又是一年的九月,同学们都已经纷纷回校了吧。到了学校,就不能再享受家里那风驰电掣的急速上网快感,取而代之的是乌龟爬似的网速。如果再碰到一些自私鬼,开bt,下电驴,看在线电影,那就甭提有多郁闷了。是时候起来反抗了,面对局域网中的自私鬼,我们要给他一个教训!限制他的网速,让他不能横着来。
局域网中永远存在着自私鬼
在校园网中上网,你的电脑就处于一个庞大的局域网中。局域网的出口带宽是固定的,因此局域网中某人占用带宽特别多的话,那么别人就会感觉到网速很慢,有时甚至会造成断线。假设局域网的出口带宽为2m,共有8个人分享这两兆的带宽,而2m宽带的理论最大下载速度为256k,如果其中一人使用bt下载占用了其中的220k,那么其余7人就只能用剩下的36k来上网,这样的速度可想而知。当然,这种自私鬼还不是最令人讨厌的。最令人讨厌的自私鬼是通过网络管理软件限制那些正常上网的用户,然后将大部分的带宽留给自己,自己则在疯狂下载或者玩游戏的人。
无论是哪种自私鬼,都是让我们难以容忍的。可是有些自私鬼就在我们自己的寝室,或者是熟悉的人,如果贸然找对方算账,结果很可能闹得大家都不甚愉快。于是乎,背地里的较量成了重点,一场网络流量的争夺战打响了。
人人都能成为局域网中的网管
那么面对第一种自私鬼,我们该采取何种措施呢?使用基于ARP欺骗原理的网络管理软件是一个不错的选择。这种基于ARP欺骗原理的网络管理软件和传统的美萍、万象等网吧专用的管理软件不同,它不需要由局域网中的服务器来统一进行管理,而是局域网中任何一台电脑装上它后都能成为网管。目前基于ARP欺骗的网络管理软件有很多,比较著名的有“聚生网管”、“网络执法官”、“P2P终结者”等,这里我们以“聚生网管”为例,介绍一下其用法。
小贴士:ARP欺骗
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
RP欺骗的原理是通过发送错误的内网MAC地址给路由器,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。ARP欺骗可以限制局域网内任何一台主机的流量,也可以让其网络断开连接,甚至造成大规模的断线。
用“聚生网管”限制流量
下载“聚生网管”软件,安装后运行,首先我们要新建一个监控网段。在“监控网段配置”窗口中点击“新建监控网段”按钮,在接下去的“网段名称”中输入“局域网”。点击“下一步”,进入“选择网卡”步骤,点击“三角形”按钮,选择你要监控的网卡,一般都只有一个可选项,选择后就会出现当前本机的网络状况。再点“下一步”,选择“公网出口带宽”,这个关系不大,按实际情况选择即可。最后点击“完成”结束网段的设置。
Step1.运行“聚生网管”后,在“总控制台”标签中点击“启动网络控制服务”,然后进入“主机列表”标签,点击“扫描网络主机”按钮。这样就可以扫描到所有局域网中在线的主机。
图1.配置监控的网段
Step2.进入到“策略设置”标签,点击“新建策略”按钮,为新策略设置一个名字,名字可以随意。
图2.扫描在线的主机
Step3.在“编辑策略”面板中切换到“P2P下载限制”标签,勾寻启用P2P下载限制”选项,将下方所有的P2P下载限制选项勾选,并勾上“启用P2P视频限制”选项。这样设置的目的是限制网络内的BT、电驴以及迅雷看看等P2P软件。
图3.启用P2P限制
Step4.如果不想彻底封堵P2P软件引起别人的怀疑,可以对流量进行限制而不必彻底封堵P2P软件。切换到“带宽限制”标签,勾寻启用主机公共带宽限制”选项,此时“启用发现P2P下载时自动限制该主机带宽功能”选项会处于可选状态。选上后我们将“发现P2P下载时”的主机上下行带宽都设置为10,并勾寻精确控制带宽”选项。最后点击“确定”按钮完成设置,这样设置就可以让软件在发现网络中有人使用P2P软件时才开始限制,控制灵活度比较高。
图4.设置限制的带宽
Step5.回到“主机列表”标签,点击“全部控制”按钮,再点击“应用控制设置”按钮。这时网络中每台在线主机的流量都会显示出来,从“下行带宽”处我们判断当前正在下载或者在线看电影的用户,数值越大,说明占用的带宽越多。在该用户上面点右键,在出现的菜单中选择“为选中主机指派策略”,在出现的策略选择对话框中选择刚才创建的策略,点击“确定”就可以将策略应用到该主机上了。
图5.找到正在下载的用户
图6.在主机上应用策略
接下来你会看到该主机的下行带宽急速下降,并且被限制在了10K以下,与此同时,你的网速变得快了起来。“聚生网管”可以做到的还不止这些,它可以任意指定断开某台主机的网络连接,限制主机的聊天、股票以及流量,这些功能可以在策略编辑窗口中进行设置。当然,人不犯我我不犯人,千万不要无故地去限制别人,这样可就是道德问题了。
图7.可以设定限制的时间段
反抗吧,无故被限制的人们
不少同学无论在寝室上网,还是在外面租用的公寓里上网,都经常会碰到这样的现象:网速极慢,打开一个纯文字网页要数十秒,看电影玩游戏就不用说了;不断出现IP冲突提示;无缘无故的断网,维持几小时甚至数天。如果你碰到了这种情况,排除极少出现的ISP方面的原因,只能恭喜你碰到了一个极度自私鬼,在局域网中无条件疯狂封锁别人的网络,把所有带宽一个人独占的BT。那么对付这种极度自私鬼,我们有什么反限制的方法呢?
