来源:蜘蛛抓取(WebSpider)
时间:2016-07-15 04:09
标签:
内网穿透映射工具
博客访问: 10748
博文数量: 11
博客积分: 20
博客等级: 民兵
技术积分: 70
注册时间:
IT168企业级官微
微信号:IT168qiye
系统架构师大会
微信号:SACC2013
分类: LINUX
总结的不错
概在一年前我就研究过P2P技术,但始终攻不破NAT内网穿透这个难题(因为本人小菜,对于网上说的一些原理始终没看明白),所以也渐渐开始淡忘这门技术
了。(用了P2P技术,就可以实现无需路由的端口映射内网与内网或内网于外网直接的通讯,记得在邪八的一位大牛在谈下一代木马问题的时候就说过:下一代的
木马应该用P2P技术在网络组建巨大的P2P网络,而控制端就隐藏在这巨大的P2P网络中,大大提高控制端在网络中的隐身程度)
& && && &前几天我突然对P2P技术又产生了浓厚的兴趣(也不记得是出于什么原因了),并且研究了一个下午之后终于弄清楚它的原理并用了半天时间写了一个简易的基于P2P协议的聊天工具,具体源码我会在“编程技术”这个板块发布。
& && && &注意,文章比较长,想掌握P2P技术的请认真看完,好好理解,不懂的可以回帖提问,我会尽我能力进行解答!因为本猪能力有限,文章出现的错误还请大牛们不吝改正。
& && && &PS:红色的文字代表重点;蓝色的表示次重点
& && && &首先先了解一下P2P技术,下面的文章源于百度(增加了个人的说明)。
& && && &点对点技术(peer-to-peer, 简称P2P)又称对等互联网络技术,是一种网络新技术,依赖网络中参与者的计算能力和带宽,而不是把依赖都聚集在较少的几台服务器上(这种技术可以大大减轻服务器的负担)。P2P网络通常用于通过Ad Hoc连接来连接节点(从而实现了节点之间的通讯)。这类网络可以用于多种用途,各种档案分享软件已经得到了广泛的使用(QQ聊天、迅雷、大部分网络播放器都使用了该技术)。& &&其他介绍请看:& &&&还有关于NAT的介绍的百科:&&(有兴趣了解的可以去看看,不看也行,这篇文章里我会进行部分介绍)
& && && &其实P2P技术并不难,关键了理解了其中的原理,实现了NAT内网穿透,那么就可以轻松写出一个基于P2P协议的软件。
& && && &另外需要说下的就是:P2P技术也有基于UDP协议和TCP协议之分,下面我先介绍UDP协议(重点都是在于NAT内网穿透)。 先上一张图(自己画的,画得不好看见谅啊)
箭头代码通讯的意思,还有就是NAT外面就属于外网,里面就是内网。(这张图属于杂P2P或混合P2P)
希望大家可以通过这张图以及我的文章来掌握P2P技术,我也会在排版方面下点功夫。(网络上已经有很多关于P2P技术的文章了,但我觉得那些说得都比较深,对于像我这样的小菜来说掌握起来是有难度的,所以我尽量说简单点,如果掌握之后想深入了解,可以在网上找相关的文章)
& && && & 正常情况下,主机1想向主机2发送数据:从主机1开始——到NAT1——到外网——到NAT2,到了NAT2这里,主机1向主机2发送的数据就会丢弃了,为什么呢?NAT2在此时相当于一个防火墙,为了安全,对于主机1发送过来的数据会做丢弃处理。&&
& && && & 这时候主机1想要和主机2通讯有两种方法:&
& && &&&&1. 在路由上做端口映射,把通讯需要的端口映射到主机2(这个对于在内网玩过远控的人都知道吧)
& && && &2. 在NAT2处进行“打洞”,意思把通讯需要的端口在NAT上标记出来,让NAT知道访问这个端口就是要访问主机2(这个和端口映射的意思差不多)
& && && &方法1相信大家都知道吧,我们来讨论方法2来实现P2P通讯。
& && && &我们如何在NAT上进行“打洞”呢?上面我已经说过,为了安全,NAT2会把主机1发来的数据丢弃,所以我们打洞只能在主机2上进行操作!(其实UDP协议的NAT打洞挺简单的哦)
& && && &要在NAT上打洞,也要先了解下NAT在通讯方面的作用。
