如何保护自己的机器不受“网络执法官”盗用IP地址及密码

[信息来源：信息中心　录入：信息中心　　发表时间：2004-3-23 14:30:22 ]

 

    大家最近可能都听说过一个软件“网络执法官”，此软件本来是一个不错的网络管理软件，可却被一些别有用心的人用来为非作歹，经过研究发现此软件是一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机（包括各种计算机、交换机等配有IP的网络设备）进行监控和管理，甚至可把合法用户赶下线来，造成学校网络使用混乱，影响相当恶劣。因它采用的是二层ARP协议，各种防火墙软件对此也是无可奈何。

    攻击的原理：对外发布被控IP主机的错误MAC，使局域网到此IP主机的数据包都被发到一个错误的MAC地址，从而达到断开该主机与局域网的连接（包括网关），如果学过CCNA应该知道此中的攻击原理，在此就不多说了。但有一点要提醒大家，近期网络中心会对全校的“网络协管员”进行一次技术培训，培训内容包括了如何从局域网中找出运行网络执法官的主机，学校也制定了相关规定，对严重影响校园网使用的学生将处以留校查看以上的处份，对校内职工将给予通报批评以上的处份。如何找出运行网络执法官的主机，在此就不便多说了，奉劝那些运行网络执法官的人尽早罢手。接下来告诉大家如何通过修改本机网卡的MAC，改变已有IP->MAC的映射，使网络执法官ARP欺骗失效，从而摆脱网络执法官的纠缠，以下介绍适用的计算机包拖括WIN2000，WINXP，WIN2003；如果你使用的是WIN98系列，网卡类型是realtek 8139c的，就改写8139c.cfg文件，第一行就是网卡mac,想怎么改就怎么改，但WIN98改后要重起，比较麻烦，也会让你失去先机，其它类型的网卡请查找相关资料解决，当然最好的办法就是升级到WIN2000系列。

1、  右键点击网上邻居——属性——打开了“网络和拨号连接属性”

右键点击你要修改MAC的网卡，在弹出窗口中选属性，打开如下窗口

点配置打开如下窗口

点击“network address”（如你的网络属性里没有此项，请参考2）缺省的选项是“不存在”，请选择上面的单选框，并填入网卡新的MAC地址值，要求为连续的12个16进制数，如1234567890AB(注意位数要对！不能是000000000000，不能与别的机器重复)，确定你的修改，此时你发现可以正常上网了，网络执法官对你的封锁失效。稍后会失效，如法炮制，再修改一次。为避免非法者获得先机，可把此过程写成.reg文件，发现不能上网后马上直接双击，快速摆脱网络执法官，不然IP被他占了先机可就不妙了。

Chmac.reg文件的内容如下，大家可能会写错，可从网上下载我写好的“改机器mac.reg”文件，

红色字体0000表示在你计算机上对应的可能不是0000，或许是0001，0002之类的，具体为何可查看下图，"000000110101"表示是你要修改的MAC地址，大家不会都设成一样的吧：）

REGEDIT4

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}/0000] 

"NetworkAddress"="000000110101"

2、  如网卡中找不到“network address”项，可修改注册表以添加此项，下面是“改注册表mac.reg”文件的内容，红色的0000解释同上，也可手工在注册表中添加，如担心输错，从网上下载“改注册表mac.reg”文件。

EGEDIT4 

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}/0000] 

"NetworkAddress"="000000110101" 

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}/0000/NDI/params/NetworkAddress] 

"default"="000000110101" 

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}/0000/NDI/params/NetworkAddress] 

"ParamDesc"="njmars mac" 

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}/0000/NDI/params/NetworkAddress] 

"Limit Text"="12" 

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}/0000/NDI/params/NetworkAddress] 

"optional"="1" 

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}/0000/NDI/params/NetworkAddress] 

"type"="edit"