今晚逛某论坛，无聊下了个网络执法官（http://www.ttdown.com/SoftView/SoftView_22682.html），
一试，大惊失色，它真的可以做到对本网段的ip进行权限控制，可以做时间段控制，可以做访问ip控制，甚至是中断网络
忧心崇崇 如果这个工作在我校学生宿舍传播 那后果不堪设想 （本人是高校网络中心教师）
请问兄弟们有谁分析过这个软件的工作原理？它是怎么做到的 发的是什么样的包？那么根据它的通讯特征有什么应对方法没有？（我初步看了下简介 好像它是通过55555端口来通讯的 是不是封住这个端口就可以了 不过这都这个软件介绍的 我就不相信这个软件的正式版本或者是企业版不能改其他的端口 甚至是变动的端口） 大侠们都来看看吧 都来抓包分析看看吧

怎么感觉有点像是做广告？

NO ，不是什么通过55555端口来通讯的，而是开发者为了降低这玩意的隐蔽性而特意设置的，只要网络中存在网络执法官，它就会自动的连接整个网段机器的55555端口从而暴露出自己来。
好象如果有人购买正式版就可以取消自动连接55555端口，这个软件总的来说功能是不错的，要谁下线就下线，可惜只能在一个网段内。
高校网络中心的资源还对付不了这个，不可能吧，其实所有的网络管理之中就是学校的（特别是学生的网络）最好管理，你用啊，你扫描啊，你放毒啊你给我做代理啊，一经发现啥事不做，把交换机端口一拔，坐着等K人就是了。

不是做广告啊　大哥　我是想如果这个软件在学生宿舍泛滥的话　那我的工作岂不是多了许多雷区　到时候是到处救火了　要命啊　如果不急　我也不会传呼各位大哥了

蠕虫大哥你说的是没错　是可以这么做　但是我们考虑的是比较一劳永逸的做法　技术手段层面的控制　而且到时候还有行政办公网　没有绑定ｉｐ　那个查起来就不是很方便

其实网络执法官和LAN终结者工作原理是一样的,即Arp欺骗,只能作用于同二层内,及data link player.

有专门检测这类手段的小工具， 网上很多,其原理是检查谁的mac地址处于混合模式.

以下是lockets姐姐曾经发过的工具和反击方法,可能对你有用:


反击“终结者”有几个办法：
1：发动比他更强烈的攻击：
arpfree 123412341234 ffffffffffff request 192.168.237.58 fast
                                                                      |
                                                                      |
                                                          这里是你想攻击的人的IP地址
2：交换机竞争：

arpfree 00c04c395a3c 123412341234 request 1.1.1.1. fast
                      |
                      |
        这里是你想攻击的人的MAC地址

1:情况将导致他IP地址冲突（比“终结者”来的猛烈多了）

2：情况将使得他无法连接网络（由于交换机把他的流量都给你了）

晕了,我快速回复怎么加附件啊?

楼主的担心是必要的，但是要相信魔高一尺道高一丈，呵呵，楼上说的方法可以试一试。我认为在高校里面一定要结合制度来管理，因为终端的数量实在太多，而且对终端是松散式管理，不可能做到像研究所那样封掉所有外设。所有你要有很好用的监控手段，发现违反规定的马上断网，叫他去急来找你，但是一定要用日志记录哦，增强抗抵赖性，呵呵！！！！！

我这里的解决方案：
假如你的IP是10.81.33.45 掩码是255.255.248.0 网关10.81.39.254
首先把自己的网关改为一其他网段的IP（如10.81.254.254)，在路由器(或三层交换机）开proxy arp的情况下，你就可以直接上网了。否则，用arp -s 10.81.254.254 00-11-22-33-44-55 即可，此处00-11-22-33-44-55为10.81.39.254的mac地址 。这样就突破了网络执法官对关键主机（此处指网关）的限制。至于网段内的通信还是会受影响的
，只有先找到那台机器，以牙还牙，同样以ARP spoofing反击它，或报告网管了

大大　是否有适合高校校园网的监控管理相关软件和介绍
我们就ｓｎｉｆｆｅｒ抓抓包什么的　还有一个802.1Ｘ认证ｒａｄｉｕｓ　可以做做监控

引用:

Originally posted by kemu at 2005-4-21 09:07:
大大　是否有适合高校校园网的监控管理相关软件和介绍
我们就ｓｎｉｆｆｅｒ抓抓包什么的　还有一个802.1Ｘ认证ｒａｄｉｕｓ　可以做做监控

这要看你们具体的需求是怎么样的了

主要是基于网络安全方面的考虑　如何保证网络更稳定　提高网络的自愈性　限制病毒在网络中的传播　防止私设代理　通过分析　有针对性的优化网络应用

引用:

Originally posted by haiwanxue at 2005-4-21 01:32 AM:
其实网络执法官和LAN终结者工作原理是一样的,即Arp欺骗,只能作用于同二层内,及data link player.

有专门检测这类手段的小工具， 网上很多,其原理是检查谁的mac地址处于混合模式.

以下是lockets姐姐曾经发过 ...

怎么不行啊？5555555555555555

希望能说清楚点,mac混合模式?无法发出攻击包?无法进行交换机竞争?

后两者暂时还没有实验,但前者是没有问题的!抓包也可以看出了,随便用一个工具,如pro sniffer,那个发出arp欺骗的用户一定占用很大带宽!

我想反击一下，该命令老是提示：opening adapter ............... failed!
还有您说可以检查mac混合模式?请问具体怎么做？谢谢。

大家出现：opening adapter ............... failed!

主要是由于要使用ARP欺骗，就必须启动ip路由功能。具体方法如下：

修改(添加)注册表选项：

　　  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter = 0x1

就可以了，这个我当时没说清楚，请大家见谅了~~：）

[ Last edited by lockets on 2005-4-22 at 13:07 ]

怎么我改了之后还是不行啊，在WIN2000的路由和远程访问里面打开，也不行

引用:

Originally posted by 蠕虫 at 2005-4-21 01:05 AM:
NO ，不是什么通过55555端口来通讯的，而是开发者为了降低这玩意的隐蔽性而特意设置的，只要网络中存在网络执法官，它就会自动的连接整个网段机器的55555端口从而暴露出自己来。
好象如果有人购买正式版就可以取 ...

我觉得也没这么夸张。。。

大不了，我改MAC，自己静态ARP。。
我估计它也就是对付对付普通人群

哇~ 是不是说真的有软件可以管理一个局域网内的带宽分配了?
这样如果一个宿舍的同学在用BT狂下东西 ,偷偷把他毙了他还不知道呢??
同学说不能实现的 ,是真还是假?

呵呵，我们公司出的软件比这个要好多了，功能也比它强，但就是要钱，还是用免费的吧！