ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表怎么查别人电脑ip地址,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机比如B都收到ARP请求,但唯有主机识别自己的IP地址,于是向主机发回一个ARP响应报文。其中就包括有B的MAC地址,A接收到B的应答后,就会升级本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的之后,就会对本地的ARP缓存进行升级,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B发送一个自己伪造的ARP应答,而即使这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会升级本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址早已不是以前那些了。由于局域网的网路流通不是按照IP地址进行,而是根据MAC地址进行传输。
然而,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样才会产生网络不通,导致不能Ping通C!这就是一个简单的ARP欺骗。2.网络执法官利用的就是这个原理!在网络执法官中,要想限制某台机器上网,只要单击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选取"权限",在跳出的对话框中就能限制该用户的权限。对于未登记网卡,可以这么限定其上线:只要设置好所有已知用户(登记)后,将网卡的默认权限改为严禁上线即可阻止所有未知的网卡上线。使用这两个用途就可限制客户上网。其原理是借助ARP欺骗发给被伤害的手机一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。3.修改MAC地址突破网络执法官的封锁根据前面的预测,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而超过突破封锁的目的。下面是设置网卡MAC地址的方式:在"起初"菜单的"运行"中键入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}子键,在子键下的0000,0001,0002等分支中查找DriverDesc(即使你有一块以上的网卡,就有0001,0002......在此处保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel21041basedEthernetController),在此处假设你的网卡在0000子键。
在0000子键下添加一个数组串,命名为"NetworkAddress",键值为设置后的MAC地址,要求为连续的1216进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字节串,键值为设置后的MAC在NetworkAddress的子键下再次确立名为"ParamDesc"的字符串,其作用为指定NetworkAddress的表述,其值可为"MACAddress"。这样之后开启网络邻居的"属性",双击相应的网卡就会看到有一个"高级"设定,其下存在MACAddress的选项,它就是你在注册表中加入的新项"NetworkAddress",以后即使在此设置MAC地址就可以了。关闭注册表,重新开启,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会看到有一个MACAddress的高级设置项,用于直接更改MAC地址。MAC地址也叫物理地址、硬件地址或链路地址,由网络设施制造商生产时写在软件外部。这个地址与网络无关,即无论将具有这个地址的软件(如硬盘、集线器、路由器等)接入到网络的何处,它都有相似的MAC地址,MAC地址通常不可改变,不能由用户自己设定。
MAC地址一般表示为12个16进制数,每2个16字节数之间用逗号隔开,如:08:00:20:0A:8C:6D是一个MAC地址,其中前6位16进制数,08:00:20代表网络软件生产商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该生产商所制造的某个网络产品(如网卡)的系列号。每个网络制造商需要保证它所生产的每个以太网设备都带有同样的前三字节或者不同的后三个字节。这样就可保证全球上每位以太网设备都带有唯一的MAC地址。另外,网络执法官的原理是借助ARP欺骗发给某台手机有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们设置IP到MAC的映射就可使网络执法官的ARP欺骗失效,就分开突破它的限制。你可以事先Ping一下网关,然后再用ARP命令得到网关的MAC地址,最后用ARPIP网卡MAC地址命令把网关的IP地址和它的MAC地址映射出来就可以了。4.找到使你能够上网的别人解除了网络执法官的封锁后,我们可以运用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"方式下的计算机,就可以看到别人了。具体办法是:运行Arpkiller2),然后点击"Sniffer监测软件",在发生的"Sniffer杀手"窗口中输入测试的起始和终止IP(图3),单击"起初检测"就可以了。检测完成后,如果相应的IP是绿帽子图标,说明这个IP进入正常方式怎么查别人电脑ip地址,如果是红帽子则表明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。扫描时自己也处在混杂模式,把自己不能算在其中哦!找到别人后如何对抗他就是你的事了,比方说你可以借助网络执法官把别人也给封锁了