& && && &不知大家有没有注意到,例如我在本机开了一个1080这个端口连接别人的电脑,那么在别人电脑上用端口查看的工具看到本机的端口就不是1080了,而是其他的端口号(比如是:5000吧)。
& && &&&&为什么会出现这种情况呢?这是NAT经过端口转换后的一个结果,此时NAT上就会把外网访问5000这个端口看做是访问本机的1080这个端口了,这也就是我们所说的“打洞”。
& && && &&我们回到刚才的那张图上。(注意我们现在讨论的是UDP协议的NAT内网打洞)
& && && &&主机1想访问主机2,那么总要知道主机2的外网IP吧。所以我们架一个服务器作为存储主机IP的工作。
& && && &&那么我说下主机1和主机2 进行P2P通讯的步骤
& &&&& &&&1.主机1和主机2首次发送数据到服务器(当发送第一次数据的时候,NAT上就会自动打了一个“洞”,服务器此时就把它们的外网IP和经过NAT端口转换的端口存储起来)。
& && && &&2.数秒发送一次数据到服务器,就当作是心跳包(因为UDP协议的内网打洞在NAT上的端口有生命期,一段时间没有数据通过NAT上的“洞”这个“洞”就会自动关闭)
& && && &&3.当主机1要访问主机2的时候,主机1先向服务器发送信息要求获取主机2的外网IP和经过NAT2端口转换的端口
& && && &&4.因
为在第2步的时候,NAT1和NAT2已经打好洞了,所以此时就不用再考虑其他,直接向主机2的外网IP加经过NAT2端口转换的端口发送数据就行了(格
式是“主机2外网IP”+“:”+“NAT2转换的端口”),如无防火墙的拦截,主机2就可以收到主机1发送的数据了。
经过这四步,主机1和主机2就可以通讯了,相反,主机2想要向主机1发送数据,只需要把上面步骤的主机1与主机2的位置调转即可。相信大家经过上面的理解之后都能知道NAT打洞是怎么回事了吧。
& && && &&&还需注意的就是UDP协议通讯存在两个问题,1.容易丢包&&2.发送数据包的顺序容易乱序
& && && &&&关于第一个问题,我们可以对发包做个丢包重发机制。第二个问题,只需在发送的数据包头做个标记即可。
好了下面我们讨论TCP协议的P2P技术,TCP协议的通讯不存在UDP协议的两个问题,当然也有它的缺点,就是对网络的开销比较大。
& && && &&&虽然TCP协议的P2P技术在网络上的资料不太多,但其实TCP协议的内网打洞和UDP也差不多,只是有少许不同,这里我简单做下介绍。(TCP协议的内网打洞我现在还是写不出来,只是有一个问题没有解决,就是端口重用问题,希望大牛可以给我指点一下)
& && && &&&和上面的图一样,我们要实现主机1和主机2直接的TCP协议的P2P通讯。下面的步骤资料来自于网络(略有删改)
& && && &&&主机1和主机2 进行通讯的步骤
& && && &&&1.服务器启动两个网络侦听,一个叫【主连接】侦听,一个叫【协助打洞】的侦听。&
& && && &&&2.&主机1和主机2 分别与服务器的【主连接】保持联系。
& && && &&&3.当
主机1需要和主机2 建立P2P的TCP
连接时,首先连接服务器的【协助打洞】端口(此时NAT1已经自动打了一个“洞”),并发送协助连接申请。同时在本机连接到服务器【协助打洞】端口的端口
号上启动侦听。注意由于要在相同的网络终端 上绑定到不同的套接字上,所以必须为这些套接字设置 SO_REUSEADDR 属性(即
允许重用),否则侦听会失败。
& && && && &4.&服务器的【协助打洞】连接收到主机1 的申请后通过【主连接】通知主机2,并将主机1 经过 NAT1 转换后的公网 IP 地址和端口等信息告诉主机2。
& && && && &5.主机2收到服务器 的连接通知后首先与服务器的【协助打洞】端口连接(此时NAT2已经自动打了一个“洞”),随便发送一些数 据后立即断开,这样做的目的是让服务器能知道主机2 经过 NAT2 转换后的公网 IP 和端 口号。
& && && && &6.主
