突破局域网限制访问外网

1 突破局域网限制访问外网 ◎ 实现方式：软件设置 ◎ 运行条件：“超级兔子”、CCProxy、SoftEther 软件 对外网访问的控制一直是网络管理员与用户之间争斗的焦点， 目前有很多软硬件方法来过滤网络中的内容、限制用户的访问，但 任何事物都有两面性，突破这些上网限制的方法也很多，矛与盾的 较量永远没有结束的时候。 这两天，My 为上网的事情烦恼不已。原来，学校加强了对局域 网的监管，屏蔽了 Internet 上的很多游戏、娱乐和博客类网站， 甚至连部分 HTTP、FTP 下载都无法使用了。学习当然应该放在第一 位，可娱乐生活也不可缺少啊，于是 My 开始想突破上网的限 制。 一、另辟蹊径—更改 MAC 地址 My 了解到，每张网卡的 MAC 地址（硬件地址）各不相同，这是 用来证明身份的唯一识别 ID。而局域网进行通信也必须依靠 MAC 地 址作为基础，路由器发送广播报获得局域网内电脑所传回的 MAC 地 址，然后依据 MAC 地址来分配内网的 IP 地址。因此对局域网用户 进行的上网限制也多是通过对 MAC 地址限制达成的，只要修改本机 的 MAC 地址就可以绕开这些限制，因此 My 开始尝试更改 MAC 地址。 2 首先获取本机的 MAC 地址。点击“开始”、“运行”，在命令 栏中输入“CMD”打开CMD命令窗口。然后在窗口中输入“ipconfig /all”，通过该命令能得到本机的网络地址，包括：MAC 地址、IP 地址、子网掩码、网关地址和 DNS 地址。获得 MAC 地址后，再用“超 级兔子”软件来修改 MAC 地址。 “超级兔子”是国内一款优秀的注册表修改、优化软件，这里要 使用它的一个功能模块“魔法设置”。点击“魔法设置”、“网 络”，在这里可以看到针对网络的各种优化选项，选择“网卡地 址”。在“网卡地址”界面中，有对 MAC 地址的详细描述和修改过 程的指导，通过界面中间的下拉菜单，选择需要修改的网卡（如果 只有一张网卡就直接选上去），然后更改该网卡的 MAC 地址（这里 必须根据 MAC 地址的表示规则来修改，“超级兔子”上面有提示）。 更改完毕后，重启电脑即可生效。 最后再用“ipconfig /all”命令来查看 MAC 地址，这里显示 MAC 地址已经和上次不同了。由于此刻本机的 MAC 地址并不在网络 管理端的限制列表中，所以 My 的电脑访问外网就一切通畅了。 不足之处：此方法主要是对硬件设备的 MAC 地址做修改，若网 络管理员发现原先的限制不起作用，将 IP 地址与 MAC 地址进行绑 定，该方法就会失效。 二、偷天换日—使用代理 3 在漫长的局域网攻防战中，修改 MAC 地址这种“战术”已经为 众多网络管理员所熟知，于是网络管理员给局域网内的每台电脑设 置静态 IP 地址，并且将 IP 地址和 MAC 地址进行一对一的捆绑。这 样，只要电脑的 IP 地址和 MAC 地址不匹配，不但无法突破上网限 制，甚至连内网所提供的服务都无法使用。 果不其然，仅仅过了一天，更改 MAC 地址即告失效。My 不得不 利用代理软件 CCProxy 来突破限制。在一个局域网中，总有一些电 脑由于工作需要允许上网，网络管理员未对其作出限制，就可以用 这些电脑做跳板来访问外网。 My 在局域网中找到一台未被限制的电脑，安装并运行 CCProxy 软件，选择程序界面上方的“设置”，在“设置”界面的下方“请 选择本机局域网 IP 地址”处输入该电脑的 IP 地址（如 “192.168.1.2”），并在后面打上“勾”。然后根据自己的需要设 置好“FTP、 HTTP、 TELNET”等常用的端口号，默认为 “808”。 下面在客户端，也就是对局域网中受到限制的电脑进行设置。 由于 CCProxy 代理软件不需要在客户端进行安装，所以这里的设置 比较简单。