被ddos攻擊 和 arp問題 - 資安
By Mason
at 2008-04-14T11:31
at 2008-04-14T11:31
Table of Contents
我覺得原PO的狀況看起來比較像ARP spoof
Netcut的行為就是利用ARP spoof的原理(ARP封包欺騙)
通常我們上網的時候 我們主機裏會有一個ARP table
記錄著我們上網時必須連接gateway的ip與對應的mac address
ARP 封包是用來廣播網域內的所有主機(例如:192.168.0.1~192.168.0.254)
讓其他主機知道並"學習"彼此主機的ip與相對應的mac address
而我們的arp table是會被這些arp封包所攜帶的資訊做動態的更改
正常的情況下 因為正常的arp封包資訊都是正確的 所以不會有什麼問題
但如果arp封包被修改之後才發送出去呢?
沒錯,我們主機學到的address也就會錯了
我們也知道 網路節點與節點之間的傳送是必須倚靠mac address
如果mac address錯掉了 自然就連不到正確的主機
而Netcut就是利用這個原理
原PO提到 gateway 192.168.0.1的mac address每一段時間就會改變
Netcut軟體會"廣播"內容不實的ARP封包(假的mac address)
所以網域內的主機就都會學到錯誤的gateway的ip與mac對應
(原PO可以在平時以及攻擊的時候執行cmd,輸入指令 arp -a,就可以看到目前的位址對應)
至於為什麼會一直發送
是因為gateway每隔一段時間就會發送一次arp作確認
如果Netcut只欺騙一次, 那豈不是等到gateway在更新的時候, 其他主機又恢復連線了
所以Netcut會一直不斷的發送封包 讓你的主機arp table沒有機會恢復到正確的狀態
基本上以上行為應該只算是攻擊, 因為它畢竟不是病毒XD
目前網路上有所謂的Anti-ARPspoof的軟體
不過我覺得不是很有效
而我自己在宿舍(非學校宿舍)遇到幾次這種狀況之後
一氣之下也寫了類似的攻擊程式 也去攻擊那個人
1.2次之後他就沒再出現這樣行為了= =
不過還是如上面dream1124大大說: 溝通比較重要比
建議你去找房東解決比較好:)
※ 引述《BDmaple (BD)》之銘言:
: ※ 引述《squaremax (社會不新鮮人XD)》之銘言:
: : 照理說使用防火牆軟體去擋應該是不會造成斷線情況,有可能是分享器掛了
: : 答案是肯定的,佔取過大頻寬,或是廣播風暴,都會造成連線品質不良,
: : 這種情況在使用IP分享器時最常見。
: : 那應該不是假的主機吧,當你使用IP分享器外加DHCP制時,預設應該為192.168.0.1
: : 開始配給,不過在下並未精通Netcut的使用方式,請其他高人來回答@@"!
: 這裡我沒有講得很清楚
: 意思是192.168.0.1這個主機會幾秒鐘就出現一個不同的MAC
: 而NETCUT好像不會把已離線的IP給消去
: 導致IP列表變成
: 192.168.0.1 00-11-22-33-AA-DD (假設這是真的mac)
: 192.168.0.1 99-88-77-CC-SS-AA
: 192.168.0.1 HH-R5-V3-GB-6V-F1
: .
: .
: .
: 這種情形
: 把netcut重開之後 假的就會消失
: 只留下真的192.168.0.1 00-11-22-33-AA-DD
: 然後幾秒鐘之後又出現假的mac
: 一直重複
: : 防火牆的功用就是在紀錄封包的進入與流出,若有使用者瀏覽網頁或要求連線等行為
: : 時,都會被記錄下來,所以說正不正常,很難判斷,必須要再加上封包流量,觀察封
: : 包內容是什麼,或許還可以判斷出來。
: 這裡也沒有說清楚 抱歉
: 我所指的同一個ip是指區網內的ip(192.168.0.XXX)
: 很準的每5秒就會連一次(我把區網內的IP 除了自己和主機 其他的TCP與UDP都擋掉)
: 拔掉網路線幾分鐘再插上 狀況一樣 沒使用其他的網路連線
--
Netcut的行為就是利用ARP spoof的原理(ARP封包欺騙)
通常我們上網的時候 我們主機裏會有一個ARP table
記錄著我們上網時必須連接gateway的ip與對應的mac address
ARP 封包是用來廣播網域內的所有主機(例如:192.168.0.1~192.168.0.254)
讓其他主機知道並"學習"彼此主機的ip與相對應的mac address
而我們的arp table是會被這些arp封包所攜帶的資訊做動態的更改
正常的情況下 因為正常的arp封包資訊都是正確的 所以不會有什麼問題
但如果arp封包被修改之後才發送出去呢?