机2尝试与主机1的经过 NAT1转换后的公网 IP 地址和端口进行 connect,根据不
同的路由器会有不同的结果,有些路由器在这个操作就能建立连接,大多数路由器对于不请自到的 SYN 请求包直接丢弃而导致 connect 失败,但
NAT1会纪录此次连接的源地址和端口号,为接下来真正的连接做好了准备,下次主机1 就能直接连接到主机2刚才使用的端口号了。
& && && && &7.主机2打洞的同时在相同的端口上启动侦听。主机2 在一切准备就绪以后通过 与服务器的【主连接】回复消息“我已经准备好”,服务器在收到以后将主机2 经过 NAT2 转 换后的公网 IP 和端口号告诉给主机1。
& && && && &8.&主
机1 收到 服务器回复的主机2 的公网 IP 和端口号等信息以后,开始连接到 主机2 公网 IP 和 端口号,由于在步骤 6 中 主机2
曾经尝试连接过 A 的公网 IP 地址和端口,NAT1 纪录 了此次连接的信息,所以当 主机1 主动连接 主机2 时,NAT2 会认为是合法的
SYN 数 据,并允许通过,从而直接的 TCP 连接建立起来了。
& && && && &有的人会问,为什么主机1和主机2不用发送数据到服务器上来维持NAT1和NAT2的“洞”呢? 这就是TCP“打洞”与UDP“打洞”的不同了,TCP打洞的“洞”是没有生命周期的,等到连接断开,TCP的“洞”就会自动关闭。
& && &&&注意以上的TCP穿透步骤没有经过我的测试,所以不知道其可行性,请大家自行测试(网络中对于TCP内网穿透技术也存在各种质疑,所以其可行性尚还不知道)
,但个人觉得原理应该没错的
& && && && &&&另外说下基于P2P技术的升级P4P技术,百度百科:,能看明白P2P技术的,看这个应该也不成问题(P4P技术主要用于传输与共享文件)
阅读(205) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧!~~
请登录后评论。突破p2p封锁
您的位置: →
突破p2p封锁
第一篇:突破p2p封锁突破封锁,终结代理――SoftEther 使用全攻略 看点:①什么是 VPN? ②如何利用 SoftEther 将 Internet 上电脑构建到通一个局域网? ③公司封了 QQ,该如何偷偷使用?内网 BT 下载太慢,如何让它的速度飞起来?…… 突破封锁,终结代理 ――SoftEther 使用全攻略 北京 softer 当你使用素以速度惊人著称的 BT 工具下载电影时,却只获得仅仅 1KB/S 的速度,当你想架设一个 FTP 服 务器,却因没有公网 IP 而作罢,当你想与远方的好友大战 CS 的时,却因网络不通而败兴……造成这一切 的罪魁祸首就是――内网问题。处于内网中的计算机,由于没有公网 IP,在使用上述的 P2P 及其相关软件 的时候会受到不可逾越的限制。不过,一款名为 SoftEther 的免费软件的诞生给我们带来了一丝新意,从此 内网问题成为历史,沟壑顿时变成通途! 一、SoftEther 有何超强功能? 大家都知道,只要我们买好网卡、HUB、网线就可以将几台电脑连接成一个局域网。而 SoftEther 能实现的 功能就是:可以在任意一台电脑上虚拟网卡,在任意一台有公网 IP 的电脑上虚拟 HUB,从而实现 VPN 的 功能,可以将 Internet 上的任意几台(其中必须有一台有公网 IP)电脑搭建成一个虚拟局域网,而这个虚 拟局域网跟真实的局域网功能一样。可能你会问,虚拟一个局域网究竟有什么好处呢?这要从网络的运行机制来看,如果内网服务器上没有做 特殊限制, 内网电脑可以自由访问外部网络, 而外网电脑要想访问内网电脑, 必须得到内网服务器的授权。而虚拟一个局域网以后, 外网电脑就可以自由的访问内网电脑, 实现直接通信了。(见图 1) (图 08wsof01) 小提示什么是 VPN? VPN(Virtual Private Network) ,即“虚拟私人网络”。举个简单的例子,当某个公司一个部门在北京,另一 个部门在上海,要连接这两个部门的电脑,让它们就象处在同一个局域网一样,就需要使用 VPN 技术。一 般情况下,VPN 是通过路由器这样的硬件设备来实现的,而 SoftEther 则是利用软件来实现 VPN 技术,使 得内网中的电脑与外网电脑组成一个局域网成为可能。二、SoftEther 对哪些人有用? SoftEther 并不是适用于所有情况,它对这几类人比较有用1.对于所有的长宽或其他处于内网中的用户,如果你想更好的使用文件传输、语音视频、FTP 架设、P2P 下载(如 BT)等服务。
