防止P2P的攻擊

1、反p2p終結(jié)者（從此告別流量控制）簡體特別版由于最近p2p終結(jié)者破解版在網(wǎng)絡流行，被很多人濫用，造成很多人網(wǎng)速很慢，無法正常上網(wǎng)， 飽受流量控制之苦。下載完解壓出來后會有兩個應用程序WinPcap_3_0 和ap2pover ;先執(zhí)行WinPcap_3_0進行安裝，然后在運行ap2pover,選擇你所用的網(wǎng)卡類型，然后單擊殺掉 p2p終結(jié)者，呵呵，一切就到此結(jié)束，你已告別了 p2p終結(jié)者對你的流量的控制，希望這個軟件 可以幫到所有熱愛學習卻飽受流量控制的朋友下載： nin fo/201.html以下文章轉(zhuǎn)自霏凡論壇面對局域網(wǎng)用戶濫用網(wǎng)絡執(zhí)法官，p2p終結(jié)者等網(wǎng)管軟件的破解方法總結(jié)網(wǎng)絡執(zhí)法官，p

2、2p終結(jié)者等網(wǎng)管軟件使用 arp欺騙的防范方法首先說明一下.BT和訊雷升級后.這個軟件會把它們封了的.也就是說BT下載速度很可能會 變?yōu)?.解決辦法就是設置一下.把BT改成為永久信任此程序.還有就是不要記錄該程序的記錄.訊雷也一樣要設.首先介紹一個超好的防火墻給大家：Outpost Firewall它可以防護p2p終結(jié)者等惡意軟件.效果超好.還能查出局域網(wǎng)哪臺機在使用，這個防火墻功能強大，占用資源少，個人評分5個星.大家可以上網(wǎng)查找一下.這幾天很郁悶，同一個局域網(wǎng)的同學經(jīng)常使用p2p終結(jié)者來限制網(wǎng)內(nèi)用戶的流量，搞的大家都很惱火，但是歸于是同學， 也不好明說，后來借助霏凡論壇的搜索功能，成功解決

3、了這 個問題事先聲明，我是一個菜鳥，但是我也想在這里建議和我一樣程度的霏友，多使用霏凡的搜索功能，它真的比你在 求助區(qū)”發(fā)貼來的快多了（在某些方面），而且自己也能學到東西現(xiàn)將我搜索的資料總結(jié)如下，以方便以后遇到同樣問題的霏友能搜到一個完整的資料，同時在這里也要感謝 “ zzswa ns"這位霏友對我提供的幫助！其實，類似這種網(wǎng)絡管理軟件都是利用arp欺騙達到目的的其原理就是使電腦無法找到網(wǎng)關(guān)的MAC地址。那么ARP欺騙到底是怎么回事呢？首先給大家說說什么是ARP,ARP （Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從

4、IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡層（IP層，也就是相當于 OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當于 OSI的第二層）的 MAC地址。ARP原理：某機器A要向主機B發(fā)送報文，會查詢本地的 ARP緩存表，找到B的IP地址 對應的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A 一個ARP請求報文（攜帶主機A的IP地址Ia 物理地址Pa）,請求IP地址為lb的主機B回答物理地址 Pb。 網(wǎng)上所有主機包括 B都收到ARP請求，但只有主機 B識別自己的IP地址，于是向A主機 發(fā)回一個ARP響應報文。其中就包含有 B的MAC地址，A

5、接收到B的應答后，就會更新本地的ARP緩存。接著使用這個 MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個 ARP表是本地網(wǎng)絡流通的基礎，而且這個緩存是動態(tài)的。ARP協(xié)議并不只在發(fā)送了 ARP請求才接收ARP應答。當計算機接收到 ARP應答數(shù)據(jù)包的 時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。 因此，當局域網(wǎng)中的某臺機器 B向A發(fā)送一個自己偽造的 ARP應答，而如果這個應答是 B 冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當 A接收到B偽造的 ARP應答后，就會更新本地的 ARP緩存，這樣在A看來C的IP地址沒有變

6、，而它的MAC 地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)IP地址進行，而是按照 MAC地址進行傳輸。所以，那個偽造出來的 MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡不通，導致A不能Ping通C!這就是一個簡單的 ARP欺騙。解決方法歸納起來有以下方法：1. 使用VLAN只要你的PC和P2P終結(jié)者軟件不在同一個 VLAN里，他就拿你沒辦法.2. 使用雙向IP/MAC綁定在PC上綁定你的出口路由器的MAC地址，P2P終結(jié)者軟件不能對你進行 ARP欺騙，自然也沒法管你，不過只是PC綁路由的MAC還不安全，因為P2P終結(jié)者軟件可以欺騙路由，所以最好的解決辦法是使用PC

7、,路由上雙向IP/MAC綁定，就是說，在PC上綁定出路路由的 MAC地址，在路由上綁定 PC的IP和MAC地址，這樣要求路由要支持 IP/MAC 綁定，比如HIPER路由器.3. 使用IP/MAC 地址盜用+IP/MAC 綁定索性你把自己的 MAC地址和IP地址改成和運行 P2P終結(jié)者軟件者一樣的IP和MAC,看 他如何管理，這是一個兩敗俱傷的辦法，改動中要有一些小技巧，否則會報IP沖突要先改MAC地址，再改IP,這樣一來 WINDOWS就不報IP沖突了 （windows傻吧），做到這一步還沒有完，最好你在PC上吧路 由的MAC地址也綁定，這樣一來P2P終結(jié)者欺騙路由也白費力氣了.以上的方法我

