Board logo

标题: [技术文章] 防范“局域网终结者”攻击(转) [打印本页]

作者: shillan    时间: 2008-12-10 23:12     标题: 防范“局域网终结者”攻击(转)

  今天我和许多同学的机都弹出ip冲突的对话框,而且没10秒种左右出现一次,导致上不了网!真气人!看来是有人用了一些“局域网终结者”或“网络执法官”之类的软件恶意把我们踢出来,其目的很明显,他想独占带宽!!(竟然有这么自私的家伙!!)
  记得以前看过一篇文章,里面提到修改网卡mac地址可以骗过网络执法官,于是我修改了我的网卡mac地址,但是修改后问题依旧!这样看来对方用的应该不是"网络执法官"了!!看来只好拨号上网找下有没方法解救了!但是,我用google搜遍了也只找到一个方法!就是把mac地址和ip地址进行绑定,然而该操作须在交换机上进行才能达到目的!难道就没有别的方法可以防范了吗?
  今晚上网在“小凤居”中看了一篇题为“局域网arp攻击的简要分析与防范”的文章,才了解到“局域网终结者”攻击时会构造假的mac地址,所以在被攻击的主机上出现的“ip冲突”对话框或事件日志中看到的那个mac地址不是攻击者的网卡mac地址!也就是说我们从中并不能找到攻击者!而从文章的截图我看到该文章的作者在试验时其“局域网终结者”所构造的mac地址前面四个字节是0006 ,从这里我意识到了一点东西,在今天我和我同学几十部机发生ip冲突时,我抄下了各部机发生ip冲突时那个与其冲突的mac地址,发现有一个共同特征,就是前4个字节都是0006,而后面的字节各不相同!而我用“mac扫描器”扫了网内的主机都没发现有0006开头的mac地址!事后根据多次测试,发现局域网终结者构造的假mac地址前4字节都是0006
  看来那个攻击我们的人使用的工具正是“局域网终结者”!在了解到它的攻击原理后我有个想法,就是:如果我们的网卡的mac地址和“局域网终结者”所构造的那个假的mac地址一样的话会有什么情况呢???呵呵,于是便试了一下!发现只要把我们的网卡mac地址修改为“局域网终结者”所构造的那个假的mac地址,便可以避过它的攻击!修改方法如下:
  首先是要找出“局域网终结者”所构造的那个假的mac地址:
  对于windows 2000/xp ,当发生ip冲突时弹出的对话框中并没有显示那个“局域网终结者”所构造的假mac地址,如下图:

[attach]1489[/attach]


  但我们可以在“日志查看器”的“系统日志”出到它!
查看方法如下:进入“控制面板”,打开“管理工具”,双击“事件查看器”,再点击左边栏中的“系统日志” ,找下“类型”是“错误”,来源为tcpip的事件,如下图:

[attach]1490[/attach]


  找到后便双击它,便会出现如下图的窗口:

[attach]1491[/attach]


  图中红色框中的那个便是“局域网终结者”所构造的假mac地址!
  而对于windows 98/me的用户,出现ip冲突时弹出如下的对话框

[attach]1492[/attach]


  图中画红色框的便是“局域网终结者”所构造的假mac地址!
  把该mac记录起来。
  接下来工作便是把自己网卡的mac地址改为这个mac地址!!修改mac地址的工具有很多,但大多数都只适用于2000/xp,所有这里我推荐用“超级兔子魔法设置”,因为不但简单易用,而且在windows 9x系统中使用同样有效!(注:只有较新版的“兔子魔法设置”才有修改mac的功能)
启动“魔法设置”进入“网络”的设置选项!如下图:

[attach]1493[/attach]


  在图中画着红框的列表框中选择你的网卡,然后在蓝色框输入刚才记录下来的那个mac地址,记得不要输错哦!(可能有些人会把“0”输入为字母“o”,切记在mac地址中不可能有字母“o”,因为mac地址是16进制表示的) 输好后点击“确认修改”,再点击“保存”,接着重新启动计算机,重新启动计算机后你便逃出“局域网终结者”的魔掌了!




欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) Powered by Discuz! 7.2