[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
10/03/2010 15:17:14 (+0700) | #1 | 206580 |
J
Member
|
0 |
|
|
Joined: 17/03/2007 15:34:25
Messages: 18
Offline
|
|
Lần đầu post bài không biết có đúng mục không mong các Mods thông cảm, có sai thì Move hộ đừng Del.
Là thế này, trong mạng LAN xóm có mấy ông nghịch ngợm dùng NetCut. Mình Search thấy có Anti ARP là chông lại được nó, mình đã cài và thấy khá khả quan, chống lại được và chỉ rõ Attacker.
Nhưng hiện giờ có một chú cứ cắt nét máy mình mà Anti ARP không chống lại được
1 2010-03-10 12:25:42 AntiARP start protect your computer
2 2010-03-10 12:25:44 192.168.1.11 nic in promiscuous mode
3 2010-03-10 12:27:25 Detect process [C:\Program Files\netcut\netcut.exe (PID:3628)] is on outgoing attack status.
4 2010-03-10 12:32:01 Found arp attack, enter [watch-running] state.
5 2010-03-10 12:32:59 Detect process [C:\Program Files\netcut\netcut.exe (PID:2996)] is on outgoing attack status.
6 2010-03-10 12:34:16 No more arp attack, enter [watch-standby] state.
7 2010-03-10 12:38:27 Found arp attack, enter [watch-running] state.
8 2010-03-10 12:40:20 No more arp attack, enter [watch-standby] state.
9 2010-03-10 12:47:09 Found arp attack, enter [watch-running] state.
10 2010-03-10 12:48:06 No more arp attack, enter [watch-standby] state.
-=-=-=-=-=-= ARP·À»ðǽµ¥»ú°æ v6.0.1 http://www.AntiARP.com -=-=-=-=-=-=
Gateway: 00-1D-20-EC-79-60:192.168.1.1 [Manual]
Local : 00-24-1D-56-A9-8D:192.168.1.113
¡¾Host(9)¡¿
ID IP Host name Group name Promiscuous MAC NIC vendor
1 192.168.001.011 THANH-E60D694D4 WORKGROUP No 00-02-44-B9-EE-FF SURECOM Technology Co.
2 192.168.001.001 - - No 00-1D-20-EC-79-60 COMTREND CO.
3 192.168.001.002 ITQUANGN-B8D237 WORKGROUP No 00-16-36-E5-00-81 Quanta Computer Inc.
4 192.168.001.006 THANHSEXY MSHOME No 00-E0-4D-B6-27-46 INTERNET INITIATIVE JAPAN, INC
5 192.168.001.007 A5BAFFF31E7E4FA WORKGROUP No 00-0B-DB-89-6F-62 Dell ESG PCBA Test
6 113.023.098.159 - - No 00-1D-20-EC-79-60 COMTREND CO.
7 192.168.001.113 NO-WAR MSHOME No 00-24-1D-56-A9-8D N/A
8 192.168.001.005 - - No 00-30-67-05-CE-FD BIOSTAR MICROTECH INT'L CORP.
9 168.168.001.109 - - No 00-30-67-05-CE-FD BIOSTAR MICROTECH INT'L CORP.
-=-=-=-=-=-= ARP·À»ðǽµ¥»ú°æ v6.0.1 http://www.AntiARP.com -=-=-=-=-=-=
Gateway: 00-1D-20-EC-79-60:192.168.1.1 [Manual]
Local : 00-24-1D-56-A9-8D:192.168.1.113
¡¾Outgoing arp spoof(255:255)¡¿
ID Start time Stop time Disguised as ip Fake mac PID Target Type Total
0 2010-03-10 12:27:16 2010-03-10 12:27:16 255.255.255.255 FF-FF-FF-FF-FF-FF 3628 113.023.098.001 Broadcast:Request 1
1 2010-03-10 12:27:16 2010-03-10 12:27:16 255.255.255.255 FF-FF-FF-FF-FF-FF 3628 113.023.098.002 Broadcast:Request 1
2 2010-03-10 12:27:16 2010-03-10 12:27:16 255.255.255.255 FF-FF-FF-FF-FF-FF 3628 113.023.098.003 Broadcast:Request 1
........................................
