从上面的图中我们可以看出，第一层物理层和第二层数据链路层是TCP/IP的基础，而TCP/IP本身并不十分关心低层，因为处在数据链路层的网络设备驱动程序将上层的协议和实际的物理接口隔离开来。网络设备驱动程序位于数据链路层的介质访问子层(MAC)。

TCP/IP使用32位的IP地址，以太网则使用48位的硬件地址，这个硬件地址也就是网卡的MAC地址，两者间使用ARP和RARP协议进行相互转换。

在每台连网的计算机上都保存着一份ARP缓存表，ARP缓存表中存放着和它连入的计算机的IP地址和MAC地址的对照表，每台计算机在和其他计算机连接时都会查询本地的ARP缓存表，找到了对方的IP地址的MAC地址，那么就会进行数据传输，目的地就是对方的MAC地址。如果这台计算机中没有对方的ARP记录，那么它首先要广播一次ARP请求，连网的计算机都能收到这个广播信息，当对方的计算机接收到请求后就发送一个应答，应答中包含有对方的MAC地址，当前计算机接收到对方的应答，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。

因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态更新的。

以太网采用广播机制，所有与网络连接的工作站都可以看到网络上传递的数据。在正常的情况下，一个网络接口应该只响应这样的两种数据帧：

1.          与自己硬件地址相匹配的数据帧。　 　　

2.          发向所有机器的广播数据帧。　

数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式：

广播方式：该模式下的网卡能够接收网络中的广播信息。

组播方式：设置在该模式下的网卡能够接收组播数据。

直接方式：在这种模式下，只有目的网卡才能接收该数据。

混杂方式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。

EtherPeek NX正是使用了网卡的混杂模式，让网卡接收一切它所能接收的数据，这就是EtherPeek NX的基本工作原理。知道了它的工作原理我们就可以用它来进行网络数据包的截取和分析以及控制了。

四、EtherPeek NX对NetRobocop数据包的截取和分析

正因为EtherPeek NX能接收局域网中的所有数据，并能对数据进行分析，那么我们可以利用它来进行网络上数据的分析和侦察，找出网络中非法数据，并对它作出有效的控制。下面就以网络工具软件NetRobocop（网络执法官）为例来用EtherPeek NX对它的数据包进行分析。

NetRobocop这个软件用于管理局域网，它可以获取每个IP地址和MAC地址的对应表，也能反映网络用户的连接状况，可以限定各机器（包括计算机和指定了IP的网络设备）所用的IP、上网时段，以及阻止未经登记的计算机与网络连接，记录与网络连接的各机器的上网时间。但是它一旦被人非法使用就会造成网络的混乱，而且NetRobocop这个工具软件也没有公布它的原理，用EtherPeek NX对它数据包的分析也能了解一下这个软件的原理。

以下使用了局域网中三台计算机，分别是：

计算机A   IP地址192.168.11.1   MAC地址 00-e0-4c-3c-0f-14     

计算机B   IP地址192.168.11.2   MAC地址 00-e0-4c-02-88-24  

计算机C   IP地址192.168.11.3   MAC地址 00-e0-4c-3c-05-20    

其中在计算机C上安装了NetRobocop软件和EtherPeek NX软件。

在没有运行NetRobocop的正常网络情况下，我们查询计算机A和B的ARP缓存表如下：

计算机A上  C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.1 on Interface 0x1000002

  Internet Address      Physical Address      Type

  192.168.11.2        00-e0-4c-3b-f0-46     dynamic

  192.168.11.3        00-e0-4c-3c-05-20     dynamic

计算机B上  C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.2 on Interface 0x1000002

  Internet Address      Physical Address      Type

  192.168.11.1        00-e0-4c-3c-0f-14     dynamic

  192.168.11.3        00-e0-4c-3c-05-20     dynamic

在运行了NetRobocop后，它会列出所有设定IP地址网段内连网的计算机，显示了包括该计算机的IP地址、MAC地址、计算机名字、上线时间及网卡型号等信息。在没有对其他用户限制权限时，通过EtherPeek NX的Capture功能获取数据进行分析可以看到，NetRobocop是通过不停的向网络上发送某个网段内的所有IP地址的ARP请求数据，询问对方计算机的MAC地址，每台计算机在收到这个ARP请求数据后就返回一个ARP响应数据，返回给发送方自己的MAC地址，对这个正常的ARP响应数据分析显示它的信息如下（计算机B发送给计算机C的ARP响应）：

