用——封杀“传奇杀手木马程序”
传奇杀手病毒,是专门为了盗窃传奇帐号和密码而开发的一种木马软件,通过对局域网进行ARP欺骗,虚拟网吧网关地址以收集局域网中传奇游戏登陆信息并进行分析,从而得到用户信息的破坏性木马软件。
传奇杀手木马程序的出现,使很多网吧用户受到了攻击,有一些用户在安装有传奇多面手木马程序的网吧运行传奇程序,结果帐号和密码被盗,网吧老板为此不得不赔偿用户的经济损失。盛大密保虽然可以解决帐号和密码被盗的难题,但一些用户不愿意增加成本来保护自己帐号和密码的安全。因此,传奇杀手木马程序成为令网吧维护人员头疼的一大技术难题。
想要监控传奇杀手木马程序,必须先搞清楚它的工作流程。首先,它将安装了传奇杀手机器的MAC通过ARP欺骗广播至局域网,使局域网中的工作站误认为本机是网络的网关。该流程会造成局域网与Internet连接中断,使游戏与服务器断开连接。
当用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关传递到代理服务器,而是把信息传送到正在进行ARP欺骗的传奇杀手软件中。传奇杀手自身有对传奇帐号的解密手段,从而可以轻松获得该帐户的真实用户名及密码,达到窃取玩家帐号的目的。由此可以看出,使用网络执法官并配合ARP命令,对传奇木马有一定的预防作用。
在没有网络执法官的情况下,可以使用ARP命令检查网络中是否有人使用传奇杀手木马程序。根据传奇杀手木马的原理,传奇杀手是制造虚假的网关IP地址和MAC地址,因此在客户机上使用ARP -a命令查看,如果有重复的MAC地址,则可以断定网络中有人使用传奇杀手木马程序。
要想查到在哪一台机器上安装了传奇杀手木马,可以使用Ipbook类似的工具,查看当前网络中所有机器的MAC地址,并加以对比。由于运行传奇杀手木马程序的机器IP地址被更改,只能通过查询机器的MAC地址找到该机器,找到该机器后,将机器重新启动,再查找传奇杀手程序并删除就可以了。
如果用网络执法官就容易多了,其预防封杀传奇杀手方案如下:
1、传奇杀手与网络执法官的工作原理比较
细心的网管不难发现,网络执法官的工作原理与传奇杀手的工作原理相比,在某些方面是极为相似的。网络执法官在对网络中的机器进行管理时,运行网络执法的机器,通过ARP欺骗发给被管理的电脑一个假的网关IP地址及对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止机器上网。对于传奇杀手木马程序,当此程序工作时,也是通过安装此程序的机器发ARP欺骗给网络中的机器,ARP的欺骗信息也是一个虚假的网关IP及对应的MAC地址。
由此可以发现,网络执法官与传奇杀手木马程序的工作原理是基本相同的。如果在同一个网络中,分别在两台机器上安装了网络执法官程序,由于网络执法官的工作在混杂模式下,同时启动后,通过任何一台机器的网络执法官程序都可以看到,网络中有两台机器处于混杂模式下工作。这样,可以通过网络执法官程序看到另外一台安装有网络执法官程序机器的MAC地址,从而轻松找到另外一台安装有网络执法官程序的机器。
2、彻底封杀传奇杀手木马程序
根据传奇杀手木马程序工作原理,传奇杀手也是向网络广播虚假的网关地址及MAC地址消息,这是否意味着,当在有传奇杀手程序工作的网络中安装网络执法官程序后,可以看到有两台机器也是处在网络混杂模式下?经过小片的实验证实,传奇杀手木马程序与网络执法官程序的工作原理是一致的。只要网络中有传奇杀手程序在运行,就可以通过网络执法官程序来监控。
为彻底封杀传奇杀手木马程序,有效保证用户传奇帐号和密码的安全。可以在网吧收银机端安装网络执法官程序,并且按照上文的叙述设置智能监控。当网络执法官监控程序发现网络中有传奇杀手木马程序工作时,会自动发生声音警报,以此来警告来上网的用户。这样技术人员就可以在第一时间内发现传奇杀手木马程序,然后用最快的时间关闭传奇杀手程序。(完)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者