8、覺得都不適合我這邊的環(huán)境，所以我采用了一下的解決方法：利用Look N Stop防火墻，防止arp欺騙1.阻止網(wǎng)絡執(zhí)法官控制網(wǎng)絡執(zhí)法官是利用的 ARp欺騙的來達到控制目的的。ARP協(xié)議用來解析IP與MAC的對應關(guān)系，所以用下列方法可以實現(xiàn)抗拒網(wǎng)絡執(zhí)法官的 控制。如果你的機器不準備與局域網(wǎng)中的機器通訊，那么可以使用下述方法：A. 在互聯(lián)網(wǎng)過濾"里面有一條 “ ARP : Authorize all ARP packets 規(guī)則”在這個規(guī)則前面打 上禁止標志；B. 但這個規(guī)則默認會把網(wǎng)關(guān)的信息也禁止了，處理的辦法是把網(wǎng)關(guān)的MAC地址（通常網(wǎng)關(guān)是固定的）放在這條規(guī)則的 目標”區(qū)，在 以太網(wǎng)

9、：地址”里選擇 不等于”，并把網(wǎng)關(guān)的MAC 地址填寫在那時；把自己的 MAC地址放在 來源”區(qū)，在 以太網(wǎng)：地址”里選擇 不等于”。C. 在最后一條“All other packet里，修改這條規(guī)則的 目標”區(qū)，在 以太網(wǎng)：地址”里選擇不 等于”，MAC地址里填FF:FF:FF:FF:FF:FF ；把自己的MAC地址放在 來源”區(qū)，在以太網(wǎng)： 地址”里選擇不等于”。其它不改動。這樣網(wǎng)絡執(zhí)法官就無能為力了。此方法適用于不與局域網(wǎng)中其它機器通訊，且網(wǎng)關(guān)地址是固定的情況下。如果你的機器需要與局域網(wǎng)中的機器通訊，僅需要擺脫網(wǎng)絡執(zhí)法官的控制，那么下述方法更簡單實用（此方法與防火墻無關(guān)）：進入命令行狀態(tài)，

10、 運行“ARP-s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC就可以了，想獲得網(wǎng)關(guān)的 MAC,只要 Ping 下網(wǎng)關(guān)，然后用 Arp -a命令查看，就可以得到網(wǎng)關(guān)的IP與MAC的對應。此方法應該更具通用性，而且當網(wǎng)關(guān)地址可變時也很好操作，重復一次“ARP-s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC就行了。此命令作用是建立靜態(tài)的ARP解析表。另外，聽說op防火墻也可以阻止，我沒有試過，所以請有興趣的朋友可以試試插曲：期間，我也用網(wǎng)絡特工查找過，到底是誰在使用p2p終結(jié)者，通過檢測我發(fā)現(xiàn)那臺主機是通過UDP的137端口向我發(fā)送數(shù)據(jù)的，于是做為菜鳥的我設想，用防火墻屏蔽掉這個端口然后發(fā)局域網(wǎng)內(nèi)所有的人拖入黑名單，阻止他們和我通訊似乎也可以達到阻止

11、被控制的目的這里經(jīng)zzswans霏友的提示說 arp不基于端口的，端口只有tcpip協(xié)議里有，arp協(xié)議里無端口概念。，所以可能這種方法行不通但我覺得我思考過了，得到了經(jīng)驗，這才是最重要的還有，霏凡的霏友都很不錯的，有問題問他們，大家都很熱情的幫助你，非常喜歡霏凡的這種氛圍。因為短信沒有辦法恢復太多的文字，所以重新發(fā)貼。 轉(zhuǎn)自其他論壇的文章。網(wǎng)絡執(zhí)法官是一款網(wǎng)管軟件， 可用于管理局域網(wǎng)，能禁止局域網(wǎng)任意機器連接網(wǎng)絡。對于網(wǎng)管來說，這個功能自然很不錯， 但如果局域網(wǎng)中有別人也使用該功能那就麻煩了。因為這樣輕則會導致別人無法上網(wǎng)， 重則會導致整個局域網(wǎng)癱瘓。有什么解決辦法呢？請您看下面的招數(shù)及其原

12、理。一、網(wǎng)絡執(zhí)法官簡介我們可以在局域網(wǎng)中任意一臺機器上運行網(wǎng)絡執(zhí)法官的主程序NetRobocop.exe ,它可以穿透防火墻、實時監(jiān)控、記錄整個局域網(wǎng)用戶上線情況，可限制各用戶上線時所用的IP、時段，并可將非法用戶踢下局域網(wǎng)。該軟件適用范圍為局域網(wǎng)內(nèi)部，不能對網(wǎng)關(guān)或路由器外的機器進行監(jiān)視或管理，適合局域網(wǎng)管理員使用。在網(wǎng)絡執(zhí)法官中，要想限制某臺機器上網(wǎng)，只要點擊"網(wǎng)卡"菜單中的"權(quán)限"，選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行，從右鍵菜單中選擇"權(quán)限"，在彈出的對話框中即可限制該用戶的權(quán)限。 對于未登記網(wǎng)卡，可以這樣限定其上線：

