深度解析网络执法官

目前网络上流行的一款非常厉害的软件：网络执法官。相信很多朋友都知道吧！我想黑客初学者朋友可能更是对他印象深刻吧！接下来我就和大家详细的解说一下这个软件。

我们先到网络上看一下，对于网络执法官的描述：可以在局域网中任意一台电脑上运行网络执法官的主程序，它可以穿透防火墙，实时监控，记录整个局域网用户的上线情况，可以限制各用户上线时所用的IP，时段，并可以将非法用户提下局域网，该软件适用范围，局域网内部，不能对网关或路由器外的机器进行监视或管理。

可能很多黑客朋友对于它可以穿透防火墙这一点感到很吃惊，当然也是这一点引起了我研究他的兴趣，接下来我就和大家好好的扒一扒这款网络执法官。

网络执法官是通过ARP欺骗来达到管理的目的，它的功能虽说很全面稳定，但是和其他软件比起来，也没有什么本质上的区别，要想了解他是怎么管理所在网段，而不让其他管理工作站上网，还是要追溯到网络通信的原理上面，因为这个软件主要特性是建立在数据链路层，所以我将它简化了。比如IOS有七层参考模型主要功能为，网络基础：物理层，数据链路层，网络层；使用者方面：传输，会话，表示以及应用层。

我们都知道，通信是和网络的器材协议密切相关的，一下，我们虚拟一个局域网，来讲解网络通信过程及网络执法官的管理过程。当我们在七层协议最上层，以后主机想要和其他主机通信，比如telnet到2号主机，课程多维数据打包后再分装自己能识别的数据标签，我们现在再来说说四层以下的通讯过程。

1.当数据包到达传输层，由于telnet使用TCP协议，传输层将上层传来的数据不变，再封装TCP包头以便目标主机可以正确解包，继续向继续向下层，也就是网络层传递。

2.网络层同样不会改变之前的数据包，当然也包括之前任何文件。首先一号主机对目标主机做判断，他会用自身的IP地址和子网掩码进行运算，当然也会得出一个结果，然后再拿自己的掩码和主机，b的ip地址进行运算，也会得出一个结果。这个时候就可以知道他们是否在同一网段内，也会分装自己的IP以及目标的IP地址，同上层传下来的数据一起下传。

3.数据链路层包括两个子层，一个是LLC子层，另一个是MAC子层。我们知道在以太网中通讯是物理寻址的，在这层中会分装自己的MAC地址及对方的MAC地址。当然用户没有通知MAC地址是什么？这时主机会查看自己的缓存表，看看有没有2号主机的MAC地址，如果有的话就封装，否则它会发出一个ARP的地址解析广播包，这个包只会存活在该网段并且打了标签。虽说所有主机都可以收到该广播，但只会传递到该主机的数据链路层，更确切地说传递到了数据链路层的最高成就被丢弃了。

4.接着该数据会通过网线等传输介质传出去，一号主机当收到数据的时候进行相同的工作，但是会做相反的操作，这个我相信不用解释太多，大家就都可以明白。

以上是简单描述了一下两台主机的数据传输过程，说了半天也没有收到网络执法官是怎么可以让我们上网的？其实局域网的工作站想通过代理服务器上公网的数据包和以上描述的就有点不同了，明白了上面的原理我们就很容易了解工作站去官网的数据包是怎么传递的了。

比如说一号主机想访问某一个官方网站，数据在传输到网络层的时候，他会用自己的IP和子网掩码进行运算，然后再拿运算得到的掩码与你想要访问的网站的IP进行运算，被访问网站的IP地址是由DNS获得。如果发现不在同一个网段，那么这个时候就要注意了，这个时候也是用自己IP和目标IP进行封装，然后向下层传递，数据链路层这是不会封装，被访问网址的MAC地址，它M也不知道MAC地址是什么，他会封装网关的MAC地址，让网关将数据发出去。同时在网关收到数据时，他会查看目标的IP地址，当然不是他自己的IP地址了。所以他知道这个数据是要经过路由器发出的，然后把数据包发给了他的邻居或网络运营商的路由器上，重复以上的操作，就可以知道在TTL值为0之前将数据传输给那个要被访问的网站。OK数据已经传输成功。

那么为什么网络执法官可以根据网卡的MAC不懂上网的权利呢?这是由于网络执法官利用ARP欺骗的原理，它会持续不断地发送低俗的ARP广播包，他主要是欺骗该PC机的第二层设备，使得该主机迷失正确的MAC地址，使第二层功能失效，该软件管理有如下的症状：

1.主机无法访问internet,而据网功能没有问题，造成这个原因是因为ARP歪曲的通告一个伪网关地址，使用户机器无法找到真正网关的MAC地址，当然在数据链路层就封装错误了。

2.无法访问internet,无法使用局域网功能，这种情况是运行网络执法官的主机，欺骗了所有局域网中同网段主机，是所有主机歪曲的记录了被管理的主机MAC地址，同样被管理的主机就会错误地记录到其它主机的MAC地址，导致了上述的结果。

3.无法访问internet，无法使用局域网功能，桌面上常常弹出ip地址冲突的字样，这是一种典型的IP地址争夺游戏。在在针对这种以MAC地址+IP地址来管理我们的网络管理软件，在对付第一种限制时，局域网无限制。

还有一种方法就是更改MAC地址。当然这种方法是从原理上把该软件的控制能力给搞定，人，但是大家别忘了，除了网络管理软件还有网络管理员本人，它会根据IP地址及计算机名继续封杀。

当然现在在网络上还有一个很好的办法，就是暴力解决，使用一个比管理软件频率更高的ARP软件和她进行对攻，更有甚者，提倡用网络执法官VS网络执法官，但是这种方法非常的可笑，因为软件的设计是为了保护网管不会攻击而设置了友邻用户，他们可以互相发泄，但是不能互相管理。

静态MAC地址突破管理，arp-d,arp-a等命令把ARP高速缓存改为ARP静态缓存，这种对于只限制internet功能，并且网络执法官是安装在网管上的情况才有效的，如果软件没有安装在网关上的还是不行的。

当然也并不是完全没有办法可循，有一种方法能保证TCP连接可以通信，就是自己用静态ARP缓存，并且不断地向网管机器主机发送正确的MAC地址信息，可以保证internet的TCP正常连接。当然TCP有错误检测机制，可以重新传输。

没有任何一种管理软件可以完全控制，也没有任何一种手法，可以永远地通过管理软件，只有在攻与防的对立中，我们的水平才会提高，你才能从一个黑客初学者完全的蜕变为一个黑客。当然这是一条很长的路，希望所有的黑客初学者都能坚持下来！