| 資安論壇 http://forum.icst.org.tw/phpbb/ |
|
| 請問!如何反制netcut阿 http://forum.icst.org.tw/phpbb/viewtopic.php?f=25&t=8506 |
第 1 頁 (共 1 頁) |
| 發表人: | 小頭 [ 週五 11月 18, 2005 1:26 am ] |
| 文章主題 : | 請問!如何反制netcut阿 |
嗚嗚!小弟住套房!最近真的快瘋掉了! 每次網路都被鎖!我沒開下載也被鎖! 有什麼辦法可以查出下載的人!或是 查出使用netcut 的IP呀!我真著快抓狂了 拜託拜託 |
|
| 發表人: | u8526425-1 [ 週五 11月 18, 2005 8:53 am ] |
| 文章主題 : | |
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=8099 真的有苦主來了 若有相關想法歡迎提出 |
|
| 發表人: | lu [ 週五 11月 18, 2005 9:50 am ] |
| 文章主題 : | |
請問您如何知道是 netcut 做的? 會不會有其它原因 ? |
|
| 發表人: | kj68215 [ 週四 8月 10, 2006 12:16 am ] |
| 文章主題 : | |
若要查,倒不如直接擋掉比較快! netcut終結者 http://forum.icst.org.tw/phpBB2/viewtopic.php?t=10150 最底下有小弟回覆的文;小弟是沒用過啦,給你試試看。 good luck:D |
|
| 發表人: | jonathan_lwo [ 週六 12月 30, 2006 9:49 pm ] |
| 文章主題 : | |
這樣不是每個user 都要裝anti-netcut 的 很麻煩 我覺的最好好是查出是誰在搞破壞的... 惡意搞破壞的啊一定要找出來 !! |
|
| 發表人: | pckill007 [ 週三 1月 24, 2007 8:18 pm ] |
| 文章主題 : | |
要破解使用Netcut造成的斷線問題,必須先了解Netcut的運作原理。由於Netcut使用的是假造ARP封包造成目標主機ARP table記錄錯誤來達成斷線目的,因此必須先由ARP協議開始說明。 在乙太網路上僅僅知道某台主機的IP address,並不能立即將封包傳送過去,必須先查明該主機的實體位址(Physical address / MAC address)才能真正發送出去,而ARP協議的功用就是在於將IP address轉換成實體位址。 網路上每一台主機都有一個ARP table,此table中記錄了最近一段時間裡其它IP address及其MAC address的對應關係。如果本機想跟某一台主機通信,則會先在ARP table中查尋對應目的主機IP address的MAC address,如果該對應記錄存在,則直接將目的主機的MAC address填入Data Link層的封包表頭中,然後將封包發送出去;如果該對應記錄不存在,則會向本網段廣播一個ARP請求封包,當目的主機聽見該請求封包後,會將本身的MAC address填入封包並用廣播方式回送出去,本機收到此回應封包後,就會將相關訊息記錄在ARP table中,然後將目的主機的MAC address填入Data Link層的封包表頭裡。 由於ARP請求封包發送端只管接收回應訊息,卻無法分辨訊息的真偽,因此第三方主機只要建構一個ARP欺騙封包,就可以造成請求端的ARP table資訊錯誤。由於MAC address不正確,所以封包就再也無法傳送到目的主機上,這就是Netcut造成連線中斷的原因。 舉例來說,裝有Netcut的A主機向受害B主機發送假的ARP訊息,使得B主機上ARP table中對應到閘道器IP address的MAC address,更新成錯誤的MAC address。由於B主機上網必須透過閘道器傳送,閘道器的MAC address資訊錯誤,當然會造成B主機的封包再也無法傳送到閘道器上,原本建立好的連線也會因為timeout而導致斷線的情形發生。 知道Netcut的運作原理了,可是要怎樣才能預防或解決被Netcut斷線的問題呢?