打开“IE 浏览器”，在菜单栏选择“工具”、“Internet 选项”、“连接”、“局域网设置”，选中“代理服务器”地址填 入主机地址“192.168.1.2”，端口填入“808”。 设置完毕以后，客户端电脑访问外网的一切数据都通过主机的 4 CCProxy 代理转发，就能突破上网限制。 不足之处：此方法利用局域网的网络管理漏洞，需要通过其它 电脑的转接才能实现。如果局域网电脑都有限制，或者其它人不愿 意将电脑做代理的时候，就行不通。网络管理员也可以通过代理搜 索软件发现端倪。 三、暗渡陈仓—创建虚拟局域网 假如我们在一个网络管理严格的局域网内，既有强大的硬件防 火墙做策略防御，又有严密的分级权限控制，整个内网被安全防护 得固若金汤，那还能冲破“牢笼”吗？ My 利用代理自由上网了一段时间，不料学校网络管理员再次完 善了局域网的监管，所有的代理服务器都被清除，现在该怎么办 呢？这当然也难不到热爱自由上网的 My，利用 SoftEther 软件，就 可突破上网限制。 SoftEther 是一款虚拟局域网软件，该软件主要功能是将公网 电脑连接到一个虚拟局域网中，通常用于建设 VPN 连接。SoftEther 有服务器端和客户端两种工作方式，提供虚拟集线器（服务器端） 和虚拟网卡（客户端）。在使用时，只需要将虚拟集线器打开让对 方虚拟网卡连接进来，就能使双方计算机相隔千里，却如同在同一 局域网一样。 首先，My 将自己家中的电脑作为服务器（家里的电脑要能够上 网），并且先安装好 CCProxy 等代理软件，再安装 SoftEther 软件， 5 并将虚拟集线器和虚拟网卡一同安装。安装好以后系统托盘右下角 会有一个网卡标记，代表虚拟网卡安装成功。由于还没有设置虚拟 集线器，因此该虚拟网卡显示“网络电缆没有插好”。然后设置可 连接虚拟集线器的用户账号，打开“开始”、“程序”、 “SotfEther”、“SotfEther 虚拟 HUB 管理器”，出现的对话框中 不需输入 IP 地址，直接点击连接即可。进入“虚拟 HUB 管理控制 台”，开始会要求输入一个管理 HUB 的密码，还需要确认一次。在 出现的菜单中选择数字“1”，即用户管理，再在用户管理界面选 择数字“2”新建一个用户，并且根据提示建立用户名、密码、密 码确认，后面提示全部按回车键，最后选择数字“9”退出。 接着在“SoftEther 连接管理器”中依次打开“账号”、“新 建”进入设置界面。先给这连接起一个名字，在到右边的“连接虚 拟 HUB 需要使用身份验证”中输入刚才设置的用户名和密码；在 “连接到虚拟 HUB 的通讯协议”中选择“直接代理”；点击下方的 “配置”按钮，在“代理服务器地址”中输入本机的地址 “219.152.99.164”（这是一个公网地址，如果使用动态 IP，可以 利用动态路由（DDNS）软件进行固定），端口号为“808”；再到“请 输入将要连接的虚拟 HUB 的 IP 地址和端口”界面，输入 “127.0.0.1”（本机地址），端口号为“433”（HTTPS 的端口号）。 在确认无误后，退到“SotfEther 虚拟 HUB 管理器”，双击新建 “INTERNET”连接，会看见右边显示连接信息，连接成功后系统托 6 盘的虚拟网卡显示连通。再将虚拟网卡的 IP 地址改为局域网的 IP 地址，如“192.168.0.1”，这样就设置好了虚拟局域网的服务器 端。 同样，在客户端电脑上也安装 SotfEther 软件，只安装虚拟网 卡部分就行。在“SoftEther 连接管理器”部分，新建一个跟服务 器端相同名字的连接，用户名和密码也跟服务器端一样，在“直接 连接中”输入服务器端的公网 IP 地址“219.152.99.164”，尝试 连接是否成功。成功后，将客服端虚拟网卡的 IP 地址修改为服务 器端同一网段的 IP 地址“192.168.0.2”和 DNS 地址。