|
前段时间单位外网里ARP病毒盛行,大厅里的一台电脑总是出问题。我们这大部分电脑都是连的内网,所以能上外网的电脑就比较抢手。大厅里又是人来人往,其他同事要用一下电脑是常有的事。虽然电脑都有密码,时间长了这些密码都成了公开的秘密。再说,别人开口问你,也不好意思不说吧。他用了染上了病毒走了,影响你的正常工作,确实挺可气的。
看样用密码这招是行不通了,硬的不行咱来软的。别人来用电脑无非就是想上上网,只要让网络不通,不用你撵他自然就会走了。思路有了,搞破坏那方法太多了,咱不会修还不会破坏吗。经过一番研究,确定了初步方案:利用IPSce阻断端口的方法来达到阻止上网的目的。在XP系统里,步骤是这样的:
一、在“IP安全策略”里添加一条名为“block”的策略
打开“控制面板”“管理工具”“本地安全策略”“IP安全策略”,建立一个名称为“block”的策略,添加“IP规则”,添加“IP筛选器”:筛选器列表地址任意、协议任意、端口任意、镜像开;筛选器操作“阻止”;连接类型“所有网络连接”。
指派刚刚建立的策略,检验是不是已经不能上网了。
二、建立两个批处理文件block.bat pass.bat ,用以在命令提示符下启用和禁用策略
Xp系统需要ipseccmd.exe这个文件才能在命令行下操作IPSec。它没有默认安装,可以去网上下载,或者在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中解压出来,把它放到Windows文件夹里。
建立两个批处理文件,放到Windows文件夹里
Block.bat用来“指派”block这个策略,其内容为:
@echo off
ipseccmd -w reg -p block –x
pass.bat用来“不指派”block策略,内容为:
@echo off
ipseccmd -w reg -p block –y
三、在开始菜单上创建这两个批处理文件的快捷方式
快捷方式的属性里运行方式选“最小化”,并且分别指定一个快捷键。
到现在,按你给block.bat指定的快捷键所用网络通讯都阻断,网就上不了了。按你给pass.bat指定的快捷键安全策略取消,上网恢复正常。为了防止别人通过重启机器绕过限制,我们还要进行第四个步骤。
四、将block.bat加入启动项,这样每次开机网都是不通的。
好了,步骤就是这样的。现在开机时自动运行block.bat,网络是断的,需要上网时按一下设置的快捷键调出pass.bat,网络又通了。别人来了要上网,你起身的同时悄悄按下block.bat的快捷键,网络马上就断了,接下来就是等他主动离开了。里面的文件名、快捷方式的位置、启动项的位置自己改改吧,藏的越隐蔽越好。
顺便说一下,我最初是用arp欺骗的原理,给电脑绑定了错误的网关MAC,来达到断网的目的。我设置好没有十分钟,那边就来电话了,说来了个人拔了下网线又能上了。晕~~~ 那人以为网线没插好,他拔插网线的过程让网卡重新初始化,把我绑的那个错误的MAC清掉了。后来改进方法,想到了几个方法都不太合适:禁用网卡--太容易被发现、配置错误的ip参数--速度慢、用widows防火墙—禁不掉所有的通讯、用TCP/IP筛选—那东西要重启才能起作用。大家还有什么比较好的方法,一起交流交流。
这个方法最大的缺陷就是网络貌似时通时不通,我们这些又苦又累的网管要背黑锅了。没办法,助人为乐嘛,帮助别人也是在帮助自己,至少不用总是去修了。
|
