“網(wǎng)絡(luò)執(zhí)法官”是一款局域網(wǎng)管理輔助軟件，采用網(wǎng)絡(luò)底層協(xié)議，能穿透各客戶端防火墻對網(wǎng)絡(luò)中的每一臺主機(jī)（本文中主機(jī)指各種計(jì)算機(jī)、交換機(jī)等配有IP的網(wǎng)絡(luò)設(shè)備）進(jìn)行監(jiān)控；采用網(wǎng)卡號（MAC）識別用戶，可靠性高；軟件本身占用網(wǎng)絡(luò)資源少，對網(wǎng)絡(luò)沒有不良影響。軟件不需運(yùn)行于指定的服務(wù)器，在網(wǎng)內(nèi)任一臺主機(jī)上運(yùn)行即可有效監(jiān)控所有本機(jī)連接到的網(wǎng)絡(luò)（支持多網(wǎng)段監(jiān)控）。

主要功能

實(shí)錄用戶存檔

網(wǎng)絡(luò)中任一臺主機(jī)，開機(jī)即會被本軟件實(shí)時檢測并記錄其網(wǎng)卡號、所用的IP、上線時間、下線時間等信息，該信息自動永久保存，可供查詢，查詢可依各種條件進(jìn)行，并支持模糊查詢。利用此功能，管理員隨時可以知道當(dāng)前或以前任一時刻任一臺主機(jī)是否開機(jī)、開機(jī)多長時間，使用的是哪一個IP、主機(jī)名等重要信息；或任一臺主機(jī)的開機(jī)歷史。

自動偵測

管理員登記完或軟件自動檢測到所有合法的主機(jī)后，可在軟件中作出設(shè)定，拒絕所有未登記的主機(jī)接入網(wǎng)絡(luò)。一旦有未登記主機(jī)接入，軟件會自動將其MAC、IP、主機(jī)名、上下線時段等信息作永久記錄，并可采用聲音、向指定主機(jī)發(fā)消息等多種方式報警，還可以根據(jù)管理員的設(shè)定，自動對該主機(jī)采取IP沖突、與關(guān)鍵主機(jī)隔離、與網(wǎng)絡(luò)中所有其它主機(jī)隔離等控制措施。

限定主機(jī)IP

管理員可對每臺主機(jī)指定一個IP或一段IP，當(dāng)該主機(jī)采用超出范圍的IP時，軟件會判定其為“非法用戶”，自動采用管理員事先指定的方式對其進(jìn)行控制，并將其MAC、IP、主機(jī)名作記久記錄備查。管理員可事先指定對非法用戶實(shí)行IP沖突、與關(guān)鍵主機(jī)隔離、與其它所有主機(jī)隔離等管理方式。

限定連接時段

管理員可指定每臺主機(jī)在每天中允許與網(wǎng)絡(luò)連接的時段或不允許與網(wǎng)絡(luò)連接的時段（可指定兩個時段，如允許每天8:30-12:00和13:30-17:00與網(wǎng)絡(luò)連接），并可指定每一用戶是否被允許在每個周六、周日與網(wǎng)絡(luò)連接。對違反規(guī)定的用戶，軟件判其為非法用戶，自動記錄并采用管理員事先指定的方式進(jìn)行管理。管理方式同樣可為IP沖突、與關(guān)鍵主機(jī)隔離、與其它所有主機(jī)隔離等。

該軟件的主要功能是依據(jù)管理員為各主機(jī)限定的權(quán)限，實(shí)時監(jiān)控整個局域網(wǎng)，并自動對非法用戶進(jìn)行管理，可將非法用戶與網(wǎng)絡(luò)中某些主機(jī)或整個網(wǎng)絡(luò)隔離，而且無論局域網(wǎng)中的主機(jī)運(yùn)行何種防火墻，都不能逃避監(jiān)控，也不會引發(fā)防火墻警告，提高了網(wǎng)絡(luò)安全性。管理員只需依據(jù)實(shí)際情況，設(shè)置各主機(jī)的權(quán)限及違反權(quán)限后的管理方式，即可實(shí)現(xiàn)某些具體的功能，如禁止某些主機(jī)在指定的時段訪問外網(wǎng)或徹底禁止某些主機(jī)訪問外網(wǎng)；保護(hù)網(wǎng)絡(luò)中關(guān)鍵主機(jī)，只允許指定的主機(jī)訪問等等。