现在，My 就 可以通过家中的电脑做代理，自由地访问外网了。 不足之处：此方法是通过 HTTPS（Secure Hypertext Transfer Protocol 安全超文本传输协议）协议的“443”端口，以 VPN 隧道 技术封装成正常的数据帧穿过防火墙来实现的。如果网络管理员关 闭此端口那也行不通（若关闭“433”端口，连网页都无法浏览）。 此外，该方法极其危险，如果利用它来搞破坏，将对整个局域网造 成极大危害，请谨慎使用。 如果你是通过校园网或小区接入 Internet，那么一定听说过 MAC 地址。什么是 MAC 地址，MAC 地址在这种局域网环境中究竟起 到什么作用？下面就来介绍一下 MAC 地址的知识，MAC 地址和 IP 地 址的区别以及 MAC 地址在实际应用中所涉及到的安全问题。 7 相关知识 一、基础知识 如今的网络是分层来实现的，就像是搭积木一样，先设计某个特定 功能的模块，然后把模块拼起来组成整个网络。局域网也不例外， 一般来说，在组网上我们使用的是 IEEE802 参考模型，从下至上分 为：物理层、媒体接入控制层（MAC），逻辑链路控制层（LLC）。 标识网络中的一台计算机，一般至少有三种方法，最常用的是域名 地址、IP 地址和 MAC 地址，分别对应应用层、网络层、物理层。网 络管理一般就是在网络层针对 IP 地址进行管理，但由于一台计算 机的 IP 地址可以由用户自行设定，管理起来相对困难，MAC 地址一 般不可更改，所以把 IP 地址同 MAC 地址组合到一起管理就成为常 见的管理方式。 二、什么是 MAC 地址 MAC 地址就是在媒体接入层上使用的地址，也叫物理地址、硬 件地址或链路地址，由网络设备制造商生产时写在硬件内部。MAC 地址与网络无关，也即无论将带有这个地址的硬件（如网卡、集线 器、路由器等）接入到网络的何处，都有相同的 MAC 地址，它由厂 商写在网卡的 BIOS 里。MAC 地址可采用 6 字节（48 比特）或 2 字 节（16 比特）这两种中的任意一种。但随着局域网规模越来越大， 一般都采用 6 字节的 MAC 地址。这个 48 比特都有其规定的意义， 8 前 24 位是由生产网卡的厂商向 IEEE 申请的厂商地址，目前的价格 是 1000 美元买一个地址块，后 24 位由厂商自行分配，这样的分配 使得世界上任意一个拥有 48 位 MAC 地址的网卡都有唯一的标识。 另外，2 字节的 MAC 地址不用网卡厂商申请。 MAC 地址通常表示为 12 个 16 进制数，每 2 个 16 进制数之间用 冒号隔开，如：08:00:20:0A:8C:6D 就是一个 MAC 地址，其中前 6 位 16 进制数 08:00:20 代表网络硬件制造商的编号，它由 IEEE 分 配，而后 3 位 16 进制数 0A:8C:6D 代表该制造商所制造的某个网络 产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每 个以太网设备都具有相同的前三字节以及不同的后三个字节。这样 就可保证世界上每个以太网设备都具有唯一的 MAC 地址。 三、IP 地址与 MAC 地址的区别 IP 地址基于逻辑，比较灵活，不受硬件限制，也容易记忆。MAC 地址在一定程度上与硬件一致，基于物理，能够标识具体。这两种 地址各有好处，使用时也因条件而采取不同的地址。 四、为什么要用到 MAC 地址 这是由组网方式决定的，如今比较流行的接入 Internet 的方 式（也是未来发展的方向）是把主机通过局域网组织在一起，然后 再通过交换机和 Internet 相连接。这样一来就出现了如何区分具 体用户，防止盗用的问题。由于 IP 只是逻辑上标识，任何人都随 意修改，因此不能用来标识用户；而 MAC 地址则不然，它是固化在 9 网卡里面的。从理论上讲，除非盗来硬件（网卡），否则是没有办 法冒名顶替的（注意：其实也可以盗用，后面将介绍）。 