被netcut鎖的很無辜

[ellery]

netcut的原理是?

[cheerx]

引用:

作者: ellery

netcut的原理是?

發假的ARP欺騙SWITCH或是ROUTER.

這問題需要SWITCH和ROUTER都有支援才可以從技術面解決,如果不從技術面的話,就看房東肯不肯把抓到的人網路斷線,肯的話就請人來抓一下封包就知道是誰了.

[leo755034]

引用:

作者: u8526425

咳...其實cheerx網友講的沒錯
所以沒辦法給什麼step-by-step instruction

我因為看過很多人遭過netcut毒手
特別上網找過相關解法 (google -> arp spoofing)
原則上我不認為可以輕易解決這問題
除非是特別設計過的網路架構
而且管理者有一定程度且有充份權限

so...你知道的
自己牽一條WAN應該是不錯的解法 (或試著切VLAN看看)

對阿
畢竟這裡只是一般學生住宿的地方~
自己簽一條WAN要錢^^"

其實最近還是看看某大的方法
自己拔線來抓NETCUT使用者...
祝我早日破案吧

[shisin]

引用:

作者: leo755034

對阿
畢竟這裡只是一般學生住宿的地方~
自己簽一條WAN要錢^^"

其實最近還是看看某大的方法
自己拔線來抓NETCUT使用者...
祝我早日破案吧

我在google找到一套防護軟體，網址如下，試試看吧!

http://blog.mowd.idv.tw/index.php?pl=439

[cappella]

對了!! 最近有些 onlien game 的盜帳號 木馬程式
是使用 ARP 攻擊

很多人 在網咖 被別人用ARP 搞過, 帳號就被盜了

轉貼:
原文出處
http://big5.pconline.com.cn/b5/itbbs...sp?tid=3031153

引用:

防護arp攻擊軟體最終版-Antiarp安全軟體
http://www.e76.cn/down/aqxg/5820.html

使用方法：
1、填入通訊閘IP地址，點擊〔獲取通訊閘地址〕將會顯示出通訊閘的MAC地址。點擊[自動防護]即可保護目前網卡與該通訊閘的通信不會被第三方監聽。注意：如出現ARP欺騙提示，這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包，如果您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃瞄器可以找出IP 對應的MAC地址.

2、IP地址衝突
如頻繁的出現IP地址衝突，這說明攻擊者頻繁發送ARP欺騙數據包，才會出現IP衝突的警告，利用Anti ARP Sniffer可以防止此類攻擊。

3、您需要知道衝突的MAC地址，Windows會記錄這些錯誤。查看具體方法如下：
右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統]--查看來源為[TcpIP]---連續按兩下事件可以看到顯示地址發生衝突，並記錄了該MAC地址，請複製該MAC地址並填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉換為-)，輸入完成之後點擊[防護地址衝突]，為了使MAC地址生效請禁用本地網卡然後再啟用網卡，在CMD命令行中輸入Ipconfig /all，查看目前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果修改失敗請與我聯繫。如果成功將不再會顯示地址衝突。
注意:如果您想恢復默認MAC地址,請點擊[恢復默認],為了使MAC地址生效請禁用本地網卡然後再啟用網卡。

全中文介面，綠色不用裝設


以後網路ARP攻擊可以告一段落了，高興。

[leo755034]

引用:

作者: cappella

對了!! 最近有些 onlien game 的盜帳號 木馬程式
是使用 ARP 攻擊

很多人 在網咖 被別人用ARP 搞過, 帳號就被盜了

轉貼:
原文出處
http://big5.pconline.com.cn/b5/itbbs...sp?tid=3031153

感動阿!這樣就可以抓出兇手了..
在抓出之前~我先來熟悉一下此軟體!

[gd2k]

netcut 我猜是發送假封包給 gateway，所以對自己的電腦設 gateway 的 mac address應該是無效，gateway被欺騙了？反置之道應該是不斷的向 gateway 送自己的 ip 和 mac address 的 pair。
你的情形可以 netcut 回去，之後一定會有人跳腳，大家再攤開來講，這種事沒別的方法。
會有人用 netcut 想必有人亂載，cut得人技術不好，不會用ping，而你剛好是那一個倒楣被cut的人。

[ellery]

引用:

作者: cheerx

發假的ARP欺騙SWITCH或是ROUTER.

http://en.wikipedia.org/wiki/ARP_spoofing

[FYI]

arp -s (避免被騙, 但不能防止閘道器被騙)
停用ICMP, 避免廣播, 避免暴露MAC
變更MAC
更換IP

想要以其人之道還治其人之身, 建議以Packetyzer 觀察NetCut 的行為
新版NetCut 包含反制功能

以下只是一些不成熟的構想, 可能沒有用, 等小弟想清楚了再來更新
Developments of the Honeyd Virtual Honeypot
Nmap - Free Security Scanner For Network Exploration & Security Audits.

Simply add these three registry DWORD values to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:

MaxUserPort
Set a large value such as 65534 (0x0000fffe). See MS KB Q196271.

TCPTimedWaitDelay
Set the minimum value (0000001e). See MS KB Q196271.

StrictTimeWaitSeqCheck
Set to 1 so TcpTimedWaitDelay is checked.