13、只要設定好所有已知用戶（登記）后，將網(wǎng)卡的默認權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應的MAC ,使其找不到網(wǎng)關(guān)真正的 MAC地址，這樣就可以禁止其上網(wǎng)。二、ARP欺騙的原理網(wǎng)絡執(zhí)法官中利用的 ARP欺騙使被攻擊的電腦無法上網(wǎng)，其原理就是使該電腦無法找到網(wǎng) 關(guān)的MAC地址。那么 ARP欺騙到底是怎么回事呢？首先給大家說說什么是 ARP,ARP （ Address Resolution Protocol ）是地址解析協(xié)議，是一 種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：

14、表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡層（IP層，也就是相當于 OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當于 OSI的第二層）的 MAC地址。ARP原理：某機器A要向主機B發(fā)送報文，會查詢本地的 ARP緩存表，找到B的IP地址 對應的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A 一個ARP請求報文（攜帶主機A的IP地址la 物理地址Pa）,請求IP地址為Ib的主機B回答物理地址 Pb。 網(wǎng)上所有主機包括 B都收到ARP請求，但只有主機 B識別自己的IP地址，于是向A主機 發(fā)回一個ARP響應報文。其中就包含有 B的MAC地址，A接收到B的應答后，就會更新 本地的A

15、RP緩存。接著使用這個 MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加 MAC地址）。因此，本 地高速緩存的這個 ARP表是本地網(wǎng)絡流通的基礎，而且這個緩存是動態(tài)的。ARP協(xié)議并不只在發(fā)送了 ARP請求才接收ARP應答。當計算機接收到 ARP應答數(shù)據(jù)包的 時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。 因此，當局域網(wǎng)中的某臺機器 B向A發(fā)送一個自己偽造的 ARP應答，而如果這個應答是 B 冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當 A接收到B偽造的 ARP應答后，就會更新本地的 ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC 地址已經(jīng)不是原

16、來那個了。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)IP地址進行，而是按照 MAC地址進行傳輸。所以，那個偽造出來的 MAC地址在A上被改變成一個不存在的 MAC地址， 這樣就會造成網(wǎng)絡不通，導致A不能Ping通C!這就是一個簡單的 ARP欺騙。網(wǎng)絡執(zhí)法官利用的就是這個原理！知道了它的原理，再突破它的防線就容易多了。三、修改MAC地址突破網(wǎng)絡執(zhí)法官的封鎖根據(jù)上面的分析，我們不難得出結(jié)論：只要修改MAC地址，就可以騙過網(wǎng)絡執(zhí)法官的掃描， 從而達到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法：在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：

17、HKEY_LOCAL_MACHINESystemCurre ntCo ntrolSetC on trolClass4D36E972-E325-11CE-BFC1-08002BE10318子鍵，在子鍵下的 0000 , 0001，0002等分支中查找 DriverDesc （如果你有一塊以上的 網(wǎng)卡，就有0001，0002在這里保存了有關(guān)你的網(wǎng)卡的信息，其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述，比如我的網(wǎng)卡是In tel 21041 based Ethernet Controller ），在這里假設你的網(wǎng)卡在 0000子鍵。在0000子鍵下添加一個字符串，命名為 "Networ

18、kAddress"，鍵值為修改后的 MAC地址， 要求為連續(xù)的12個16進制數(shù)。然后在"0000"子鍵下的NDl'params中新建一項名為 NetworkAddress 的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的 MAC地 址。在NetworkAddress 的子鍵下繼續(xù)建立名為 "ParamDesc"的字符串，其作用為指定Network Address的描述，其值可為"MAC Address"。這樣以后打開網(wǎng)絡鄰居的 "屬性"，雙擊相應的 網(wǎng)卡就會

19、發(fā)現(xiàn)有一個"高級"設置，其下存在MAC Address的選項，它就是你在注冊表中加 入的新項"NetworkAddress"，以后只要在此修改 MAC地址就可以了。關(guān)閉注冊表，重新啟動，你的網(wǎng)卡地址已改。 打開網(wǎng)絡鄰居的屬性，雙擊相應網(wǎng)卡項會發(fā)現(xiàn)有一個MAC Address的高級設置項，用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡設備制造商生產(chǎn)時寫在硬件內(nèi)部。 這個地址與網(wǎng)絡無關(guān)，即無論將帶有這個地址的硬件（如網(wǎng)卡、集線器、路由器等）接入到 網(wǎng)絡的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設定。MAC地址通常表示為12個16進制數(shù)，每2個16進制數(shù)之間用冒號隔開，如： 08:00:20:0A:8C:6D 就是一個 MAC地址，其中前 6位16進制數(shù)，08:00:20代表網(wǎng)絡硬件 制造商的編號，它由IEEE分配，