“长角牛网络监控机(原名网络执法官)”另类案例


    有的用户利用本软件完成一些令我们意想不到的工作,我们准备收集一些这样的“另类”小案例,也许会对您有所启发。无论您是否注册用户,我们都热忱欢迎您介绍您的应用经验,有意者请与邮箱 netrobocop@263.net 联系。
案例五: “不可能的任务”—— 利用“长角牛网络监控机”给下载减速
    现在局域网中的用户用BT、迅雷等软件下载的情况很普遍,众所周知,这种P2P类型的下载方式会产生大量连接,占据网络带宽,造成其他用户上网困难,甚至不能上网。我们对网络中的这种用户,既不能放任他影响别人,又不能完全断开他的网络。我们试过专门的P2P管理软件,发现都是采用伪装成网关的方式,反而会影响网速;我们以注册用户的身份询问“长角牛网络监控机”技服人员,得到的回答也是“只能在网关上想办法,‘长角牛网络监控机’没有限速功能”。这真是个难题啊。
    不过现在,经过本人的实践,我宣布:“长角牛网络监控机”具备限速功能!(编者:我们至今仍不完全赞同这一说法。)其原理就是通过调整软件的“管理频率”来管理用户但又不完全断开用户。以前我们就咨询过,如果不能彻底断开用户,可采取的措施之一就是加大管理频率,也就是说:对不同的网络,存在一个管理频率,能让被管理的用户不被完全断开,但是上网又会受到一定程度的限制。
    如果能够确定哪台机器在采用P2P方式下载,那么,在“长角牛网络监控机”中将其设为非法用户并令其与网关断开(如果不想让用户的ARP防火墙产生警告的话,记得选“静默断开”方式),并选择一个合适的管理频率。在我们网络中,如果管理频率选为12的话,那么该用户与外网的连接数不会超过150个,下载速度会在30kB/s至300kB/s之间,不再象以前那样贪婪地占据网络资源,其他用户访问页面、收发邮件一下子正常了。
    用这种方式来限制下载,缺陷在于无法做到精确控制,而且各网络情况不一样,需要试出最佳的管理频率。如果您可以购买数万元的路由器作为网关,并能耐心地逐个分配各用户的资源,而且还可以经常登录到路由器上检查、修改配置,那么完全可以无视我们这种“土方法”。

(江苏 李先生)
案例四: 反ARP欺骗,路由器PK“长角牛网络监控机”
    近来我们的局域网中流行ARP欺骗,总有用户反映网速慢(其实ARP欺骗更严重的后果是盗窃用户的邮箱、FTP、论坛等密码;插入数据包,向用户机器种入木马等,但一般的用户可能没觉察到)。
    为解决ARP欺骗,我们特地花了人民币一万多元更换了一台“能防止ARP欺骗”的路由器。换上新的路由器才过了一天,老毛病又出来了,这下麻烦大了,钱花了事没办好,领导那里不好交待呀。经朋友介绍,我们弄到了一份“长角牛网络监控机企业试用版”,一运行就发现,网络中有两台计算机的ARP流量很大,不到1小时就涨到了40多万,而且在软件看到这两台机器都还带有网关(路由器)的IP,这肯定不正常。好在软件中显示了这两台机器的MAC和“网卡生产厂家”,我们很快地找到这两台计算机并关机,网络很快就正常了。经询问“长角牛网络监控机”软件客服得知,这种情况就是典型的ARP欺骗,原因是机器中了病毒、木马或故意运行了某些软件。
    我们正感叹“长角牛网络监控机”功能强大,效果胜过了路由器,这时发现了一个问题:“长角牛网络监控机”中显示路由器的ARP流量很高,一个小时达到了几万个。再与软件客服联系,最终弄清楚了:
    1、原来“反ARP欺骗”的路由器的工作原理就是不断地广播自已的MAC地址,我们登录到路由器上看,它的“主动MAC广播”(其它路由器中可能是“主动ARP广播/免费ARP广播/MAC地址广播”等类似选项)设置为6个/秒,难怪我们在软件中看到路由器的ARP流量很高。
    2、为了成功地施行欺骗,有的木马、病毒或软件发包速度很高,有可能达到每秒几百甚至上千,这样就把路由器压制住了,所以“反ARP欺骗”的路由器就会失效;
    3、除了全部更换可管理交换机并给交换机每个端口设定MAC过滤外,采用其它的硬件、软件都不可能彻底防止ARP欺骗。
    利用路由器来防止ARP欺骗,其特点是原理简单,工作可靠,缺点是功能单一,无法检测到ARP欺骗的来源,而且发包速度不能与ARP欺骗来抗衡,很容易失效;利用“长角牛网络监控机”来防止ARP欺骗,其特点是可以很快发现ARP欺骗的来源,并自动进行屏蔽(试用版没有自动屏蔽功能,可恨呀),缺点是需要占用一台计算机,而且为防止网络堵塞,它的发包速度也不高,不能做到完全恢复各用户与网关的连接。
    防止网络中ARP欺骗的攻击,我们觉得“长角牛网络监控机”的机制更有效一些,因为最彻底的方法还是网络管理员亲自出马,去处理发出ARP欺骗的机器,这就只有依靠“长角牛网络监控机”来找到攻击源了。另外还要注意,开启“长角牛网络监控机”的时候,需要关闭路由器的“反ARP欺骗”功能,否则会影响软件“断开用户与路由器之间连接”的管理效果。