  Flags:        0x00

  Status:       0x00

  Packet Length:64                           / 数据包长度

  Timestamp:    11:04:07.168000 09/25/2003

Ethernet Header

  Destination:          00:E0:4C:3C:05:20    / 目标MAC地址

  Source:               00:E0:4C:3B:F0:46    / 源MAC地址

  Protocol Type:        0x0806  IP ARP        / 协议类型

ARP - Address Resolution Protocol

  Hardware:             1  Ethernet (10Mb)

  Protocol:             0x0800  IP

  Hardware Address Length:6

  Protocol Address Length:4

  Operation:            2  ARP Response        / ARP响应

  Sender Hardware Address:00:E0:4C:3B:F0:46  / 发送方MAC地址

  Sender Internet Address:192.168.11.2       / 发送方IP地址

  Target Hardware Address:00:E0:4C:3C:05:20  / 接收方MAC地址

  Target Internet Address:192.168.11.3       / 接收方IP地址

Extra bytes

  Number of bytes:

  ................  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

  ..                00 00                     / 填充数据

FCS - Frame Check Sequence

  FCS (Calculated):     0xDEC47B2A            / 校验和

这时候的网络充满了ARP请求数据和ARP响应数据，这些数据占用了很大的网络带宽，降低了网络的流量和利用率,不管你是通过Capture获取数据的方式来分析或者利用EtherPeek NX的协议类型数据分析或者流量分析都可以看出。

接下来就进行NetRobocop的限制权限功能，看看它到底是怎样限制网络上用户的连网的。在计算机C上对计算机B进行限制，禁止它和其它主机相连。这时候查看计算机A和计算机B的ARP缓存表可以看出来它把各自计算机的ARP缓存表中计算机A和计算机B的MAC地址（下面框出来的部分）给换掉了。

计算机A上  C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.1 on Interface 0x1000002

  Internet Address      Physical Address      Type

  192.168.11.2        00-e0-4c-02-88-24     dynamic

  192.168.11.3        00-e0-4c-3c-05-20     dynamic

计算机B上  C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.2 on Interface 0x1000002

  Internet Address      Physical Address      Type

  192.168.11.1        00-e0-4c-05-77-76     dynamic

  192.168.11.3        00-e0-4c-3c-05-20     dynamic

其实这就是一个ARP欺骗。这时候如果计算机B有发送到IP为192.168.11.1的计算机A的数据通过查找ARP缓存表就转换成其它的MAC地址，数据到达计算机A后它通过对照MAC地址，发现不是自己的MAC地址就丢弃这个数据，计算机A就收不到计算机B发来的数据，也就是计算机B不能连通计算机A。但是计算机C为了还能控制计算机B，它不修改自己的MAC地址，保持着和计算机B的通信。

实现这个ARP欺骗的过程通过EtherPeek NX的数据截取和分析可以看出它采用的也是ARP响应数据。ARP协议并不只在发送了ARP请求数据才接收ARP响应数据。当计算机接收到ARP响应数据的时候，就会对本地的ARP缓存表进行更新，将ARP响应中的IP地址和MAC地址存储在ARP缓存表中。

这个ARP欺骗的ARP响应数据其实就是计算机C借用了计算机A的IP地址向计算机B发送了一个随机伪造的MAC地址，它的数据包如下：

  Flags:        0x00

  Status:       0x00

  Packet Length:64

  Timestamp:    11:04:08.318000 09/25/2003

Ethernet Header

  Destination:          00:E0:4C:3B:F0:46

  Source:               00:E0:4C:05:77:76       / 伪造的MAC地址

  Protocol Type:        0x0806  IP ARP

ARP - Address Resolution Protocol

  Hardware:             1  Ethernet (10Mb)