Cái bảng Outgoing arp spoof nó cứ thế kéo dài ra, mất mạng luôn.
Còn Anti ARP thì báo "Found arp attack, enter [watch-running] state" nhưng chẳng thấy nó làm sao cả, ping cứ rớt thôi.
Thủ phạm ở đây là chú THANH-E60D694D4 mà Anti ARP không phát hiện được.
Bị, mình Disable rồi Enable mạng là lại vào được nhưng một lát là chú kia lại cho rớt.
Cái Netcut mình lấy fang lại nó mà nó không hề hấn gì
Vấn đề này mình nêu ra là nghiêm túc, mong mọi người cùng cho mình ý kiến để khắc phục. |
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
10/03/2010 15:30:10 (+0700) | #2 | 206582 |
longkt90
Member
|
0 |
|
|
Joined: 27/08/2009 20:44:22
Messages: 61
Offline
|
|
Mình không biết câu trả lời nhưng mình đã từng bị netcut nó chơi.
Nhân tiện bạn nói luôn bạn xài HĐH nào ? (vì mình xài win7 cài anti netcut, Anti ARP bị báo lỗi hoài) |
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
10/03/2010 17:22:02 (+0700) | #3 | 206593 |
J
Member
|
0 |
|
|
Joined: 17/03/2007 15:34:25
Messages: 18
Offline
|
|
Mình dùng WinXP (Bản Ghost SP3 của SoftVNN).
|
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
13/03/2010 08:36:41 (+0700) | #4 | 206774 |
J
Member
|
0 |
|
|
Joined: 17/03/2007 15:34:25
Messages: 18
Offline
|
|
Mọi người cho mình biết với. Căng thẳng quá, sắp chiến tranh thế giới 3 rồi |
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
13/03/2010 09:20:53 (+0700) | #5 | 206778 |
|
hoanglan87
Member
|
0 |
|
|
Joined: 25/06/2008 07:20:09
Messages: 33
Offline
|
|
Bạn thử dùng cách nào xem sao.
Lúc mới nối mạng, chưa bị arp attack đấy, bạn vào cmd gõ lệnh:
Code:
Lúc đó bạn sẽ xác định được địa chỉ Mac của gateway (thông thường ip của gateway là 192.168.1.1) trước khi bị arp spoof
sau đó bạn gõ lệnh:
Code:
arp -s [địa chỉ ip của gateway] [địa chỉ MAC của gateway]
Ví dụ:
Code:
arp -s 192.168.1.1 00-AA-00-4F-2A-9C
Mình nhớ là HVA có mấy bài về cái này rồi, bạn search thử xem sao. Từ khóa là arp spoof, arp poision.
|
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
13/03/2010 09:46:03 (+0700) | #6 | 206780 |
longkt90
Member
|
0 |
|
|
Joined: 27/08/2009 20:44:22
Messages: 61
Offline
|
|
Đối với win vista / win 7 thì có thể dùng
Code:
netsh -c "interface ipv4" set neighbors "Local Area Connection" ip_gateway mac_gateway
trong đó "Local Area Connection" có thể sửa lại cho phù hợp từng máy. |
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
15/03/2010 22:23:38 (+0700) | #7 | 207013 |
J
Member
|
0 |
|
|
Joined: 17/03/2007 15:34:25
Messages: 18
Offline
|
|
Không được bạn ơi.
Mình xem đúng Mac của Router rồi delete mac thì thấy Mac thay đổi ngay, chứng tỏ có đồng chí nào (Attacker) liên tục bơm packets giả mạo Gateway tới máy mình.
Rõ ràng là AntiARP nó làm việc thế mà vẫn bị chém. Mình đặt Mac tĩnh tới Router, vẫn bị.