图8.很多IP冲突是因为ARP欺骗攻击
极度自私鬼限制我们的带宽,通常也是采用上文提到的基于ARP欺骗原理的网络管理软件,因此要反限制,我们就得从根本出发,防止对方的ARP欺骗攻击,这样就能反限制对方的网络管理软件。
和黑客攻击类似,黑客想用数据包攻击我们的电脑,我们只要安装一款网络防火墙就可以了。同样的,对付ARP欺骗攻击,我们也可以安装ARP防火墙来解决问题。这里我们以“彩影ARP防火墙”(原Anti ARP Sniffer)为例介绍一下阻止ARP欺骗攻击的方法。
安装“彩影ARP防火墙”,在安装过程中网络会有短暂的断线,这是正常现象不必担心,安装完成后防火墙就开始工作了。下面让我们来做个测试,假设攻击方为A,其IP地址为192.168.1.101,使用的软件是“聚生网管”,被攻击方为B,其IP地址为192.168.1.103,已经安装了“彩影ARP防火墙”。
我们首先在A机器上运行“聚生网管”,在点击“启动网络控制服务”后,B机器上的“彩影ARP防火墙”马上有了反应,并且在“当前状态”处显示拦截了“外部ARP攻击”包,拦截的数据会以红色的数字显示,十分醒目。在“最后攻击来源”处会显示攻击的主机的IP地址,显示为192.168.1.101,结果准确。在软件界面的下方显示为:“192.168.1.101 正在进行MAC扫描,可能无害,也可能是攻击的前兆”。我们再将限制策略应用在机器B上,这时下方的状态会显示为:“192.168.1.101 可能在运行网管软件……”。可见“彩影ARP防火墙”不仅可以拦截ARP攻击数据包,还能实时监测攻击方的攻击环节。
图9.攻击者的IP地址已经暴露
图10.提示管理软件正在扫描主机
图11.已经检测到了“聚生网管”
我们在“彩影ARP防火墙”切换到“网络主机列表”标签,可以看到192.168.1.101的网卡“混杂模式”状态为“Yes”。如果局域网中某台电脑的网卡处于混杂模式,那么很可能他正在进行ARP欺骗或者嗅探,是个危险人物,如果你是网管,还是尽早把他揪出来吧。最后,让我们来看下“彩影ARP防火墙”的反限制效果吧。在机器A的“聚生网管”的主机列表界面中,192.168.1.103的上行和下行带宽都为0,可见“聚生网管”已经无法检测到192.168.1.103的流量,这也说明机器A发送的数据包已经都被“彩影ARP防火墙”拦截了。
图12.ARP欺骗中的主机的网卡会处于混杂模式
图13.“聚生网管”已经失效
终极必杀技,将自私鬼打入地狱
看到这里,有的读者肯定会问了,那如果自私鬼装了“彩影ARP防火墙”,然后开启BT、电驴疯狂的下载,那么我们即使用“聚生网管”也还不是拿他没有办法吗?这确实是一个比较棘手的问题,只能说这是一个聪明的自私鬼,并且懂一些网络安全知识。要对付这样的自私鬼有一些困难,但也不是对付不了,因为我们还没有使出必杀技,此技一出,秒杀所有ARP防火墙,不管你是否装了ARP防火墙,照样能限制你的网速。
我们的必杀技就是一款名为“Skiller”网络管理软件,由于采用了完全不同的限制原理,任何ARP防火墙都对它不起作用。那么它到底采用了何种原理,使其成为具有如此强大威力的大杀器的呢?
