Sysnet Board คู่มือ การใช้งานอุปกรณ์ Network

แนะนำสินค้า, งานติดตั้ง, ทดสอบสินค้า => Internal Lab ทดสอบอุปกรณ์ => หัวข้อที่ตั้งโดย: yod เมื่อ วันที่ 8 เมษายน 2012, 11:32:08

ชื่อ: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: yod เมื่อ วันที่ 8 เมษายน 2012, 11:32:08

บทความ ARP Poisioning Attack (Netcut)



(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem.jpg)


ถ้าคุณเป็นผู้ดูแลระบบ Internet ในอาคาร หอพัก อาจจะเคยได้ยินคำถาม "พี่ๆ Internet ผมไม่รู้เป็นอะไร เข้า web ไม่ได้เลยครับ" หรือ "พี่ ทำไม Internet ล่มบ่อยจังเลยละ"

ทีนี้ก็งานเข้าคุณแล้ว  :D ลองทดสอบเล่น Internet ตอนที่น้องเขาแจ้งก็เล่นได้ปกตินี้หว่า หรือน้องเขาพูดมั่ว?? หรือเป็นปัญหาที่เครื่องน้องเองนั้นแหล่ะ ไป check เครื่องให้ดีๆ ทีนี้น้องเขาก็อาจจะยกเครื่องมาให้คุณดู ตอนที่มีปัญหา พอคุณทดสอบ ยังไงก็เข้า Internet ไม่ได้จริงๆ นั่งงมเป็นชั่วโมงก็ยังแก้ไม่ได้ แต่เครื่องของคุณเองดันเข้าได้ปกติ เครื่องของห้องอื่นๆก็เข้า Internet ได้เช่นกัน


คุณอาจจะโดนคนปล่อยของเข้าแล้วละครับ ถ้าเรียกหรูๆ งงๆ หน่อยก็ ARP Spoofing แต่ถ้าภาษาบ้านๆคือ โดน Netcut

ทางคนปล่อย Netcut ก็แค่หาโปรแกรม Netcut มาลงที่เครื่อง ทีนี้ก็สามารถสร้างความเดือดร้อนให้คนอื่นได้แล้ว >:( แต่โอกาสโดนตื๊บก็มีสูง  ;D


ทำไมคนพวกนี้ถึงต้องทำ Netcut ?? มันว่างนักหรือไง ??


มาทำความเข้าใจของการเชื่อมเครือข่ายระหว่างกันคร่าวๆก่อนครับ


สมมุติเครื่อง A ต้องการจะส่งข้อมูลไปยังเครื่อง B เครื่อง A จำเป็นต้องรู้ค่า Mac Address ของเครื่อง B ด้วย ทีแรกจะดูใน ARP Cache ก่อนว่ามีอยู่หรือเปล่า ถ้าไม่มี ก็จะตะโกนเข้าไปในวง Network ไปว่า "ใครฟร่ะที่เป็นเครื่อง B" ซึ่งตรงนี้จะเรียกว่า ARP Request พอเครื่อง B ได้ยิน อ๋อ..ถามหากรูนี้หว่า ก็ตะโกนกลับไปว่ากรูนี้แหล่ะเครื่อง B พร้อมกับบอกค่า MAC Address และ IP Address ของตัวเองให้มาด้วย ตรงนี้เรียกว่า ARP Reply พอทางเครื่อง A ได้ยินการตอบกลับของเครื่อง B ก็จะเก็บข้อมูล IP และ MAC Address ไว้ใน ARP Cache หลังจากนั้นก็เชื่อมต่อพูดคุยกันตามปกติ โดยเอา MAC Address ที่ได้นี้แหล่ะเป็นที่อยู่ในการสื่อสารกัน

