【论坛热点】家庭共享上网方法浅谈 小区组建小型局域网络共享上网详解
【论坛采风】MAC地址和IP地址的绑定 利用边界防火墙控制外部对内网访问
网吧组网策略及网络产品的选购 【疑难解答】宽带路由器问题解答
【IT168专稿】你可曾因为网速缓慢而恼火?你又可曾因为其他人使用BT或玩网络游戏占用大量带宽而烦恼?你是否希望找到一款简单容易上手的工具可以控制局域网内机器对外网的访问呢?笔者做为一名网管经常尝试一些新的网管工具,最近发现一款非常不错的软件——网络剪刀。
网络剪刀可以控制本网段内任意主机对外网的访问,可以随意开启或关闭其INTERNET访问权限,而访问内部LAN其他机器不存在任何问题。下面就由我为大家详细介绍他的使用方法及对其实现技术的深入剖析。
网络剪刀手(NetCut)小档案:
软件版本:V1.51 软件大小:2484 KB
软件性质:免费软件 运行平台:Win9x/NT/2000/XP
下载地址:http://count.skycn.com/softdownload.php?id=7018&url=http://tj-http.skycn.net:8081/down/cnnetcut.exe
STEP1:下载并安装网络剪刀软件,选择完安装路径后一路“下一步”即可。
 |
STEP2:由于该软件运行需要winpcap的支持,所以还会把winpcap也安装到本地计算机,全部完成后软件会提示要求重新启动计算机。
 |
STEP3:我们运行桌面的netcut图标启动网络剪刀,软件会自动搜索当前网段内的所有主机IP及计算机名,还有各自对应的MAC地址。
&picid=311060.bmp) |
STEP4:我们通过软件最上方的“选择网卡”按钮可以选择搜索计算机及发送数据包所使用的网卡,当然对于本地计算机只有一个网卡的情况软件是自动配置的。
 |
STEP5:软件主界面最上方还有两个按钮分别为“剪断”和“恢复”,通过这两个按钮我们可以随意的开启或关闭局域网内任意一个用户对网关的访问,当然通过控制对网关的访问在一定程度上就是对外网访问的控制。这里我们选择主机名为OFFICE的计算机,他的IP地址为10.91.30.42,然后按“剪断”按钮。
&picid=311062.bmp) |
STEP6:剪断后OFFICE就不能访问网关了,也就不能浏览网页。不过对于局域网内部其他计算机的访问还是没有任何问题的。当然如果想容许他访问INTERNET的话只需按上方的“恢复”即可。
做为一名网管不能只知道如何去控制,如何应对并解决限制也是需要掌握的。下面就是本人对于如何突破限制采取的方法,相信从考虑问题的思路到解决问题的答案都会对您有所帮助。
环境介绍
1、在被切断外网访问权限的主机OFFICE上运行ping 10.91.30.254(网关)不通,ping局域网内其他主机是通的。
2、将安装有网络剪刀那台计算机的网关地址进行修改,如设置为10.91.30.1再对OFFICE进行剪断,发现OFFICE还是可以上外网,说明剪断无效。
思考1:网络剪刀安装在一台计算机上却可以对整个子网内任何一台主机进行上网控制,而且被控制方计算机上没有安装任何远程控制工具或木马插件。这就说明网络剪刀使用的是三层以下的技术造成被控制方与网关连接的失效,三层以下的技术很可能就是用的ARP协议。
思考2:将安装有网络剪刀那台计算机的网关IP地址进行修改后,网络剪刀功能失效。这说明在实际使用中网络剪刀用到了实际网关的地址,这样才能使OFFICE访问外网失效的。
应对方法:
在OFFICE计算机上进入命令行模式(开始->运行->CMD),输入arp -a显示所有ARP解析信息,然后输入arp -d删除所有ARP缓存。这时候发现office机器ping 10.91.30.254(网关地址)已经通了,成功突破了网络剪刀的限制。不过在实际使用中发现网络剪刀会定期工作剪断OFFICE,造成OFFICE不能上外网,也就是说即使执行了arp -d命令也只能保证可以成功连接外网一段时间,间隔时间过后OFFICE又不能上网了,这时还需要再次执行arp -d命令来突破限制。
通过上面的分析及应对方法我们可以明确的得出这样的结论,那就是该软件确实使用了ARP协议来实现对本LAN内计算机访问外网进行控制。我们来跟着笔者通过SNIFFER POR来深入剖析下他的数据包,在用SNIFFER之前先让我们了解下关于ARP欺骗的知识。
同一网段的ARP欺骗:
三台主机ABC,ip地址依次为192.168.0.1,192.168.0.2,192.168.0.3,硬件MAC地址依次为AA:AA:AA:AA:AA:AA,BB:BB:BB:BB:BB:BB,CC:CC:CC:CC:CC:CC。三台计算机处在同一个LAN内。主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙并且防火墙只对主机C有信任关系(例如开放23端口),而且主机A和主机C之间的信任关系是建立在硬件地址的基础上,通过简单的修改IP地址是不能实现的。
这时就要用到ARP欺的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。因为ARP协议并没有规定必须在接收到arp_echo后才可以发送响应包,所以我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机A。这就是ARP欺骗的全过程。
SNIFFER抓包分析:
当在控制机剪断OFFICE前用SNIFFER PRO进行监控,剪断后发现控机发出了几个ARP解析数据包。
&picid=n42483.bmp) |
大家可以看到该数据包接收方IP为10.91.30.42即OFFICE的IP地址,而发送方不是控制机而是网关10.91.30.254,而且这里的网关IP对应的MAC地址是CIF5B9E2C3F7,这个MAC地址实际上是不存在的,也就是说告诉给OFFICE计算机一个不存在的网关,造成他连接网关出错不能正常上外网。
&picid=n42493.bmp) |
当在控制机上执行了恢复按钮后再用SNIFFER监控会发现另一个ARP数据包,该数据包告诉10.91.30.42(OFFICE)重新寻找网关10.91.30.254对应的MAC,之后OFFICE将通过ARP广播找到正确的网关MAC地址,从而正常连接外网。
总结:
现在的网络工具功能是越来越强大了,可以在不安装客户端的前提下控制其他机器的外网访问,大家可以试想如果LAN内某个用户安装了网络剪刀并随便切断其他计算机的外网访问的话会给整个网络带来多大的灾难啊,而且排查起故障来也非常困难。当然从这个工具的实现方法中我们还可以得出一个结论,那就是当有些网络故障发生而且无法检测出来时可以查看一,二层协议,即数据链路层及物理层。
