作者isapcitfa (下基地去吧!菜鳥)
看板P2PSoftWare
標題[問題] 關於反netcut
時間Thu Oct 12 02:09:33 2006
以下節錄 - 微風廣場 文件作者:rien (萊因哈特‧馮‧羅嚴克拉姆)
文件名稱:如何避免或破解Netcut造成的斷線情形
來源網頁:
http://fetag.org/pshowdoc.php?no=2006-02-27%2023:00:43
------------------------------------------------------------
:要破解使用Netcut造成的斷線問題,必須先了解Netcut的運作原理。由於Netcut使用的是
:假造ARP封包造成目標主機ARP table記錄錯誤來達成斷線目的,因此必須先由ARP協議開
:始說明。
:在乙太網路上僅僅知道某台主機的IP address,並不能立即將封包傳送過去,必須先查明
:該主機的實體位址(Physical address / MAC address)才能真正發送出去,而ARP協議的
:功用就是在於將IP address轉換成實體位址。
:網路上每一台主機都有一個ARP table,此table中記錄了最近一段時間裡其它IP address
:及其MAC address的對應關係。如果本機想跟某一台主機通信,則會先在ARP table中查尋
:對應目的主機IP address的MAC address,如果該對應記錄存在,則直接將目的主機的
:MAC address填入Data Link層的封包表頭中,然後將封包發送出去;如果該對應記錄不存
:在,則會向本網段廣播一個ARP請求封包,當目的主機聽見該請求封包後,會將本身的
:MAC address填入封包並用廣播方式回送出去,本機收到此回應封包後,就會將相關訊息
:記錄在ARP table中,然後將目的主機的MAC address填入Data Link層的封包表頭裡。
:由於ARP請求封包發送端只管接收回應訊息,卻無法分辨訊息的真偽,因此第三方主機只
:要建構一個ARP欺騙封包,就可以造成請求端的ARP table資訊錯誤。由於MAC address不
:正確,所以封包就再也無法傳送到目的主機上,這就是Netcut造成連線中斷的原因。
:舉例來說,裝有Netcut的A主機向受害B主機發送假的ARP訊息,使得B主機上ARP table中
:對應到閘道器IP address的MAC address,更新成錯誤的MAC address。由於B主機上網必
:須透過閘道器傳送,閘道器的MAC address資訊錯誤,當然會造成B主機的封包再也無法傳
:送到閘道器上,原本建立好的連線也會因為timeout而導致斷線的情形發生。
:知道Netcut的運作原理了,可是要怎樣才能預防或解決被Netcut斷線的問題呢?其實只要
:下達一個小小的指令就可以對Netcut完全免疫了~~
:方法很簡單,由於Netcut的工作原理是透過假造ARP封包,造成你主機上的ARP table記錄
:到錯誤的閘道器MAC address,藉此讓你的主機跟目地主機間的往來封包發生中斷,所以
:你只要將正確的對應位址設定成static記錄就可以避免狀況發生。
:設定指令如下:
:arp -s 閘道器IP address 閘道器MAC address
:舉例來說,假設閘道器的IP address是192.168.88.254,打開命令提示字元,執行ping
:192.168.88.254,只要ping得通就可以得到正確的閘道器MAC address。這時執行 arp
^^^^^^^^^^^^
:-a 就可以查出192.168.88.254的對應MAC address(就是Physical Address)。例如
^^^^
:192.168.88.254的MAC address是00-90-cc-4f-db-18,那麼只要執行 arp -s
^^^^^^^
:192.168.88.254 00-90-cc-4f-db-18 就搞定了。
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
:假如你的主機已經被斷線,這時該怎麼辦呢?很簡單,你只要借用同網段的其他主機查詢
:閘道器的MAC address,然後用上述方法將正確的對應資訊加入到你的主機上就行了。
:注意,如果主機的閘道器IP address改變,MAC address通常也會跟著變動,這時只要下
:達 arp -d 就可以將原先設定的ARP table對應資訊清除掉。
------------------------------------------------------------------
請問
1、以上的做法是否能有效反制網路剪刀?
2、上方^^^^^^^部份,請問arp -a一樣是在 開始->執行 裡輸入嗎?
我輸入了"arp -a 192.168...(閘道ip)"
但是會跳出視窗提示"windows找不到檔案或項目arp…",要我再確認想輸入的東西
3、arp -s -->問題大致同上
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.133.88.47
1F:推 hugoliu:看不懂..... Orz 10/12 02:12
2F:推 eric12356:其實會用到NetCut 都是因為你稿的太誇張才會被釘吧 10/12 02:31
3F:→ eric12356:你如果乖乖限流 人家用的正常 幹麻吃飽沒事來剪你 10/12 02:31
4F:推 duoen:樓上沒遇過惡作劇和惡霸 10/12 03:29
5F:推 duoen:回原文 只需要輸入arp -a即可看到IP及MAC ADDress 10/12 03:35
6F:推 isapcitfa:我是有乖乖限流,也沒被剪,只是想問起來放罷了,如果我 10/12 04:18
7F:→ isapcitfa:不想限流,又何必問這問題,我直接用netcut剪別人就好了 10/12 04:20
8F:→ isapcitfa:感謝4樓的解答 10/12 04:21
9F:推 lordmi:我看了一下這方法是可行,不過你的對手也不是沒辦法改ARPtb 10/12 11:28
10F:→ lordmi:總之只能治標,你先觀察看看對方有沒有這個反制的能力再說 10/12 11:29