沒錯,我們主機學到的address也就會錯了
我們也知道 網路節點與節點之間的傳送是必須倚靠mac address
如果mac address錯掉了 自然就連不到正確的主機
而Netcut就是利用這個原理
原PO提到 gateway 192.168.0.1的mac address每一段時間就會改變
Netcut軟體會"廣播"內容不實的ARP封包(假的mac address)
所以網域內的主機就都會學到錯誤的gateway的ip與mac對應
(原PO可以在平時以及攻擊的時候執行cmd,輸入指令 arp -a,就可以看到目前的位址對應)
至於為什麼會一直發送
是因為gateway每隔一段時間就會發送一次arp作確認
如果Netcut只欺騙一次, 那豈不是等到gateway在更新的時候, 其他主機又恢復連線了
所以Netcut會一直不斷的發送封包 讓你的主機arp table沒有機會恢復到正確的狀態
基本上以上行為應該只算是攻擊, 因為它畢竟不是病毒XD
目前網路上有所謂的Anti-ARPspoof的軟體
不過我覺得不是很有效
而我自己在宿舍(非學校宿舍)遇到幾次這種狀況之後
一氣之下也寫了類似的攻擊程式 也去攻擊那個人
1.2次之後他就沒再出現這樣行為了= =
不過還是如上面dream1124大大說: 溝通比較重要比
建議你去找房東解決比較好:)
※ 引述《BDmaple (BD)》之銘言:
: ※ 引述《squaremax (社會不新鮮人XD)》之銘言:
: : 照理說使用防火牆軟體去擋應該是不會造成斷線情況,有可能是分享器掛了
: : 答案是肯定的,佔取過大頻寬,或是廣播風暴,都會造成連線品質不良,
: : 這種情況在使用IP分享器時最常見。
: : 那應該不是假的主機吧,當你使用IP分享器外加DHCP制時,預設應該為192.168.0.1
: : 開始配給,不過在下並未精通Netcut的使用方式,請其他高人來回答@@"!
: 這裡我沒有講得很清楚
: 意思是192.168.0.1這個主機會幾秒鐘就出現一個不同的MAC
: 而NETCUT好像不會把已離線的IP給消去
: 導致IP列表變成
: 192.168.0.1 00-11-22-33-AA-DD (假設這是真的mac)
: 192.168.0.1 99-88-77-CC-SS-AA
: 192.168.0.1 HH-R5-V3-GB-6V-F1
: .
: .
: .
: 這種情形
: 把netcut重開之後 假的就會消失
: 只留下真的192.168.0.1 00-11-22-33-AA-DD
: 然後幾秒鐘之後又出現假的mac
: 一直重複
: : 防火牆的功用就是在紀錄封包的進入與流出,若有使用者瀏覽網頁或要求連線等行為
: : 時,都會被記錄下來,所以說正不正常,很難判斷,必須要再加上封包流量,觀察封
: : 包內容是什麼,或許還可以判斷出來。
: 這裡也沒有說清楚 抱歉
: 我所指的同一個ip是指區網內的ip(192.168.0.XXX)
: 很準的每5秒就會連一次(我把區網內的IP 除了自己和主機 其他的TCP與UDP都擋掉)
: 拔掉網路線幾分鐘再插上 狀況一樣 沒使用其他的網路連線
--
Tags:
資安
All Comments
Related Posts
Adobe、蘋果同時放出安全補丁
By Madame
at 2008-04-11T22:41
at 2008-04-11T22:41
請問一個hollings問題?
By Skylar Davis
at 2008-04-05T00:55
at 2008-04-05T00:55
被ddos攻擊 和 arp問題
By Damian
at 2008-04-03T15:02
at 2008-04-03T15:02
被ddos攻擊 和 arp問題
By Lydia
at 2008-04-03T12:39
at 2008-04-03T12:39
被ddos攻擊 和 arp問題
By Hedwig
at 2008-04-03T03:51
at 2008-04-03T03:51