局域网内的攻击

2.2　局域网内的IP攻击

所谓IP攻击，也就是利用一般的ARP欺骗，更新ARP高速缓存为自己伪造的IP地址和MAC地址，从而造成局域网内某台主机或某些主机IP地址出现冲突的现象，被盗用IP地址的计算机不仅不能上网，而且还会出现IP地址频频占用的情况，给局域网安全造成极大的隐患。网络特工就是这样的工具，它可以让同一网段的计算机互相之间不能通信，也可以让某一台或某几台计算机不能上网，还可以让局域网的计算机全部IP冲突而掉线。下面来介绍其使用方法。

（1）网上下载网络特工，它由两部分组成，如图2-3所示。

图2-3　网络特工软件包含两个文件

（2）下载后解压缩，在计算机上先安装压缩包中的Winpcap＿3＿01＿a.exe文件（见图2-4）。

图2-4　安装WinPcap 3.01alpha向导

单击“Next”按钮打开图2-5。

图2-5　同意安装协议

点击“Next”按钮打开图2-6。

点击“OK”按钮安装完毕。

安装完成后，直接运行压缩包中的“网络特工.exe”可执行文件。

图2-6　显示安装完成

（3）在网络特工窗口中，单击“网络管理”标签，在出现的界面中输入要管理的网段，例如从192.168.63.1到192.168.63.254和网关的IP，单击“刷新”按钮，出现如图2-7所示的窗口。

图2-7　网络特工主界面

（4）选择“在线用户列表”中的IP，单击“添加”按钮，被管理的用户就会添加到“管理用户列表”中。

（5）在“管理选项”框中，可以选择“一直”或“定时”选项，如果选择“一直”选项则用户将一直被管理，若选择“定时”选项，则可以设定管理的时间。

（6）选择“禁止与局域网内部所有机器相连”、“禁止与外部的网络连接”、“弹出IP冲突警告”中的某一项或几项。如果仅仅是为了限制某些用户上网，只选择“禁止与外部的网络连接”一项即可。如图2-8所示为禁止7个受管理的用户上网。

图2-8　网络特工管理的用户列表

（7）设置完成后，单击“开始管理”按钮，就可以控制某些受管理的用户上网了。

说明：

以上操作均可在局域网内任一主机上完成，其他同一网段的计算机无需安装任何被控制系统，使用网络特工的计算机操作系统必须是Windows 2000／XP，其他用户操作系统是Windows 9x／2000／XP均可，在其他用户机上网之前，安装了网络特工的计算机控制功能要先启动，否则，只选择“禁止与外部的网络连接”一项，受管理的用户正上网时就无法断开其网络。要强制断开只能开启“弹出IP冲突警告”功能（这种功能会使受管理的计算机一再弹出IP冲突的警告框），类似软件大都要注册，而这个软件是完全免费的。此软件除上述功能外，还有如下功能：

（1）强制代理功能

在“网络管理”界面中点击“刷新”按钮，将会在在线用户列表中显示所有在线用户IP和物理地址。输入要代理的IP地址和正确的网关地址，点击“开始代理”标签，就可以查看到代理IP的上网情况了（见图2-9）。

图2-9　网络特工的强制代理

（2）数据监视功能

本功能只对HUB上的机器有效。点击“数据监视”标签，点击“开始监视”按钮，就可以查看到HUB上的机器发出的所有的数据包（见图2-10）。

图2-10　网络特工的数据监视

点击“保存数据”按钮，可以保存列表框内的所有数据。当列表框中有数据时，输入要查找的内容，点击“查找数据”按钮可以在列表框中查找输入的内容。

（3）解决IP地址冲突的办法

如果局域网内存在ARP欺骗，从而看到本机的IP地址和其他电脑有冲突（见图2-11），此时我们可以采用一种最简单的手工解决的办法，手工静态把本机的IP地址和本机的MAC绑定起来，从而让其他和本机冲突的电脑上不了网，但本机照常工作，绑定过程如图2-12所示。

图2-11　显示正在ARP欺骗的数据

图2-12　绑定IP与MAC地址