又是一年的九月,同学们都已经纷纷回校了吧。到了学校,就不能再享受家里那风驰电掣的急速上网快感,取而代之的是乌龟爬似的网速。如果再碰到一些自私鬼,开bt,下电驴,看在线电影,那就甭提有多郁闷了。是时候起来反抗了,面对局域网中的自私鬼,我们要给他一个教训!限制他的网速,让他不能横着来。
局域网中永远存在着自私鬼
在校园网中上网,你的电脑就处于一个庞大的局域网中。局域网的出口带宽是固定的,因此局域网中某人占用带宽特别多的话,那么别人就会感觉到网速很慢,有时甚至会造成断线。假设局域网的出口带宽为2m,共有8个人分享这两兆的带宽,而2m宽带的理论最大下载速度为256k,如果其中一人使用bt下载占用了其中的220k,那么其余7人就只能用剩下的36k来上网,这样的速度可想而知。当然,这种自私鬼还不是最令人讨厌的。最令人讨厌的自私鬼是通过网络管理软件限制那些正常上网的用户,然后将大部分的带宽留给自己,自己则在疯狂下载或者玩游戏的人。
无论是哪种自私鬼,都是让我们难以容忍的。可是有些自私鬼就在我们自己的寝室,或者是熟悉的人,如果贸然找对方算账,结果很可能闹得大家都不甚愉快。于是乎,背地里的较量成了重点,一场网络流量的争夺战打响了。
人人都能成为局域网中的网管
那么面对第一种自私鬼,我们该采取何种措施呢?使用基于ARP欺骗原理的网络管理软件是一个不错的选择。这种基于ARP欺骗原理的网络管理软件和传统的美萍、万象等网吧专用的管理软件不同,它不需要由局域网中的服务器来统一进行管理,而是局域网中任何一台电脑装上它后都能成为网管。目前基于ARP欺骗的网络管理软件有很多,比较著名的有“聚生网管”、“网络执法官”、“P2P终结者”等,这里我们以“聚生网管”为例,介绍一下其用法。
小贴士:ARP欺骗
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
RP欺骗的原理是通过发送错误的内网MAC地址给路由器,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。ARP欺骗可以限制局域网内任何一台主机的流量,也可以让其网络断开连接,甚至造成大规模的断线。
用“聚生网管”限制流量
下载“聚生网管”软件,安装后运行,首先我们要新建一个监控网段。在“监控网段配置”窗口中点击“新建监控网段”按钮,在接下去的“网段名称”中输入“局域网”。点击“下一步”,进入“选择网卡”步骤,点击“三角形”按钮,选择你要监控的网卡,一般都只有一个可选项,选择后就会出现当前本机的网络状况。再点“下一步”,选择“公网出口带宽”,这个关系不大,按实际情况选择即可。最后点击“完成”结束网段的设置。
Step1.运行“聚生网管”后,在“总控制台”标签中点击“启动网络控制服务”,然后进入“主机列表”标签,点击“扫描网络主机”按钮。这样就可以扫描到所有局域网中在线的主机。

图1.配置监控的网段
Step2.进入到“策略设置”标签,点击“新建策略”按钮,为新策略设置一个名字,名字可以随意。
 

图2.扫描在线的主机
Step3.在“编辑策略”面板中切换到“P2P下载限制”标签,勾寻启用P2P下载限制”选项,将下方所有的P2P下载限制选项勾选,并勾上“启用P2P视频限制”选项。这样设置的目的是限制网络内的BT、电驴以及迅雷看看等P2P软件。

图3.启用P2P限制
Step4.如果不想彻底封堵P2P软件引起别人的怀疑,可以对流量进行限制而不必彻底封堵P2P软件。切换到“带宽限制”标签,勾寻启用主机公共带宽限制”选项,此时“启用发现P2P下载时自动限制该主机带宽功能”选项会处于可选状态。选上后我们将“发现P2P下载时”的主机上下行带宽都设置为10,并勾寻精确控制带宽”选项。最后点击“确定”按钮完成设置,这样设置就可以让软件在发现网络中有人使用P2P软件时才开始限制,控制灵活度比较高。

图4.设置限制的带宽
Step5.回到“主机列表”标签,点击“全部控制”按钮,再点击“应用控制设置”按钮。这时网络中每台在线主机的流量都会显示出来,从“下行带宽”处我们判断当前正在下载或者在线看电影的用户,数值越大,说明占用的带宽越多。在该用户上面点右键,在出现的菜单中选择“为选中主机指派策略”,在出现的策略选择对话框中选择刚才创建的策略,点击“确定”就可以将策略应用到该主机上了。

图5.找到正在下载的用户

图6.在主机上应用策略
接下来你会看到该主机的下行带宽急速下降,并且被限制在了10K以下,与此同时,你的网速变得快了起来。“聚生网管”可以做到的还不止这些,它可以任意指定断开某台主机的网络连接,限制主机的聊天、股票以及流量,这些功能可以在策略编辑窗口中进行设置。当然,人不犯我我不×××,千万不要无故地去限制别人,这样可就是道德问题了。

图7.可以设定限制的时间段
反抗吧,无故被限制的人们
不少同学无论在寝室上网,还是在外面租用的公寓里上网,都经常会碰到这样的现象:网速极慢,打开一个纯文字网页要数十秒,看电影玩游戏就不用说了;不断出现IP冲突提示;无缘无故的断网,维持几小时甚至数天。如果你碰到了这种情况,排除极少出现的ISP方面的原因,只能恭喜你碰到了一个极度自私鬼,在局域网中无条件疯狂封锁别人的网络,把所有带宽一个人独占的BT。那么对付这种极度自私鬼,我们有什么反限制的方法呢?