  Protocol:             0x0800  IP

  Hardware Address Length:6

  Protocol Address Length:4

  Operation:            2  ARP Response

  Sender Hardware Address:00:E0:4C:05:77:76       / 伪造的MAC地址

  Sender Internet Address:192.168.11.1            / 伪造的计算机A的IP地址

  Target Hardware Address:00:E0:4C:3B:F0:46

  Target Internet Address:192.168.11.2

Extra bytes

  Number of bytes:

                    20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20

                    20 20

FCS - Frame Check Sequence

  FCS (Calculated):     0xC3277168

ARP缓存表是动态更新的，如果只发送一个这样的带ARP欺骗的ARP响应数据，在经过一段时候没有通信后它就会从ARP缓存表中删除，下次再有连接的话就再进行ARP请求和ARP响应，更新成正确的MAC地址。为了防止ARP缓存更新，NetRobocop在一直不停地给计算机B发送这个带ARP欺骗的ARP响应数据。同时它也一直不停的向计算机A发送带ARP欺骗的ARP响应数据，这样就可以完全阻止计算机A和计算机B的双方的通信。

如果发送方和接收方的IP地址一样会怎样呢？也就是我们经常见到的IP地址冲突警告，NetRobocop就是利用它来产生IP地址冲突的。计算机C发给计算机A的IP冲突的ARP响应数据如下：

  Flags:        0x00

  Status:       0x01

  Packet Length:64

  Timestamp:    11:06:29.841000 09/25/2003

Ethernet Header

  Destination:          00:E0:4C:3C:0F:14

  Source:               00:E0:4C:78:84:6B      / 伪造的MAC地址

  Protocol Type:        0x0806  IP ARP

ARP - Address Resolution Protocol

  Hardware:             1  Ethernet (10Mb)

  Protocol:             0x0800  IP

  Hardware Address Length:6

  Protocol Address Length:4

  Operation:            2  ARP Response

  Sender Hardware Address:00:E0:4C:78:84:6B      / 伪造的MAC地址

  Sender Internet Address:192.168.11.1           / 伪造的和接收方相同的IP地址

  Target Hardware Address:00:E0:4C:3C:0F:14

  Target Internet Address:192.168.11.1

Extra bytes

  Number of bytes:

  ................  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

  ..                00 00

FCS - Frame Check Sequence

  FCS (Calculated):     0xFE9194DA

这样，计算机A在收到这个带IP冲突的ARP响应数据后，网卡在检测到发送方和接收方使用了相同的IP地址，就会产生一个IP地址冲突中断，CPU接收中断后就弹出一个警告窗口。这个带IP冲突的ARP响应数据也是在一直不停地发送的，所以计算机A就一直收到这个IP冲突警告。

五、EtherPeek NX对NetRobocop的解决方法

通过对NetRobocop数据的截取和分析，了解了NetRobocop这个网络软件的基本原理。一旦这个软件被非法使用，某些用户可能被非法限制权限后就很难摆脱它的控制，而且它是利用网络的底层功能ARP欺骗来实现控制，没有什么现成的工具和软件来阻止这种限制，除非它对你取消限制权限才有可能正常连网使用。那我们对这种限制是否就束手无策了呢？答案当然是否定的，其实我们可以用NetRobocop的ARP欺骗原理来进行反击，摆脱它的控制，保持网络的正常状态。当然在这种情况下，网络上就会充满了这些ARP的数据包，占用很大的网络流量，影响正常的网络使用。使用的方法可以这样来实现，因为一旦受到NetRobocop的限制，你已经没办法和其他计算机进行通信，但控制你的那台计算机还可以和你通信，我们就是利用它的这个线索找到控制你的计算机，通过EtherPeek NX的Capture功能就可以发现，找出它的IP地址和MAC地址，然后通过EtherPeek NX的发送数据功能给它也发送带ARP欺骗的ARP响应数据，让它断开和其他计算机的连接，从而摆脱它的控制。

六、结束语

如EtherPeek NX和NetRobocop这些网络工具可以被网管人员用于加强安全性、加强网络的自由度，也可以被恶意用户用于非法的网络活动。我们只要能分析了这些网络工具的原理，就能用这些工具来更好地维护网络的安全和畅通。

转载地址：http://www.net130.com/CMS/Pub/network/network_manage/0722.htm