请教如何突破网络执法官设置的上网限制限制

如何突破网络执法官？~

网络执法官是一款网管软件，可用于管理局域网，能禁止局域网任意机器连接网络。对于网管来说，这个功能自然很不错，但如果局域网中有别人也使用该功能那就麻烦了。因为这样轻则会导致别人无法上网，重则会导致整个局域网瘫痪。有什么解决办法呢？请您看下面的招数及其原理。

一、网络执法官简介

我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe。它可以穿透防火墙、实时监控、记录整个局域网用户上线情况，可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理，适合局域网管理员使用。

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

二、ARP欺骗的原理

网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们的优良传统，下面我们就谈谈这个问题。

首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。

三、修改MAC地址突破网络执法官的封锁

根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：
在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_ MACHINE\System\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103 18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210 41 based Ethernet Controller），在这里假设你的网卡在0000子键。在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。

在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。

关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

四、找到使你无法上网的对方

解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller，然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP，单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

找到对方后怎么对付他就是你的事了。

五、再来两招轻松防范网络执法官

NO.1 首先呢，最稳妥的一个办法就是修改机器的MAC地址，只要把MAC地址改为别的，就可以欺骗过网络执法官，从而达到突破封锁的目的。下面是修改MAC地址的方法：

linux环境下:
需要用
#ifconfig eth0 down
先把网卡禁用
再用ifconfig eth0 hw ether 1234567890ab
这样就可以改成功了
要想永久改就这样
在/etc/rc.d/rc.local里加上这三句(也可以在/etc/init.d/network里加下面三行)
ifconfig eth0 down
ifconfig eth0 hw ether 1234567890ab
ifconfig eth0 up

另:
在win2000中改MAC地址的方法：
打开注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\子键，在该子键下的0000，0001，0002等分支中查找DriverDesc，在0000子键下天一个字符串项，命名为NetworkAddress，键值设为修改后的MAC地址，要求为连续的12个16进制数，如1234567890AB(注意位数要对！不能是000000000000，不能与别的机器重复)。然后在0000下的NDI\params中加一项名为NetworkAddress的子键，在该子键下添加名为default的字符串，键值为修改后的MAC地址，与上面的数值相同。在NetworkAddress的主键下继续添加命名为ParamDesc的字符串，其作用是制定NetworkAddress主键的描述，其值可为“MAC 地址”，这样以后打开网络属性，双击相应的网卡会发现有一个高级设置，其下坐在“MAC地址”的选项，在此修改MAC地址就可以了，修改后需重启。

Windows环境:
用dos，8139的可以改，用realtek的pg8139.exe,比如 是8139c网卡，就改写8139c.cfg文件，第一行就是网卡mac,想怎么改就怎么改

NO.2 另外一种方法，我没有试，一种设想，有条件的朋友帮忙试一下。

由于网络执法官的原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC，那么我们可以自己修改IP->MAC的映射，使网络执法官ARP欺骗失效。具体做法如下：

在还没有被封锁的时候进入CMD执行如下命令
e:\>ping 192.168.9.1 (假设此地址位网关。)

Pinging 192.168.9.1 with 32 bytes of data:

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Ping statistics for 192.168.9.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

e:\>arp -a

Interface: 192.168.9.1 on Interface 0x5000003
Internet Address Physical Address Type
192.168.9.1 00-0E-70-32-f1-02 dynamic
(上面的就是网关的MAC)
然后作这样一个批处理文件保存起来。。注意！！！地址要换为你自己的网关的IP和MAC
arp -s 192.168.9.1 00-0E-70-32-f1-02
然后呢，在你被封锁的时候，就执行这个批处理吧。

NO.3 如果解除了网络执法官的封锁可不可以查到使用网络执法官的人究竟是谁呢?答案是可以！利用arpkiller的sniffer杀手扫描整个局域网IP段查找处在“混杂”(监听)模式下的计算机，应该就是他了。

运行命令cmd
arp -s IP地址 网关MAC
输入以上命令，回车即可生效。网关的mac可以用arp -a来查看。

第一种办法修改本机的MAC地址，可以骗过网络执法官的扫描，下面是修改网卡MAC地址的方法：在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 21041 based Ethernet Controller），在这里假设你的网卡在0000子键。在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。 关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

第二种办法：
手动指定网关的MAC地址就可以使网络执法官失效！
1、开始菜单的运行中输入cmd
2、arp -a 得到网关的MAC地址（这步要在可以上网的电脑上执行）
3、arp -s 192.168.2.1 网关的MAC