图8.很多IP冲突是因为ARP欺骗***
极度自私鬼限制我们的带宽,通常也是采用上文提到的基于ARP欺骗原理的网络管理软件,因此要反限制,我们就得从根本出发,防止对方的ARP欺骗***,这样就能反限制对方的网络管理软件。
和******类似,***想用数据包***我们的电脑,我们只要安装一款网络防火墙就可以了。同样的,对付ARP欺骗***,我们也可以安装ARP防火墙来解决问题。这里我们以“彩影ARP防火墙”(原Anti ARP Sniffer)为例介绍一下阻止ARP欺骗***的方法。
安装“彩影ARP防火墙”,在安装过程中网络会有短暂的断线,这是正常现象不必担心,安装完成后防火墙就开始工作了。下面让我们来做个测试,假设***方为A,其IP地址为192.168.1.101,使用的软件是“聚生网管”,被***方为B,其IP地址为192.168.1.103,已经安装了“彩影ARP防火墙”。
我们首先在A机器上运行“聚生网管”,在点击“启动网络控制服务”后,B机器上的“彩影ARP防火墙”马上有了反应,并且在“当前状态”处显示拦截了“外部ARP***”包,拦截的数据会以红色的数字显示,十分醒目。在“最后***来源”处会显示***的主机的IP地址,显示为192.168.1.101,结果准确。在软件界面的下方显示为:“192.168.1.101 正在进行MAC扫描,可能无害,也可能是***的前兆”。我们再将限制策略应用在机器B上,这时下方的状态会显示为:“192.168.1.101 可能在运行网管软件……”。可见“彩影ARP防火墙”不仅可以拦截ARP***数据包,还能实时监测***方的***环节。

图9.***者的IP地址已经暴露

图10.提示管理软件正在扫描主机

图11.已经检测到了“聚生网管”
我们在“彩影ARP防火墙”切换到“网络主机列表”标签,可以看到192.168.1.101的网卡“混杂模式”状态为“Yes”。如果局域网中某台电脑的网卡处于混杂模式,那么很可能他正在进行ARP欺骗或者嗅探,是个危险人物,如果你是网管,还是尽早把他揪出来吧。最后,让我们来看下“彩影ARP防火墙”的反限制效果吧。在机器A的“聚生网管”的主机列表界面中,192.168.1.103的上行和下行带宽都为0,可见“聚生网管”已经无法检测到192.168.1.103的流量,这也说明机器A发送的数据包已经都被“彩影ARP防火墙”拦截了。

图12.ARP欺骗中的主机的网卡会处于混杂模式

图13.“聚生网管”已经失效
终极必杀技,将自私鬼打入地狱
看到这里,有的读者肯定会问了,那如果自私鬼装了“彩影ARP防火墙”,然后开启BT、电驴疯狂的下载,那么我们即使用“聚生网管”也还不是拿他没有办法吗?这确实是一个比较棘手的问题,只能说这是一个聪明的自私鬼,并且懂一些网络安全知识。要对付这样的自私鬼有一些困难,但也不是对付不了,因为我们还没有使出必杀技,此技一出,秒杀所有ARP防火墙,不管你是否装了ARP防火墙,照样能限制你的网速。
我们的必杀技就是一款名为“Skiller”网络管理软件,由于采用了完全不同的限制原理,任何ARP防火墙都对它不起作用。那么它到底采用了何种原理,使其成为具有如此强大威力的大杀器的呢?
小贴士:Skiller的原理:
我们知道,ARP欺骗是欺骗了IP/MAC的对应关系,而“Skiller”则是欺骗了MAC/PORT的对应关系。它的原理就是直接发欺骗包给网关,欺骗网关。对于要***的另一方B,它不会采取任何动作,这样就会导致在B机器上安装的任何防ARP***防火墙,无论多底层过滤都没有任何用处,因为它没有遭受到任何的威胁。虽然B机器上安装的ARP***防火墙很努力地监视着从网络里过来的数据包,但它这个时候还是以为社会还是很太平的,因为它根本就不知道在同一个网络里有另外一个很邪恶的家伙正在***它的主人。这就像取快件,我们冒充别人的身份找快递员取了快件,而真正的快件主人却丝毫不知情。这里所谓的快件相当于局域网中的数据包,如果被***的主机没有接收到网络数据包,那么它就会断线。
在使用“Skiller”之前,我们首先要安装framework2.0(下载地址:http://www.onlinedown.net/soft/38669.htm)以及WinCap4.0(下载地址:http://www.skycn.com/soft/11534.html)。前者是一个语言开发软件,后者是系统的底层网络驱动包,“Skiller”的运行需要这两个软件的支持。安装完毕后我们可以直接运行“Skiller”。
进入到“Skiller”的主界面后,我们首先要做的就是扫描当前网络上在线的主机。“Skiller”提供了两种扫描方式:扫描网络和流量探测,其中“扫描网络”功能和“聚生网管”的扫描功能相似,虽然能扫描到在线的主机,但是会被ARP防火墙给拦截到。而“流量探测”则是根据流量来判定主机是否在线,它的好处是探测时不会被ARP防火墙检测到,是暗杀的好方法。