2.对于想突破局域网服务器对本网限制的用户, 比如服务器封掉了 QQ、 MSN Messenger 或者其它网络服务。3.对于想发展使用多机交互的用户,比如你想在家里访问公司里电脑中的文件,你想远程连接处于内网中 的电脑,你想和处与不同网络中的朋友们对战 CS 等。4.其它因内网问题不能实现的 Internet 服务。小提示如何判断某台电脑是否处于内网? 在“开始→运行”中输入 CMD 然后输入“ipconfig”命令查看本机的 IP 地址,如果是“10.XX.XX.XXX”或 “192.168.XX.XXX”这类保留 IP,则本机处于内网,如大多数公司内部的电脑,小区宽带的用户,利用代理 服务器访问 Internet 的家庭局域网中电脑等。三、实战助你玩转 SoftEther SoftEther 小档案软件版本:v 1.0 软件性质:共享软件 软件大小:2023 KB 运行平台:Window 2000/NT/XP/2003
下载地址 http://js-http.skycn.net:8181/down/se_100_win32.zip 实战一:我家装的是 ADSL,我想在家里访问我在公司电脑里的文件。站前分析:由于外网用户(家里使用 ADSL 的电脑)不能直接访问内网中的机器(公司电脑) ,我们可以利 用 SoftEther 将家里的电脑与公司内网中的电脑连接成一个虚拟局域网,从而达到目的。实战步骤Step1:在家里的电脑中下载并安装 SoftEther,注意在安装时选择“英语”,否则只好啃日文了。当弹出对话 框让你再次选择使用语言时,同样选择“English”,最后还要提示安装“Softether Virtual Lan Card Component” (虚拟网卡)和“Softether Virtual HUB Component”(虚拟 HUB) (图 2) (图 08wsof02) ,安装完毕后按照提 示重新启动计算机。Step2:运行桌面上的 SoftEther Connection Manager 打开了一个 HUB 管理画面(图 3) (图 08wsof03) ,在 这里我们可以看到已经存在一个名为“ sample hub”的虚拟 HUB 了,我们可以使用这个虚拟 HUB 来组建局域网,也可以自己虚拟一个 HUB,为了简单起见,我们使用该默认的虚拟 HUB,双击它即 可连接。小提示:
所有安装使用 SoftEther 的用户都有连接这个默认的虚拟 HUB 的可能,所以如果你使用它,就已经和成百 上千的用户处于同一个局域网下,建议你在不使用它的时候关闭所有共享,把管理员帐号的密码设置的复 杂一些,以防范来自虚拟局域网内其他用户的入侵。Step3:连接成功后,你会发现本机的“网络和拨号连接”里会多出一个 SoftEther Virtual LAN Connection(图 4) (图 08wsof04) ,这个就是 SoftEther 虚拟出来的网卡。它跟真实网卡一样,可以设置 IP、DNS 及 DHCP 自动获得 IP,并且设置方法也和真实网卡一样。这里我们采用默认的设置即可。Step4:在公司中你使用的电脑上做同样的上述 3 步设置,并将要共享的文件或盘符设置为共享。Step5:当我们在家里的 ADSL 中要访问公司的电脑时,可以使用两种方法方法一:在家里的电脑中打开资源管理器,单击“搜索”按钮,选择搜索“网络上计算机”,输入单位机器的 计算机名,找到该计算机后就可以浏览访问其***享目录中的文件了。