需要你操作网关(如果是主机型的话)

在网关主机和你的电脑上都进行MAC绑定
1、在你的电脑上运行arp -a 得到网关的MAC，运行arp -s 192.168.2.1 网关MAC
2、在网关主机上运行arp -s 你的IP 你的MAC

这样，就不怕任何MAC欺骗型网络限制工具和ARP病毒了

关键是你的网关是主机型的，不是硬件路由器，并且你要能操作它

首先要搞清楚网络执法官所用的原理——即ARP欺骗，让某台机子上不了网，这个时候其实你可以绑定你的网卡

或者干脆用工具监听局域网内的机子，看哪台处于混杂模式，那台就是用网络执法官的机子。

内网中破解网络执法官的管制软件

http://www.17ut.com/soft/softdown.asp?softid=2671

下面是破解机制和教程

http://nkang.spaces.live.com/blog/cns!543C18AD9C3B8A67!120.entry

arp -a
找出 192.168.2.1的MAC
知道他的计算机名

好了 现在你要做的就是改IP地址
192.168.2.1
机器名也改成他的
MAC地址也改成他的 怎么改可以参照一下
这样就可以上网了 绝对没问题
你也可以改成其它能上网的机器的信息
这样就OK了 大学时就这么用了

改IP地址,改MIC地址,多下几个软件(P2P终结者,网络剪刀手,网络执法官,聚生网管,美萍网管等等),几个一起开,保证你无敌了!

---

香格里拉县19655916366： 网络执法官如何破解? - ？
毓肃安来： 修改MAC地址突破网络执法官的封锁 根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的.下面是修改网卡MAC地址的方法: 在＂开始＂菜单的＂运行＂中输入regedit,打开注...

香格里拉县19655916366： 局域网内被用 网络执法官 限制网速 怎么解决?？
毓肃安来： 首先请确认不是网管在限制你的速度,如果是网管限速,那么劝你老实一点如果不是网管,自己机子上开启arp防火墙(360和彩影都行),然后另外找台没被限速的机子,装上网络执法官,去限制那台限制你速度的机器

香格里拉县19655916366： 如何摆脱网络执法官的控制 - ？
毓肃安来： 有2种方法 第一你也下个网络执法官(或者P2P终结者 比网络执法官好用) 和他对着干 他封你你也封他 还有就是下个反P2P终结者 看看有没有用

香格里拉县19655916366： 怎样对付局域网中控制网络的软件 像网络执法官 - ？
毓肃安来： 解除网络执行官封锁:经常看到有很多朋友被网络执行官毒害,那些用网络执行官的人也太缺......了! 网络执法官中利用的ARP欺骗使得被攻击的电脑无法上网,其原理就是使得该电脑无法找到网关的MAC地址,导致其无法上网.ARP原理:某...

香格里拉县19655916366： 关于突破局域网限制的问题. - ？
毓肃安来： 可能在局域网内有人在使用网络执法官, 修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的. 下面是修改网卡MAC地址的方法: 在＂开始＂菜单的＂运行＂中输入regedit,打开注册表编辑器,展开注册表到:HKEY_...

香格里拉县19655916366： 网速被限制,怎么解除网速限制? - ？
毓肃安来： 谁限制揍谁

香格里拉县19655916366： 关于突破局域网限制的问题.？
毓肃安来： 可能在局域网内有人在使用网络执法官,nbsp;修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的.nbsp;下面是修改网卡MAC地址的方法:nbsp;在“开始“菜单的“运行“中输入regedit,打开注册表编辑器,展开注...

香格里拉县19655916366： 别人用网络执法官限制我网速怎么办? - ？
毓肃安来： 开启防火墙就可以了~可以在360里面开启ARP功能,如果别人限速会当成ARP入侵,会被阻止.

香格里拉县19655916366： 怎么脱离网络执法官的控制 - ？
毓肃安来： 你也安装个网络执法官,如果你的版本比他的好,就可以摆脱控制.好像也不是版本越高越好,尽量找所谓企业版,完全破解的.

香格里拉县19655916366： 有没有高手指导下,什么方法能让房东那监控不发现,提高下我这的网速呢?？
毓肃安来： 在网络执法官中,要想限制某台机器上网,只要点击“网卡“菜单中的“权限“,选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择“权限“,在弹出的对话框中即可限制该用户的权限.对于未登记网卡,可以这样限定其...