小贴士:Skiller的原理:
我们知道,ARP欺骗是欺骗了IP/MAC的对应关系,而“Skiller”则是欺骗了MAC/PORT的对应关系。它的原理就是直接发欺骗包给网关,欺骗网关。对于要攻击的另一方B,它不会采取任何动作,这样就会导致在B机器上安装的任何防ARP攻击防火墙,无论多底层过滤都没有任何用处,因为它没有遭受到任何的威胁。虽然B机器上安装的ARP攻击防火墙很努力地监视着从网络里过来的数据包,但它这个时候还是以为社会还是很太平的,因为它根本就不知道在同一个网络里有另外一个很邪恶的家伙正在攻击它的主人。这就像取快件,我们冒充别人的身份找快递员取了快件,而真正的快件主人却丝毫不知情。这里所谓的快件相当于局域网中的数据包,如果被攻击的主机没有接收到网络数据包,那么它就会断线。
在使用“Skiller”之前,我们首先要安装framework2.0(下载地址:http://www.onlinedown.net/soft/38669.htm)以及WinCap4.0(下载地址:http://www.skycn.com/soft/11534.html)。前者是一个语言开发软件,后者是系统的底层网络驱动包,“Skiller”的运行需要这两个软件的支持。安装完毕后我们可以直接运行“Skiller”。
进入到“Skiller”的主界面后,我们首先要做的就是扫描当前网络上在线的主机。“Skiller”提供了两种扫描方式:扫描网络和流量探测,其中“扫描网络”功能和“聚生网管”的扫描功能相似,虽然能扫描到在线的主机,但是会被ARP防火墙给拦截到。而“流量探测”则是根据流量来判定主机是否在线,它的好处是探测时不会被ARP防火墙检测到,是暗杀的好方法。
图14.使用“流量探测”比较安全
小贴士:“Skiller”现已经改名为“幻境网盾”,目前版本为3.7。但是3.5之后的版本在功能上开始削弱(因为危害实在太大),建议大家使用3.5之前的版本。软件运行后会弹出升级提示,如果想使用老版本软件请不要点击升级。
首先我们要选择好监控的网卡,这个设置只对多网卡用户而言,一般用户都只有一块网卡无需设置。然后我们点击一下“流量探测”按钮,软件很快就能找出网络中在线的主机,因为只要对方浏览网页,其产生流量就足以被我们检测到,除非它连上网什么都不干(3.7版本的“流量探测”几乎不起作用)。找到后我们要看字节数变化速度最快的主机,在软件界面右下角会显示流量,如果流量很大,那么它肯定是在下载或者看电影。在需要限制的主机上打钩,然后点击“设为代理”按钮,这样我们自己的IP就伪装成了被攻击方的IP地址,即使我们的攻击数据被检测到,别人看到的也只是他自己在攻击自己。最后我们要设置一下攻击的强度,软件可设置的最大值为60,建议设置成最大值,这样能达到很好的攻击效果。
图15.有多块网卡时需要选择进行控制的网卡
图16.设定攻击威力
一切设置完毕后,我们点击“开始”按钮进行攻击。如果你是被攻击方,你会感觉到自己的网速开始减速,不用多久就彻底没有流量了。而此时你的ARP防火墙却安安静静地躺在系统右下角,没有任何反应,检测到的ARP欺骗数据包为0。“Skiller”正是一款如此邪恶的软件,可以在悄无声息中秒杀对手。现在,我们已经和自私鬼说拜拜了,当然也不要太过分,教训一下他就可以了,总要给人一个改过自新的机会吧。
小贴士:在攻击时,我们可以点击一下“网络延迟”处的按钮,如果显示为绿色,说明网络通畅,如果显示为红色,说明网络较为堵塞,网页已经较难打开了。
“Skiller”的防范
如果你遭到了“Skiller”的攻击,那么很不幸的告诉你,几乎没有办法可以防范“Skiller”的攻击,因为它的原理决定了它是无敌的大杀器(作者对新版本功能的减弱可能正是出于这个原因)。如果一定要防御,软件方面是彻底拿它没辙的,硬件方面,可以采用既能把IP跟MAC静态绑定,也能把MAC地址跟物理接入端口静态绑定,或者做基于接口的VLAN的交换机,这样才是最佳的防御方法,可惜的是这样的设备现在还不是很普及。
如果攻击者在用“Skiller”进行攻击时,选择了“扫描网络”功能进行扫描,这时如果你装了ARP防火墙,那么可以正常的捕捉到它的IP地址。这样我们就可以将这个IP地址上报到网管,或者进入到路由器设置中(前提是你要知道路由器的密码),找到他的IP/MAC限制其网速, 这是目前我们能做到的最好的办法。
鉴于“Skiller”的强大威力,希望大家不要在自己的局域网中随意使用,毕竟一个稳定和谐的网络环境是大家都向往的。
编者点评:正如前面所说,局域网里不可避免的会出现一些自私鬼,对他们进行限制这是无可厚非的,但是这并不是最好的解决办法,毕竟大家同用一个局域网就是一种缘分,所以在进行限制不要太狠了,比如让某某断网或者只分配10K左右的带宽,这些做法都不合适,所以大家在使用网络管理工具对局域网用户进行限制时,要考虑一个合理的带宽分配量,比如限制大家的上传带宽为20K,下行带宽60K,等等这样的限制会让用户正常使用网络,不会有被限制的感觉,而且也不会因为一不小心点开多图网站,影响他人的带宽。
另外,局域网里最好是选出一个管理者,让这个管理者执行局域网的管理权能。如果人人电脑里都安装各种各样的管理工具:什么P2P终结者、网络执法官、聚生网管等等,你限制我、我限制你这样会让局域网崩溃掉的,漫天都是ARP欺骗封包,反而会让局域网的负荷加大,大家都上不了网,出现三个和尚没水喝的情况。
当然大家要给局域网里用户完全的平均分配网络使用的带宽,那么你们就需要的是具有分配带宽功能的路由器,才能彻底的完成。
最后,小编在这里愿大家开心上网共创和谐的局域网。