方法二:假设单位机器的虚拟网卡地址为“10.10.151.233”(这个地址可以在单位机器中运行 ipconfig 命令获 得) ,C 盘已经设置为共享磁盘,在家里电脑的“开始→运行”中输入“\\10.10.151.233\c$”,回车后即可访问单 位机器中的 C 盘目录了。实战二:公司禁止了对 QQ 的使用,有没有办法偷偷使用 QQ? 战前分析:目前公司对 QQ 的封锁主要采用封锁 QQ 服务器的办法,即分别在 Socks 和 Http 代理中把已知 的 QQ 服务器全部屏蔽。我们想要使用 QQ,只能绕开公司服务器的限制。我们可以使用 SoftEther 在家里 的电脑(家里的电脑必须拥有公网 IP,如 ADSL 用户)中虚拟 HUB,在单位中虚拟网卡,通过家里的电脑 做服务器,以到达使用 QQ 或者其他被封锁的网络服务的目的。实战步骤1.对家里的电脑的配置Step1:在家里的电脑上安装 SoftEther 后,运行开始菜单中的“SoftEther Virtual HUB Administration”程序, 在弹出的对话框中勾选“This Computer(localhost)”,点击“CONNECT”就进入 HUB 配置界面。Step2:首先为虚拟 HUB 设置一个密码,接下来窗口中会提示对各种参数进行设置,首先输入“1”(User Administration)回车,然后输入“2”(Create User)回车,在这里设置用户名和密码,确认后再给虚拟 HUB 起个名字,剩下的设置都保持默认,一路回车,虚拟 HUB 就创建完毕了。(见图 5) (图 08wsof05) Step3:虚拟 HUB 创建后,我们就要让本机连到这个 HUB 上,启动 Softether Connection Manager,依次运 行“Account→New Account”命令, 在“Name”栏为该连接起个名字, 在“Protocol to connect to the Virtual HUB” 栏选择“Direct TCP/IP Connection”,单击“Configure”按钮后会出现一个对话框,在“Address”栏输入本机 IP 地址,“Port”栏保持默认的“7777”即可,设置完毕单击“OK”。(见图 6) (图 08wsof06)软件会弹出一个窗 口,在“User Name”和“Password”栏分别填写刚才为虚拟 HUB 设置的用户名和密码,完成设置后会在 SoftEther 的主窗口看到出现一个新的虚拟 HUB 的图标,双击该图标,连接成功后系统托盘区域会有连接
成功的提示和连接速度。(图 7) (图 08wsof07) Step4:接下来对虚拟的网卡(SoftEther Virtual LAN Connection)进行 TCP/IP 设置,跟真实网卡一样,我 们将其 IP 地址设置为“192.168.0.1”,子网掩码设置为“255.255.255.0”。(见图 8) (图 08wsof08) 2.对公司电脑的配置Step1:在公司电脑安装并运行 SoftEther,运行“Account→New Account”命令,在“Protocol to connect to the Virtual HUB”栏选择“Proxy Connection”,单击“Configure”按钮,在弹出窗口中设置代理服务器的地址和端 口号(如果代理服务器需要验证,则还需要输入用户名和密码) ,在下方的“Address”栏填写家里电脑的 IP 地址,“Port”栏保持默认的“443”,最后同样在身份验证的对话框中输入虚拟 HUB 的用户名和密码。完成设 置后单击新建立的连接图标连接到家里的虚拟 HUB 上。小提示★代理服务器的地址和端口号使用 IE 中的代理服务器设置,或者向管理员询问。Step2:配置虚拟网卡的 TCP/IP 信息。将 IP 地址设置为“192.168.0.2”,子网掩码设置为“255.255.255.0”。3.在单位的电脑上使用 QQ 等网络服务 通过上面的步骤我们已经将公司的电脑和家里的电脑连接成为一个局域网了,跟真实的局域网一样,我们 可以将家里的电脑做代理服务器, 公司的电脑通过家里的电脑访问 Internet, 从而绕开了公司对网络的限制。