根據我所知,所謂的Netcut or P2pover攻擊,
都是透過所謂的ARP-spoofing。
當我們住在外面通常都是共用一條網路線,透過router之類的東西分享網路頻寬,
但是我們要如何透過router去共用網路頻寬呢~?
就是透過ARP這個機制!!
一般的電腦都是dynamic arp,也就是
當你要送出一個資訊時,你會發出一個ARP去找你的Gateway。
(假設Gateway:192.168.0.1。)
那麼就是會廣播一個訊息去說:『請問誰是192.168.0.1』
然後你的router就會舉手說:『我就是!!我的MAC位置是XX:XX:XX:XX』
最後你才透過真實的Physical Address (MAC Address)送資料給你的router!!!
而原本的Netcut原理,就是當你在問:『請問誰是192.168.0.1』
然後Netcut就會說:『選我選我選我!!!!』
於是你的電腦就會受到欺騙,沒有將資料正確的送到你要的Gateway,
然後資料就送不出去,結果網路當然就斷掉啦!!!
那麼簡單的防制方法就是跟自己的電腦說清楚我們的Gateway在哪!!(Static Arp)
指令:「arp -s router_IP router_macaddress」
原本以為這樣好像就萬事OK了= =++,我們電腦知道我們要的Gateway在哪了呀!!
於是我很開心的ping 我的gateway.....
『ping 192.168.0.1』
..................沒有回應........居然找不到!!!為什麼XDDDDD
原來新版的netcut似乎會在自己的電腦端還有Gateway端都做一樣的欺騙。
因此只要你的arp table有攻擊端的arp資訊似乎就會造成
「你的電腦」 與「 router」 兩端無法連接,
所以目前已知的方法就是使用不斷的「arp -d 」清除arp table的方法解決問題,
只是這好像變成「攻擊端電腦送ARP欺騙」與 「目標端清除arp table」 的速度競賽了QQ
總之如果有被攻擊的現象,只要安裝Anti-netcut應該就可以解決。: )
1.嚴格來說不是改gateway的arp table(gateway通常是一台router或是adsl小烏龜,netcut沒有權限是無法登入修改裡面的設定的),而是不斷的發送錯誤arp封 包(錯誤的reply封包),讓區網內的電腦無法將封包正確的送出區網,造成無法連到區網外部的情況.
2.只是單方面的arp綁定是有漏洞的,比較完整的做法是雙向綁定,也就是包含gateway上的設定以及機台上的設定都要做到靜態綁定(arp -s)的動作
來源:資安論壇
Netcut症狀
1.網路時好時壞(5-10分鐘斷一次)
2."修復連線"後正常
3.arp -a指令查到的閘道位址與事實不符
網路上找了一下發現大部分流傳的解決方法是把閘道寫入static arp table,不過這個方法在小弟實測後破功,可能是新版的netcut(2.06)不只會欺騙目標電腦也會欺騙閘道,除非閘道也寫入static arp table不過宿舍設備沒有這個功能,就算目標電腦沒有被欺騙但是閘道會被欺騙,根據網路上的資料顯示目前有做ARP防護的交換器並不多,難道就這樣擺濫 嗎?終於我在網路上找到一個用vb寫的arp table清除工具,他會自動去清除ARP Cache的資料,小弟就模仿用Java寫了一個Anti-netcut,這個工具會每隔1.8秒執行一次"arp -d *"指令,當網路程式要連線時找不到閘道MAC會送出詢問,這樣就能修正在閘道上錯誤的MAC,不過這個程式造成網路上ARP廣播封包增加的情況。
說這麼多似乎都沒有講到怎麼抓ARP攻擊,這個要從這些ARP攻擊程式是怎麼來的說起,一直以來我們都認為只有Netcut會造成這樣的情況(因 為他比較有名,操作也比較簡單),直到小弟在網路上找到幾篇網咖業者的討論文,內容是說最近某款遊戲的外掛含有ARP攻擊的"附加功能",後來小弟去求證 這個消息,發現滿多款外掛都會這樣...!@#$%^&*(%^&#%^*
抓ARP攻擊只有一個方法那就是用Sniffer去看網路上的ARP封包
1.Wireshark(原Ethereal)
2.Anti-arp Sniffer
來源:http://nansen.ispaz.blogdns.org/blog/index.php?entry=entry061216-201836