基于 MAC 地址的这种特点，局域网采用了用 MAC 地址来标识具体用 户的方法。注意：具体实现：在交换机内部通过“表”的方式把 MAC 地址和 IP 地址一一对应，也就是所说的 IP、MAC 绑定。 具体的通信方式：接收过程，当有发给本地局域网内一台主机 的数据包时，交换机接收下来，然后把数据包中的 IP 地址按照 “表”中的对应关系映射成 MAC 地址，转发到对应的 MAC 地址的主 机上，这样一来，即使某台主机盗用了这个 IP 地址，但由于他没 有这个 MAC 地址，因此也不会收到数据包。发送过程和接收过程类 似，限于篇幅不叙述。 综上可知，只有 IP 而没有对应的 MAC 地址在这种局域网内是 不能上网的，于是解决了 IP 盗用问题。 五、怎样获得自己的 MAC 地址 MAC 地址固化在网卡中的 BIOS 中，可以通过 DOS 命令取得。 Win9x 用户可以使用 winipcfg 命令，Win2k/XP 用户可以使用 ipconfig/all 命令，其中用 16 进制表示的 12 位数就是 MAC 地址。 六、MAC 地址涉及到的安全问题 从上面的介绍可以知道，这种标识方式只是 MAC 地址基于的， 如果有人能够更改 MAC 地址，就可以盗用 IP 免费上网了，目前网 上针对小区宽带的盗用 MAC 地址免费上网方式就是基于此这种思 10 路。如果想盗用别人的 IP 地址，除了 IP 地址还要知道对应的 MAC 地址。举个例子，获得局域网内某台主机的 MAC 地址，比如想得到 局域网内名为 TARGET 主机的 MAC 地址，先用 PING 命令：PING TARGET，这样在我们主机上面的 ARP 表的缓存中就会留下目标地址 和 MAC 映射的记录，然后通过 ARP A 命令来查询 ARP 表，这样就得 到了指定主机的 MAC 地址。最后用 ARP -s IP 网卡 MAC 地址，命令 把网关的 IP 地址和它的 MAC 地址映射起来就可以了。 如果要得到其它网段内的 MAC 地址，那么可以用工具软件来实 现，我觉得 Windows 优化大师中自带的工具不错，点击“系统性能 优化”→“系统安全优化”→“附加工具”→“集群 Ping”，可以 成批的扫出 MAC 地址并可以保存到文件。 小知识：ARP(Address Resolution Protocol)是地址解析协议， ARP 是一种将 IP 地址转化成物理地址的协议。从 IP 地址到物理地 址的映射有两种方式：表格方式和非表格方式。ARP 具体说来就是 将网络层（IP 层，也就是相当于 OSI 的第三层）地址解析为数据连 接层（MAC 层，也就是相当于 OSI 的第二层）的 MAC 地址。ARP 协 议是通过 IP 地址来获得 MAC 地址的。 ARP 原理：要向主机 B 发送报文，会查询本地的 ARP 缓存表， 找到 B 的 IP 地址对应的 MAC 地址后就会进行数据传输。如果未找 到，则广播 A 一个 ARP 请求报文（携带主机 A 的 IP 地址 Ia——物 11 理地址 Pa），请求 IP 地址为 Ib 的主机 B 回答物理地址 Pb。网上所 有主机包括 B 都收到 ARP 请求，但只有主机 B 识别自己的 IP 地址， 于是向 A 主机发回一个 ARP 响应报文。其中就包含有 B的 MAC 地址， A 接收到 B 的应答后，就会更新本地的 ARP 缓存。接着使用这个 MAC 地址发送数据（由网卡附加 MAC 地址）。因此，本地高速缓存的这 个 ARP 表是本地网络流通的基础，而且这个缓存是动态的。ARP 表： 为了回忆通信的速度，最近常用的 MAC 地址与 IP 的转换不用依靠 交换机来进行，而是在本机上建立一个用来记录常用主机 IP－MAC 映射表，即 ARP 表。 