图14.使用“流量探测”比较安全
小贴士:“Skiller”现已经改名为“幻境网盾”,目前版本为3.7。但是3.5之后的版本在功能上开始削弱(因为危害实在太大),建议大家使用3.5之前的版本。软件运行后会弹出升级提示,如果想使用老版本软件请不要点击升级。
首先我们要选择好监控的网卡,这个设置只对多网卡用户而言,一般用户都只有一块网卡无需设置。然后我们点击一下“流量探测”按钮,软件很快就能找出网络中在线的主机,因为只要对方浏览网页,其产生流量就足以被我们检测到,除非它连上网什么都不干(3.7版本的“流量探测”几乎不起作用)。找到后我们要看字节数变化速度最快的主机,在软件界面右下角会显示流量,如果流量很大,那么它肯定是在下载或者看电影。在需要限制的主机上打钩,然后点击“设为代理”按钮,这样我们自己的IP就伪装成了被***方的IP地址,即使我们的***数据被检测到,别人看到的也只是他自己在***自己。最后我们要设置一下***的强度,软件可设置的最大值为60,建议设置成最大值,这样能达到很好的***效果。

图15.有多块网卡时需要选择进行控制的网卡

图16.设定***威力
 
一切设置完毕后,我们点击“开始”按钮进行***。如果你是被***方,你会感觉到自己的网速开始减速,不用多久就彻底没有流量了。而此时你的ARP防火墙却安安静静地躺在系统右下角,没有任何反应,检测到的ARP欺骗数据包为0。“Skiller”正是一款如此邪恶的软件,可以在悄无声息中秒杀对手。现在,我们已经和自私鬼说拜拜了,当然也不要太过分,教训一下他就可以了,总要给人一个改过自新的机会吧。
小贴士:在***时,我们可以点击一下“网络延迟”处的按钮,如果显示为绿色,说明网络通畅,如果显示为红色,说明网络较为堵塞,网页已经较难打开了。
“Skiller”的防范
如果你遭到了“Skiller”的***,那么很不幸的告诉你,几乎没有办法可以防范“Skiller”的***,因为它的原理决定了它是无敌的大杀器(作者对新版本功能的减弱可能正是出于这个原因)。如果一定要防御,软件方面是彻底拿它没辙的,硬件方面,可以采用既能把IP跟MAC静态绑定,也能把MAC地址跟物理接入端口静态绑定,或者做基于接口的VLAN的交换机,这样才是最佳的防御方法,可惜的是这样的设备现在还不是很普及。
如果***者在用“Skiller”进行***时,选择了“扫描网络”功能进行扫描,这时如果你装了ARP防火墙,那么可以正常的捕捉到它的IP地址。这样我们就可以将这个IP地址上报到网管,或者进入到路由器设置中(前提是你要知道路由器的密码),找到他的IP/MAC限制其网速, 这是目前我们能做到的最好的办法。
鉴于“Skiller”的强大威力,希望大家不要在自己的局域网中随意使用,毕竟一个稳定和谐的网络环境是大家都向往的。
编者点评:正如前面所说,局域网里不可避免的会出现一些自私鬼,对他们进行限制这是无可厚非的,但是这并不是最好的解决办法,毕竟大家同用一个局域网就是一种缘分,所以在进行限制不要太狠了,比如让某某断网或者只分配10K左右的带宽,这些做法都不合适,所以大家在使用网络管理工具对局域网用户进行限制时,要考虑一个合理的带宽分配量,比如限制大家的上传带宽为20K,下行带宽60K,等等这样的限制会让用户正常使用网络,不会有被限制的感觉,而且也不会因为一不小心点开多图网站,影响他人的带宽。
另外,局域网里最好是选出一个管理者,让这个管理者执行局域网的管理权能。如果人人电脑里都安装各种各样的管理工具:什么P2P终结者、网络执法官、聚生网管等等,你限制我、我限制你这样会让局域网崩溃掉的,漫天都是ARP欺骗封包,反而会让局域网的负荷加大,大家都上不了网,出现三个和尚没水喝的情况。
当然大家要给局域网里用户完全的平均分配网络使用的带宽,那么你们就需要的是具有分配带宽功能的路由器,才能彻底的完成。
最后,小编在这里愿大家开心上网共创和谐的局域网。