步骤如下Step1:首先在家里的电脑里安装一个代理服务器软件,如果是 Windows XP,也可以使用它自带“网络安装 向导”。Step2:在单位的电脑中将虚拟网卡的网关地址设置为家里的“192.168.0.1”。(见图 9) (图 08wsof09) 设置完毕后,我们就可以直接使用 QQ 或者被公司网络限制的其它所有网络服务了,比如我们可以跟任何 朋友联机对战游戏,所有的使用都跟局域网里一样。实战三:我使用的是长城宽带(内网用户) ,我想架设 FTP 服务器,如何实现?BT 下载速度太慢了,如何 让速度快起来? 战前分析:网上一直在提使用端口映射的方法可以让内网跟外网的沟通得以实现,但端口映射需要更改服 务器设置,对长宽等小区宽带的网络接入这种方法显然行不通。另外大部分公司都是通过好几层代理服务 器和防火墙访问 Internet,端口映射只能解决一层代理服务器的问题,这种办法也行不通。我们可以利用 SoftEther 在内网中虚拟网卡,找一台有公网 IP 的电脑虚拟一个 HUB,将这两台机器连接成局域网,再配 合端口映射来实现目的。架设 FTP 服务器(用 Serv-U 架设) :
1.首先按照实战二中介绍的办法在家里的电脑中安装并运行 SoftEther,找一台具有公网 IP 的电脑(可以请 一位使用 ADSL 的朋友帮忙)安装运行 SoftEther 并建立一个虚拟 HUB,将两台电脑连接成一个局域网, 并在朋友的电脑上安装代理服务器软件使得我们家里的电脑能够通过朋友的电脑访问 Internet。其中家里的 电脑虚拟网卡的 IP 地址设置为“192.168.0.2”,朋友的电脑虚拟网卡的 IP 地址设置为“192.168.0.1”。2.在朋友的电脑上设置端口映射,可以实现端口映射的软件不少,这里笔者推荐采用 Port Tunnel。Port Tunnel 小档案软件版本:V2.0.0.249 软件性质:免费软件 软件大小:851 KB 适用平台:Win9x/NT/2000/XP
下载地址 http://js-http.skycn.net:8181/down/PortTunnel_CHS.zip Step1在朋友的电脑上安装并运行 Port Tunnel, 点击“增加”按钮在弹出对话框中切换到“常规”选项卡, 将“输 入端口”设置为“21”, “捆绑地址”设置为“非确定”, “输出端口”设置为“21”, “捆绑地址”设置为“192.168.0.2”, 其他保持默认即可。(见图 10) (图 08wsof10) Step2在家里的电脑中安装 FTP 架设软件, 如 Serv-U。这样 Internet 网上的用户就可以使 Ftp://xxx.xxx.xx.xx (朋友电脑的公网 IP 地址)来访问家里电脑的 FTP 服务了。内网中使用 BT(使用 BitComet) 1.内网使用 BT 的配置方法和上面架设 FTP 服务器的方法类似,不过在使用 Port Tunnel 进行端口映射时, 需要做如下设置单击“增加”按钮,在弹出的对话框中切换到“常规”选项卡,勾选“输入端口”中的“Range”按钮,将端口值设 置为“6881 到 6889”, “捆绑地址”设置为“不确定”, “输出端口”中同样勾选“Range”并设置为“6881 到 6889”, “捆绑地址”设置为“192.168.0.2”。2.安装 BitComet 这个 BT 下载客户端, 它的下载地址为http://hn-http.skycn.net:8181/down/BitComet_0.49.exe。单击“选项”打开“选项”窗口,切换到“网络连接”选项卡,在“监听端口”一项我们会看到一个端口号,记下该 端口号。3.跟上面的步骤类似,在 Port Tunnel 中将该端口添加到映射的端口中去,这样我们就可以使用 BitComet 在 内网中实现飞速下载了。我再试试这个 softether
第一篇:突破p2p封锁面对局域网用户滥用网络执法官,p2p终结者等网管软件的破解方法 ...