(深圳 李先生)
案例三:协助警察 抓住窃贼
    看了《揪出网络中的“窃贼”》这篇文章,我要说的是“网络执法官”帮助警察抓到了真正的贼。
    前不久的一个深夜,我单位被小偷光顾,从二楼到三楼,十几个办公室被撬开,翻得乱七八糟,办公用的电脑也被打开机箱,CPU、内存条、硬盘等配件全部盗走。直接经济损失不算太大(同志们的私房钱不作统计),但财会室和设计室损失惨重,硬盘丢失了,近期未备份的数据全完了啊。
    很快警察来斟查现场,录取证据。最终问题集中在一点:小偷究竟是什么时间闯进来的?大家议论纷纷,但都说不出什么线索。我突然灵光一闪:我的办公室(网络中心机房)在四楼,未被小偷光顾,而我长期运行着“网络执法官”,办公室里的一些年轻人喜欢在下班后挂机“升级”或者下载“巨型资料”,那么,“网络执法官”检测到这些机器下线的时间岂不就是小偷闯入的时间?!想到这里,我立即上楼查看,果然,通过“网络执法官”的记录,看到这些机器在凌晨2点左右下线。询问软件作者得知,“网络执法官”以本机的时间来记录,并不是记录各机器各自的时间;再来看详细记录,可以看出,小偷从三楼开始,然后到二楼;而且从各机器的下线时间间隔来看,小偷肯定不止一个人,很可能是三个人或以上。我把线索提供给警察,同事们简直都把我当成了英雄,有的人甚至打趣说“这么清楚啊,是你做的内应吧。”
    人民警察率果然高,才过了一天,就通知我们单位去领丢失的物品。据“消息灵通”人士讲,我提供的线索帮了大忙,警察几乎就没绕弯子,直接去了小偷的“窝”,随便说了几句“你们几点几分干什么了”、“先开某某办公室、后开某某办公室,几点几分进的财会室”,那小子当时就傻了,一下子就全招了。由于破案及时,硬盘数据还没被破坏,财会室和计设室的同志高兴坏了;但某些同志的私房钱未列入“失物清单”,没法要回来了(估计也不敢要,万一传到夫人耳朵里那还了得)。
    从这件事后,领导在开会时再也没要求下班后一定关掉计算机了;而且可以看出,我在领导及同事们心中的形象,又稍微高大了一点。