พอผู้ร้ายคือเครื่อง C เข้ามาในระบบ พร้อมด้วยโปรแกรม Netcut เจ้าเครื่อง C มันก็ได้ยินด้วยครับ เพราะเล่นตะโกนถามกันทั่ว (Broadcast) ซะดังว่าใคร MAC Address อะไร (อิอิ หวานหมูกูล่ะ  ;D)


เครื่อง C เมื่อทำการเปิดโปรแกรม Netcut แล้วจัดการไปยังเครื่องเป้าหมาย เจ้าโปรแกรมนี้ก็จะลัดขั้นตอนก่อนเลย ด้วยการส่ง ARP Reply อัดกลับไปที่เครื่อง A และ B แต่จะเอาค่า MAC Address หลอกๆ ส่งกลับไปให้ทั้งคู่ ที่นี้เครื่อง A กับ B ก็จะคุยกันไม่ได้แล้วครับ เพราะ MAC Address ปลายทางมันไม่ถูกต้อง ก็ประมาณๆชื่อถูกต้องแต่ที่อยู่ไม่ถูกต้องครับ

และปัญหาของการใช้ Netcut มันไม่ใช่แค่เกิดกับเครื่อง A และเครื่อง B อย่างเดียว ตัวโปรแกรม Netcut มันจะอัด ARP Reply กันมาเรื่อยๆ เรียกว่าบ่อยมาก ทีนี้ Traffic ในเครือข่ายเราก็จะค่อนข้างเยอะ เผลอๆ Router แฮ้งก์ ต้อง Reboot กันใหม่บ่อยๆ หรือไม่ก็ Access Point ทำงานกันอืดไปเลย


ควาวนี้มาระบบจริงกัน

ถ้าเปรียบเทียบเครื่อง A คือ Computer ที่กำลังเล่น Internet อยู่, เครื่อง B คือ Gateway Router และ เครื่อง C ก็เครื่องที่ต้องการออก Internet ด้วยเช่นกัน ความเร็ว Internet ก็จะต้องหาร 2 ระหว่างเครื่อง A กับ C

พอเครื่อง C ไปทำการตัดการคุยกันระหว่าง เครื่อง A กับ Router เครื่อง A ก็จะออก Internet ไม่ได้ ทีนี้เครื่อง C ที่เหลืออยู่ ก็จะได้ความเร็ว Internet คนเดียวเต็มๆ ครับ นี้แหล่ะ มันถึงได้ต้องปล่อย Netcut  >:( >:(


แต่ถ้ามีการจัดการ Bandwidth หรือ QOS ดีๆ แบ่งกันไปเลยได้ Internet คนละกี่เมก มีระบบจัดการ User/Password เพื่อเข้าใช้งาน Internet คนพวกนี้ก็จะไม่มีประโยชน์ที่จะทำครับ นอกจากจะแกล้งชาวบ้าน  ;D ;D




ทีนี้ผมก็จะลองทดสอบดูนะครับ ประเดิมหัวข้อ Webboard ใหม่ซะเลย (Internal Lab)  ;D ;D ;D

จากข้างต้น แทนเครื่อง B คือ Router ที่ผมใช้ จะเป็น Mikrotik รุ่น RB750 (https://www.sysnetcenter.com/mikrotik-router-board/564-mikrotik-routerboard-rb-750-switch-5port-power-supply.html) และเครื่องผมคือเครื่อง C (ผู้ร้าย) ที่จะปล่อย Netcut ไปที่เครื่อง A

นี้เป็นรายละเอียดของเครื่อง A ครับ จะเห็นว่ามี MAC Address เป็น D0-DF-9A-.... และ IP Address เป็น 192.168.1.106

(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem-001.gif)


ตรวจสอบ ARP และลองเข้า Internet (ปกติผมจะทดสอบการเข้า Internet ของเครื่อง Computer ด้วยการ Ping ไปที่ google ครับ)
ค่า IP กับ MAC ของ Router จะเก็บไว้ เพื่อให้เครื่องคุยกับ Router ได้ IP Address ของ Router คือ 192.168.1.1 และ MAC Address คือ 00-0C-42-.....