总结网络执法官,p2p终结者等网管软件使用arp欺骗的防范方法
首先说明一下.BT和讯雷升级后.这个软件会把它们封了的.也就是说BT下载速度很可能会变为0.解决办法就是设置一下.
把BT改成为永久信任此程序.还有就是不要记录该程序的记录.讯雷也一样要设.
首先介绍一个超好的防火墙给大家:Outpost Firewall 它可以防护p2p终结者等恶意软件..效果超好..还能查出局域网哪台机在使用,这个防火墙功能强大,占用资源少,个人评分5个星.大家可以上网查找一下.
这几天很郁闷,同一个局域网的同学经常使用p2p终结者来限制网内用户的流量,搞的大家都很恼火,但是归于是同学,也不好明说,后来借助霏凡论坛的搜索功能,成功解决了这个问题
事先声明,我是一个菜鸟,但是我也想在这里建议和我一样程度的霏友,多使用霏凡的搜索功能,它真的比你在“求助区”发贴来的快多了(在某些方面),而且自己也能学到东西
现将我搜索的资料总结如下,以方便以后遇到同样问题的霏友能搜到一个完整的资料,同时在这里也要感谢“zzswans”这位霏友对我提供的帮助!
其实,类似这种网络管理软件都是利用arp欺骗达到目的的
其原理就是使电脑无法找到网关的MAC地址。
那么ARP欺骗到底是怎么回事呢?
首先给大家说说什么是ARP,ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。
ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia――物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
归纳起来有以下方法:
1. 使用VLAN
只要你的PC和P2P终结者软件不在同一个VLAN里, 他就拿你没办法.
2. 使用双向IP/MAC绑定
在PC上绑定你的出口路由器的MAC地址, P2P终结者软件不能对你进行ARP欺骗, 自然也没法管你, 不过只是PC绑路由的MAC
还不安全, 因为P2P终结者软件可以欺骗路由, 所以最好的解决办法是使用PC, 路由上双向IP/MAC绑定, 就是说, 在PC
上绑定出路路由的MAC地址, 在路由上绑定PC的IP和MAC地址, 这样要求路由要支持IP/MAC绑定, 比如HIPER路由器.
3. 使用IP/MAC地址盗用+IP/MAC绑定
索性你把自己的MAC地址和IP地址改成和运行P2P终结者软件者一样的IP和MAC, 看他如何管理, 这是一个两败俱伤的办法,
改动中要有一些小技巧, 否则会报IP冲突. 要先改MAC地址, 再改IP, 这样一来WINDOWS就不报IP冲突了(windows傻吧))), 做到这一步还没有完, 最好你在PC上吧路由的MAC地址也绑定, 这样一来P2P终结者欺骗路由也白费力气了.
以上的方法我觉得都不适合我这边的环境,所以我采用了一下的解决方法:
利用Look N Stop防火墙,防止arp欺骗
1.阻止网络执法官控制
网络执法官是利用的ARp欺骗的来达到控制目的的。
ARP协议用来解析IP与MAC的对应关系,所以用下列方法可以实现抗拒网络执法官的控制。
如果你的机器不准备与局域网中的机器通讯,那么可以使用下述方法:
A.在“互联网过滤”里面有一条“ARP Authorize all ARP packets”规则,在这个规则前面打上禁止标志;
B.但这个规则默认会把网关的信息也禁止了,处理的办法是把网关的MAC地址(通常网关是固定的)放在这条规则的“目标”区,在“以太网:地址”里选择“不等于”,并把网关的MAC地址填写在那时;把自己的MAC地址放在“来源”区,在“以太网:地址”里选择“不等于”。
C.在最后一条“All other packet”里,修改这条规则的“目标”区,在“以太网:地址”里选择“不等于”,MAC地址里填FF:FF:FF:FF:FF:FF;把自己的MAC地址放在“来源”区,在“以太网:地址”里选择“不等于”。其它不改动。
这样网络执法官就无能为力了。此方法适用于不与局域网中其它机器通讯,且网关地址是固定的情况下。
如果你的机器需要与局域网中的机器通讯,仅需要摆脱网络执法官的控制,那么下述方法更简单实用(此方法与防火墙无关):
进入命令行状态,运行“ARP -s 网关IP 网关MAC”就可以了,想获得网关的MAC,只要Ping一下网关,然后用Arp -a命令查看,就可以得到网关的IP与MAC的对应。此方法应该更具通用性,而且当网关地址可变时也很好操作,重复一次“ARP -s 网关IP 网关MAC”就行了。此命令作用是建立静态的ARP解析表。
另外,听说op防火墙也可以阻止,我没有试过,所以请有兴趣的朋友可以试试
期间,我也用网络特工查找过,到底是谁在使用p2p终结者,通过检测
我发现那台主机是通过UDP的137端口向我发送数据的,
于是做为菜鸟的我设想,用防火墙屏蔽掉这个端口
然后发局域网内所有的人拖入黑名单,
阻止他们和我通讯
似乎也可以达到阻止被控制的目的
这里经zzswans霏友的提示说arp不基于端口的,端口只有tcpip协议里有,arp协议里无端口概念。,所以可能这种方法行不通