(山东 曾先生)
案例二:揪出网络中的“窃贼”
    我是一名网管,本单位网络很小,机器一共40台左右。近来经常有用户反映邮箱、游戏等账号丢失,我总以为是用户机器上有木马之类的软件作怪,但多次详细检查都没有发现问题,令人头痛不已。直到最近,我才抓住网络中的这个作怪的窃贼。
    我一直在找一款适合于我们网络的管理软件,这天偶然下载安装了“网络执法官”试用版,一开始运行就发现了一个奇怪现象:“用户列表”中有一张网卡居然和网关有相同的IP!按常规来讲,这会与网关产生IP冲突,造成用户都不能访问外网,但现在网络看上去没有什么问题,那么一定是有大问题!虽然我以前并没有建立用户-MAC对照表,但通过网卡生产厂家“IBM Corporation”我很快就找到了该用户(幸好网络中使用IBM机器的人不多,建议管理员最好还是下一次工夫,建立用户-MAC对照表,能极大地方便管理)。通过观察,该用户极有可能在使用“传奇网吧盗号”之类的盗窃软件!于是我留意机会,抓了他个现行......后来的事不用细说,反正在我享受完一顿海鲜之后,天下太平了。
    为什么在“网络执法官”中使用盗号类软件的机器会显示出与网关相同的IP?而网络又能连接?经过分析,我发现了这种盗窃软件的原理。假设运行盗窃软件的机器为A,A机器会向各个用户发出ARP回应,伪装成网关,这样,其它机器都会将A认为是网关,所有出网关的数据都会流向A再由A转发到网关;A同时还向网关伪造ARP回应,使网关认为所有客户的IP都在A上,网关会把送到各用户的数据都流向A再由A转发到各用户。利用这种方式,A截取所有用户数据并从中盗取用户账号、密码。从工作原理可以得知,这种盗窃方式对网络危害极大,除窃取信息外,还会使所有数据通过A转发,造成网络拥堵。
    最近我还发现,有的网络管理软件,比如“聚x网管”等,居然也采用这种方式,令所有用户数据经自己转发来达到管理的目的,不仅造成网络阻塞,而且一旦软件或机器出现问题,会造成全网断线,得不偿失。好在类似的软件都可以用“网络执法官”检测出来。
    建议管理员平时多运行一下“网络执法官”(哪怕是试用版),很可能会有意想不到的收获。如果你也发现有个用户的IP与网关一样,那么,恭喜你,晚餐会有人请你吃海鲜了。

(浙江 冯先生)
案例一:抓回游荡在外的交换机
    我单位新购入一台3COM交换机,型号为3C17206。本来说好由经销商配上IP(我们网络中都是静态IP),但后来竟忘了。该机器离我们较远,我们也不想去开机柜,费劲,就凑合用。因此,那台没IP的交换机就这样一直脱离管理,游荡在外。
    前几天代理服务器挂了,还好那天正是大休,不急,找来供货商就OK。我找了台路由器,把几台机器临时用起来。闲着无事,打开“网络执法官”,看到平时满屏的机器如今只有几台不觉有点失落。突然,看到一个陌生的机器,被自动管理,再一细看,注释(生产厂家)为 “3COM EUROPE LTD”,正在思量谁会用带3COM网卡的机器偷偷接进来,忽然灵光一闪,莫非这就是那台在外游荡已久的交换机?我立即停止对它的管理,在IE地址栏中输入其IP,输入默认的用户名admin及空口令,天哪,果然就是它,这个在外游荡了大半年的家伙,终于回到了手中。赶紧为它配上一个静态IP,再修改一下口令,这下可抓牢了。
    后来想起来,3C17206应该有自动申请IP的功能,平时网络中没有DHCP,所以一直得不到IP,也不会被检查到;这次临时用的路由器启用了DHCP,于是该交换机自动获取了IP,再加上“网络执法官”不仅找到了这个IP,还显示出生产厂家,让我一下子就认出了它。
    想不到“网络执法官”利用一个稍纵即逝的机会帮我抓回了一台交换机,这也算是一个“变态”的案例吧。

(湖北武汉 张先生)

待续......