軟件原理

ARP（Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。

ARP原理：某機(jī)器A要向主機(jī)B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機(jī)A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請求，但只有主機(jī)B識別自己的IP地址，于是向A主機(jī)發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。

ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。因此，當(dāng)局域網(wǎng)中的某臺機(jī)器B向A發(fā)送一個自己偽造的ARP應(yīng)答，而如果這個應(yīng)答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當(dāng)A接收到B偽造的ARP應(yīng)答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。

由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C。這就是一個簡單的ARP欺騙。網(wǎng)絡(luò)執(zhí)法官利用的就是這個原理。

軟件屏蔽

屏蔽網(wǎng)絡(luò)執(zhí)法官的解決方式

利用Look N Stop防火墻，防止arp欺騙

1.阻止網(wǎng)絡(luò)執(zhí)法官控制

網(wǎng)絡(luò)執(zhí)法官是利用的ARp欺騙的來達(dá)到控制目的的。

ARP協(xié)議用來解析IP與MAC的對應(yīng)關(guān)系，所以用下列方法可以實(shí)現(xiàn)抗拒網(wǎng)絡(luò)執(zhí)法官的控制。如果你的機(jī)器不準(zhǔn)備與局域網(wǎng)中的機(jī)器通訊，那么可以使用下述方法：

A.在“互聯(lián)網(wǎng)過濾”里面有一條“ARP : Authorize all ARP packets”規(guī)則，在這個規(guī)則前面打上禁止標(biāo)志；

B.但這個規(guī)則默認(rèn)會把網(wǎng)關(guān)的信息也禁止了，處理的辦法是把網(wǎng)關(guān)的MAC地址（通常網(wǎng)關(guān)是固定的）放在這條規(guī)則的“目標(biāo)”區(qū)，在“以太網(wǎng)：地址”里選擇“不等于”，并把網(wǎng)關(guān)的MAC地址填寫在那時；把自己的MAC地址放在“來源”區(qū)，在“以太網(wǎng)：地址”里選擇“不等于”。

C.在最后一條“All other packet”里，修改這條規(guī)則的“目標(biāo)”區(qū)，在“以太網(wǎng)：地址”里選擇“不等于”，MAC地址里填FF:FF:FF:FF:FF:FF；把自己的MAC地址放在“來源”區(qū)，在“以太網(wǎng)：地址”里選擇“不等于”。其它不改動。

這樣網(wǎng)絡(luò)執(zhí)法官就無能為力了。此方法適用于不與局域網(wǎng)中其它機(jī)器通訊，且網(wǎng)關(guān)地址是固定的情況下。

如果機(jī)器需要與局域網(wǎng)中的機(jī)器通訊，僅需要擺脫網(wǎng)絡(luò)執(zhí)法官的控制，那么下述方法更簡單實(shí)用（此方法與防火墻無關(guān)）：

進(jìn)入命令行狀態(tài)，運(yùn)行“ARP -s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC”就可以了，想獲得網(wǎng)關(guān)的MAC，只要Ping一下網(wǎng)關(guān)，然后用Arp -a命令查看，就可以得到網(wǎng)關(guān)的IP與MAC的對應(yīng)。此方法應(yīng)該更具通用性，而且當(dāng)網(wǎng)關(guān)地址可變時也很好操作，重復(fù)一次“ARP -s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC”就行了。此命令作用是建立靜態(tài)的ARP解析表。