但我觉得我思考过了,得到了经验,这才是最重要的
还有,霏凡的霏友都很不错的,有问题问他们,大家都很热情的帮助你,非常喜欢霏凡的这种氛围。
因为短信没有办法恢复太多的文字,所以重新发贴。
转自其他论坛的文章。
网络执法官是一款网管软件,可用于管理局域网,能禁止局域网任意机器连接网络。对于网管来说,这个功能自然很不错,但如果局域网中有别人也使用该功能那就麻烦了。因为这样轻则会导致别人无法上网,重则会导致整个局域网瘫痪。有什么解决办法呢?请您看下面的招数及其原理。
一、网络执法官简介
我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe,它可以穿透防火墙、实时监控、记录整个局域网用户上线情况,可限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理,适合局域网管理员使用。
在网络执法官中,要想限制某台机器上网,只要点击\&网卡\&菜单中的\&权限\&,选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择\&权限\&,在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。
二、ARP欺骗的原理
网络执法官中利用的ARP欺骗使被攻击的电脑无法上网,其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢?
首先给大家说说什么是ARP,ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。
ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia――物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
网络执法官利用的就是这个原理!知道了它的原理,再突破它的防线就容易多了。
三、修改MAC地址突破网络执法官的封锁
根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法
在\&开始\&菜单的\&运行\&中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_
MACHINE\\System\\CurrentControl
Set\\Control\\Class\\{4D36E972-E325-11CE-BFC1-0
18}子键,在子键下的,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel 210
41 based Ethernet Controller),在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串,命名为\&NetworkAddress\&,键值为修改后的MAC地址,要求为连续的12个16进制数。然后在\&0000\&子键下的NDI\\params中新建一项名为NetworkAddress的子键,在该子键下添加名为\&default\&的字符串,键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为\&aramDesc\&的字符串,其作用为指定Network
Address的描述,其值可为\&MAC Address\&。这样以后打开网络邻居的\&属性\&,双击相应的网卡就会发现有一个\&高级\&设置,其下存在MAC Address的选项,它就是你在注册表中加入的新项\&NetworkAddress\&,以后只要在此修改MAC地址就可以了。
关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。
另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
四、找到使你无法上网的对方
解除了网络执法官的封锁后,我们可以利用Arpkiller的\&Sniffer杀手\&扫描整个局域网IP段,然后查找处在\&混杂\&模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller,然后点击\&Sniffer监测工具\&,在出现的\&Sniffer杀手\&窗口中输入检测的起始和终止IP,单击\&开始检测\&就可以了。
检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。
第一篇:突破p2p封锁打开 c/windows/system32/drivers/etc/ 下面的 hosts 文件,用记事本打 开就行。如图
在文件最后 添加如下 2 行命令:
保存即可。
突破p2p封锁相关文章
《》由(易啊教育网)整理提供,版权归原作者、原出处所有。
Copyright &
All Rights Reserved.