Mình ping tới Router thấy Time ~ 300
Không hiểu nó là thế nào nữa |
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
16/03/2010 03:43:20 (+0700) | #8 | 207022 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Không có toàn quyền quản lý thì không làm gì được. Có sài HDH nào đi nữa, mình không quản lý được hết mạng LAN, kể cả cái router, và mình cũng không có biện pháp tài chính hay kỹ thuật nào để thay đổi hệ thống, hoàn toàn bó tay.
Có thể tham khảo vài tính năng thiết bị như :
- Router/switch (thuộc nhóm có thể quản lý) có 1 chức năng gán chết MAC address của client nối tới cổng nào đó.
- Gán chết MAC Address với một IP nào đó trong trường hợp cấp IP động từ DHCP.
PS: AntiARP là kiểu software gì và mình cũng đừng ỳ lại nó. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
16/03/2010 04:33:05 (+0700) | #9 | 207025 |
acti
Member
|
0 |
|
|
Joined: 20/01/2010 17:16:45
Messages: 11
Offline
|
|
Trong kiểu tấn công bằng NEtcut này nguyên tắc hoạt động của nó hình như là gửi fake packet tới làm cho máy mình không tìm thấy Default GAteway (Chỉ tấn công được trong mạng LAN- thường là mạng Wifi).
Thường thì mình chỉ cần Add static MAC Address thôi là được rồi như cách bạn hoanglan87 nói.
Nhưng nếu trong trường hợp bạn không được thì có thể dùng thêm Firewall để drop gói tin giả mạo đến máy bạn. |
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
16/03/2010 07:36:23 (+0700) | #10 | 207033 |
J
Member
|
0 |
|
|
Joined: 17/03/2007 15:34:25
Messages: 18
Offline
|
|
- Mình đã đặt Mac tĩnh cho Gateway mà không được.
- Mình Enable Windows Firewall lên thì không thấy điều gì khác biệt.
- Về chức năng của AntiARP thì bạn có thể xem ở đây
AntiARP - The best solution for ARP attacks/ARP poisoning/ARP spoofing/Anti-netcut/IP Address conflict
http://www.antiarp.com/english.html
Mình đang dùng KIS 2010 nhưng không thấy có báo cáo gì về mấy vụ bị mất mạng này cả.
- Router/switch (thuộc nhóm có thể quản lý) có 1 chức năng gán chết MAC address của client nối tới cổng nào đó.
- Gán chết MAC Address với một IP nào đó trong trường hợp cấp IP động từ DHCP.
Bạn hướng dẫn rõ hơn được không, mình đang giữ pass router Comtrend CT6383 (Gói 6MB FPT).
|
|
|
|
|
[Discussion] Mình bị cắt nét khi đang dùng Anti ARP |
17/03/2010 09:22:54 (+0700) | #11 | 207156 |
J
Member
|
0 |
|
|
Joined: 17/03/2007 15:34:25
Messages: 18
Offline
|
|
Một hiện tượng nữa mới được phát hiện: Xóm bị mất mạng mấy máy, máy mình báo 1 máy khác đang tấn công (cùng phòng - ngay bên cạnh).
Mấy máy kia bật AntiNetcut lên Scan thấy ông kia đang tấn công và sử dụng Netcut.
Trong khi đó máy ấy đang chơi game, không hề có chút động thái nào sử dụng các ct cắt nét.
Hóa ra máy mình bị là do ông này, mà cũng không hiểu sao họ không làm j mà máy nó cứ tự nhiên cắt nét máy khác.
Đã cài lại Windows, OK !
Thế là hết, chủ đề có thể đóng ở đây, mình không có yêu cầu gì khác.
Cả xóm họp lại bảo mọi người chấm dứt sử dụng các ct tương tự, mình bị đổ tội mới đau chứ
Lạ cái là cái máy kia chẳng làm gì mà nó cứ tự nhiên tấn công các máy khác ....... Không chống được |
|
|
|