其實只要下達一個小小的指令就可以對Netcut完全免疫了~~ 方法很簡單,由於Netcut的工作原理是透過假造ARP封包,造成你主機上的ARP table記錄到錯誤的閘道器MAC address,藉此讓你的主機跟目地主機間的往來封包發生中斷,所以你只要將正確的對應位址設定成static記錄就可以避免狀況發生。 設定指令如下: arp -s 閘道器IP address 閘道器MAC address 舉例來說,假設閘道器的IP address是192.168.1.254,打開命令提示字元,執行ping 192.168.1.254,只要ping得通就可以得到正確的閘道器MAC address。這時執行 arp -a 就可以查出192.168.1.254的對應MAC address(就是Physical Address)。例如192.168.1.254的MAC address是0A-90-0C-4F-DB-18,那麼只要執行 arp -s 192.168.1.254 0A-90-0C-4F-DB-18 就搞定了。 假如你的主機已經被斷線,這時該怎麼辦呢?很簡單,你只要借用同網段的其他主機查詢閘道器的MAC address,然後用上述方法將正確的對應資訊加入到你的主機上就行了。 注意,如果主機的閘道器IP address改變,MAC address通常也會跟著變動,這時只要下達 arp -d 就可以將原先設定的ARP table對應資訊清除掉。 |
|
| 發表人: | realmax [ 週五 1月 26, 2007 8:47 pm ] |
| 文章主題 : | |
謝謝pckill007大,ARP欺騙的原理講的很清楚,原來是這樣運作的呀! |
|
| 發表人: | chjquest [ 週五 5月 04, 2007 2:25 pm ] |
| 文章主題 : | |
pckill007講的方法我不知道1.5版是否可行, 但是可以確定的是2.0版的netcut + WinPcap 4.0是行不通. 剛剛做了一點小實驗, 其實很簡單. Netcut這套軟體是MAC Layer的攻擊. 他不只會在被攻擊的系統上送出不正確的Gateway MAC address, 相對的"可能"也會送給Gateway不正確的資訊(藉此導致雙向都出問題). 因此, 僅針對被害系統上的arp table修正gateway mac address對netcut 2.0來說是不夠的. 如果要讓被害系統上線, 還要做一件事情, 就是臨時性的修改網路卡的mac address. 像是就Windows 而言, 網路卡的設定就可以手動輸入自己要的網卡mac address. 這樣可以暫時性的躲開netcut針對原本的mac address的阻斷封鎖. 隨便找一組不是自己本身的網卡mac address寫入後, 馬上就可以解除別人用netcut造成的封鎖. PS : 剛剛實驗了一下, netcut 2.0比1.x版強很多. 偵測的能力很快, 像是多增加一組IP, netcut馬上就會顯示出來, 然後我修改mac address, 也是沒多久就多偵測到一個系統上線. 因此, 如果要避免攻擊, 其實也可以自己裝個netcut, 程式本身也提供保護的功能. (目前看到是2.0版有這個功能) |
|
| 發表人: | wscooch [ 週六 5月 05, 2007 10:47 am ] |
| 文章主題 : | |
看來如果要解決 netcut 類似的問題, 似乎需要從網路設備著手才能克服, 只是不知有沒有網友有實作案例及 LAB 測試結果可提供分享的? |
|
| 發表人: | midaslaoh [ 週五 5月 11, 2007 10:54 am ] |
| 文章主題 : | Re: 請問!如何反制netcut阿 |
小頭 寫: 嗚嗚!小弟住套房!最近真的快瘋掉了!
每次網路都被鎖!我沒開下載也被鎖! 有什麼辦法可以查出下載的人!或是 查出使用netcut 的IP呀!我真著快抓狂了 拜託拜託 用 netcut 的人也可以改IP和 mac 呀 即使你找到IP 也沒用 真的找不到的話就用試誤法 到 switch 去一條條拔線測試看看是誰 找到以後看你怎樣處理囉 |
|
| 第 1 頁 (共 1 頁) | 所有顯示的時間為 UTC + 8 小時 |
| Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |
|