作者isapcitfa (下基地去吧!菜鸟)
看板P2PSoftWare
标题[问题] 关於反netcut
时间Thu Oct 12 02:09:33 2006
以下节录 - 微风广场 文件作者:rien (莱因哈特‧冯‧罗严克拉姆)
文件名称:如何避免或破解Netcut造成的断线情形
来源网页:
http://fetag.org/pshowdoc.php?no=2006-02-27%2023:00:43
------------------------------------------------------------
:要破解使用Netcut造成的断线问题,必须先了解Netcut的运作原理。由於Netcut使用的是
:假造ARP封包造成目标主机ARP table记录错误来达成断线目的,因此必须先由ARP协议开
:始说明。
:在乙太网路上仅仅知道某台主机的IP address,并不能立即将封包传送过去,必须先查明
:该主机的实体位址(Physical address / MAC address)才能真正发送出去,而ARP协议的
:功用就是在於将IP address转换成实体位址。
:网路上每一台主机都有一个ARP table,此table中记录了最近一段时间里其它IP address
:及其MAC address的对应关系。如果本机想跟某一台主机通信,则会先在ARP table中查寻
:对应目的主机IP address的MAC address,如果该对应记录存在,则直接将目的主机的
:MAC address填入Data Link层的封包表头中,然後将封包发送出去;如果该对应记录不存
:在,则会向本网段广播一个ARP请求封包,当目的主机听见该请求封包後,会将本身的
:MAC address填入封包并用广播方式回送出去,本机收到此回应封包後,就会将相关讯息
:记录在ARP table中,然後将目的主机的MAC address填入Data Link层的封包表头里。
:由於ARP请求封包发送端只管接收回应讯息,却无法分辨讯息的真伪,因此第三方主机只
:要建构一个ARP欺骗封包,就可以造成请求端的ARP table资讯错误。由於MAC address不
:正确,所以封包就再也无法传送到目的主机上,这就是Netcut造成连线中断的原因。
:举例来说,装有Netcut的A主机向受害B主机发送假的ARP讯息,使得B主机上ARP table中
:对应到闸道器IP address的MAC address,更新成错误的MAC address。由於B主机上网必
:须透过闸道器传送,闸道器的MAC address资讯错误,当然会造成B主机的封包再也无法传
:送到闸道器上,原本建立好的连线也会因为timeout而导致断线的情形发生。
:知道Netcut的运作原理了,可是要怎样才能预防或解决被Netcut断线的问题呢?其实只要
:下达一个小小的指令就可以对Netcut完全免疫了~~
:方法很简单,由於Netcut的工作原理是透过假造ARP封包,造成你主机上的ARP table记录
:到错误的闸道器MAC address,藉此让你的主机跟目地主机间的往来封包发生中断,所以
:你只要将正确的对应位址设定成static记录就可以避免状况发生。
:设定指令如下:
:arp -s 闸道器IP address 闸道器MAC address
:举例来说,假设闸道器的IP address是192.168.88.254,打开命令提示字元,执行ping
:192.168.88.254,只要ping得通就可以得到正确的闸道器MAC address。这时执行 arp
^^^^^^^^^^^^
:-a 就可以查出192.168.88.254的对应MAC address(就是Physical Address)。例如
^^^^
:192.168.88.254的MAC address是00-90-cc-4f-db-18,那麽只要执行 arp -s
^^^^^^^
:192.168.88.254 00-90-cc-4f-db-18 就搞定了。
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
:假如你的主机已经被断线,这时该怎麽办呢?很简单,你只要借用同网段的其他主机查询
:闸道器的MAC address,然後用上述方法将正确的对应资讯加入到你的主机上就行了。
:注意,如果主机的闸道器IP address改变,MAC address通常也会跟着变动,这时只要下
:达 arp -d 就可以将原先设定的ARP table对应资讯清除掉。
------------------------------------------------------------------
请问
1、以上的做法是否能有效反制网路剪刀?
2、上方^^^^^^^部份,请问arp -a一样是在 开始->执行 里输入吗?
我输入了"arp -a 192.168...(闸道ip)"
但是会跳出视窗提示"windows找不到档案或项目arp…",要我再确认想输入的东西
3、arp -s -->问题大致同上
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 220.133.88.47
1F:推 hugoliu:看不懂..... Orz 10/12 02:12
2F:推 eric12356:其实会用到NetCut 都是因为你稿的太夸张才会被钉吧 10/12 02:31
3F:→ eric12356:你如果乖乖限流 人家用的正常 干麻吃饱没事来剪你 10/12 02:31
4F:推 duoen:楼上没遇过恶作剧和恶霸 10/12 03:29
5F:推 duoen:回原文 只需要输入arp -a即可看到IP及MAC ADDress 10/12 03:35
6F:推 isapcitfa:我是有乖乖限流,也没被剪,只是想问起来放罢了,如果我 10/12 04:18
7F:→ isapcitfa:不想限流,又何必问这问题,我直接用netcut剪别人就好了 10/12 04:20
8F:→ isapcitfa:感谢4楼的解答 10/12 04:21
9F:推 lordmi:我看了一下这方法是可行,不过你的对手也不是没办法改ARPtb 10/12 11:28
10F:→ lordmi:总之只能治标,你先观察看看对方有没有这个反制的能力再说 10/12 11:29