七、如何修改自己的 MAC 地址 MAC 地址是固化在网卡中的，MAC 地址具有唯一性，难道没有 办法更改了么？不是的，我们完全不用修改 EPROM 的内容，而只通 过修改存储单元的内容就能达到修改 MAC 地址的目的。例如在 Windows 中可以通过注册表来修改。 在“开始”菜单的“运行”中输入 regedit.exe，打开注册表编辑 器 ， 展 开 注 册 表 到 ： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class \{4D36E972-E325-11CE-BFC1-08002BE10318}子键，在子键下的 0000，0001，0002 等分支中查找 DriverDesc（如果你有一块以上 的网卡，就有 0001，0002……在这里保存了有关你的网卡的信息， 其中的 DriverDesc 的内容就是你的网卡的信息描述，比如我的网 12 卡就是 Intel 21041 based Ethernet Controller），在这里假设你 的网卡在 0000 子键。 在 0000 子键下添加一个字符串，命名为“NetworkAddress”， 键值为修改后的 MAC 地址，要求为连续的 12 个 16 进制数。然后在 “0000”子键下的 NDI\params 中新建一项名为 NetworkAddress 的 子键，在该子键下添加名为“default”的字符串，键值为修改后 的 MAC 地址。 在 NetworkAddress的子键下继续建立名为“ParamDesc”的字 符串，其作用为指定 NetworkAddress 的描述，其值可为“MAC Address”。这样以后打开网络邻居的“属性”，双击相应的网卡 就会发现有一个“高级”设置，其下存在 MAC Address 的选项，它 就是你在注册表中加入的新项 NetworkAddress，以后只要在此修改 MAC 地址就可以了。 关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的 属性，双击相应网卡项会发现有一个 MAC Address 的高级设置项， 用于直接修改 MAC 地址。 当然，你还可以用工具软件来修改网卡的 MAC 地址，如 MAC2001 这款软件就可以达到我们的目的。 八、如何解决 MAC 地址带来的安全问题 我们可以将 IP 地址和 MAC 地址捆绑起来来解决这个问题。进 入“MS-DOS 方式”或“命令提示符”，在命令提示符下输入命令： 13 ARP -s 10.88.56.72 00-10-5C-AD-72-E3，即可把 MAC 地址和 IP 地址捆绑在一起。这样，就不会出现 IP 地址被盗用而不能正常使 用网络的情况，可以有效保证小区网络的安全和用户的应用。 注意：ARP 命令仅对局域网的上网代理服务器有用，而且是针 对静态 IP 地址，如果采用 Modem 拨号上网或是动态 IP 地址就不起 作用。 不过，只是简单地绑定 IP 和 MAC 地址是不能完全的解决 IP 盗 用问题的。作为一个网络供应商，他们有责任为用户解决好这些问 题之的后，才交给用户使用，而不是把安全问题交给用户来解决。 不应该让用户来承担一些不必要盗用的损失。 作为网络供应商，最常用也是最有效的解决方法就是在 IP、MAC 绑定的基础上，再把端口绑定进去，即 IP－MAC－PORT 三者绑定在 一起，端口（PORT）指的是交换机的端口。这就需要在布线时候做 好端口定时管理工作。在布线时应该把用户墙上的接线盒和交换机 的端口一一对应，并做好登记工作，然后把用户交上来的 MAC 地址 填入对应的交换机端口，进而再和IP一起绑定，达到IP－MAC－PORT 的三者绑定。这样一来，即使盗用者拥有这个 IP 对应的 MAC 地址， 但是它不可能同样拥有墙上的端口，因此，从物理通道上隔离了盗 用者。