เข้า Internet ได้ไม่มีปัญหา

(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem-002.gif)


และถ้าดู APR List ใน Router Board จะมีรายการ IP Address: 192.168.1.106 และ MAC: D0-DF-9A-...ขึ้นมา (ลืม Capture  :-\ )



เครื่องผมลงโปรแกรม Netcut เอาไว้ เปิดขึ้นมา จัดการซะเลย

(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem-003.gif)


ดูที่เครื่องเหยื่อ ใหม่อีกรอบ

Mac Address ใน ARP Table ในส่วน IP 192.168.1.1 ไม่เปลี่ยน (แต่บางเครื่องก็เปลี่ยนเป็น MAC Address แปลกๆ นะครับ) แต่ออก Internet ไม่ได้ ซึ่งเครื่องที่โดนก็จะคิดว่า "Internet มีปัญหาอีกแล้วเหรอว่ะเนี้ย"

(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem-004.gif)


แต่เราซึ่งเป็นผู้ดูแลระบบ สามารถเข้าไปดูที่ Router ได้ครับ ว่าเครื่องนี้น่าจะเจออะไรเข้าแล้ว ถ้าเป็น Mikrotik RouterBoard ก็ดูง่ายๆครับ เข้าไปที่ IP --> ARP แต่ Riuter รุ่นบ้านๆไม่น่าจะมี Function นี้ครับ

ค่า MAC Address ที่ MAP กันกับเครื่อง IP 192.168.1.106 โดนเปลี่ยนเป็นอะไรไม่รู้ซะแล้ว แบบนี้คือ Packets ข้อมูลต่างๆ ส่งไปยังที่อยู่ปลายทางผิด ไม่ตรงบ้าน ทางเครื่องเหยื่อก็ไม่ได้รับข้อมูลซักที สุดท้ายก็ TImeout เข้า Internet ไม่ได้

(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem-005.gif)



ทีนี้ทดสอบใหม่

ผมให้เครื่อง 192.168.1.106 เป็นเครื่องปล่อย Netcut มั้ง และมีเครื่องเหยื่อใหม่คือ 192.168.1.107

(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem-006.gif)


เราสามารถตรวจสอบได้ครับว่าใครที่ปล่อย Netcut โดยใช้โปรแกรมชื่อว่า Wireshark สามารถ Download ได้ฟรีครับ Search หาใน google ได้เลย

หลังจากติดตั้งโปรแกรมแล้วก็เปิดโปรแกรมขึ้นมาเลย ถ้าเราดักจับตอนที่เปิดโปรแกรม Netcut ใหม่ๆจะเห็นชัดเจนมากครับ แต่ถ้าเปิดมาซักระยะก็จะเห็นเรื่อยๆตลอดๆ จาก IP เดิมๆ


มีการ Broadcast จาก IP เบอร์ 192.168.1.106 เพียบ!!! มันปล่อย Netcut แน่ๆ  ;D

(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem-007.gif)


ทีนี้ถ้าใช้ Mikrotik Router Board ทำระบบ Hotspot เอาไว้ ก็จะรู้เลยครับว่าใคร (ถ้าก่อนแจก User/Password ได้จดชื่อเขาไว้นะครับ)

(https://www.sysnetcenter.com/board/images/knowledge/netcut/netcut-problem-008.gif)


แต่ถ้าจะ Ban User Account ไปก็ไม่มีประโยชน์ครับ เพราะต่อให้เขาเล่น Internet ไม่ได้ แต่ถ้าเชื่อมเข้ากับระบบ Wireless เราได้ เขาก็สามารถปล่อย Netcut เพื่อแกล้งชาวบ้านได้อยู่ ถ้า Account ที่เราแจกให้ไป มีการบันทึกว่าเป็นของใคร ก็เข้าไปคุยกันดีๆ จะดีกว่าครับ ให้รู้ว่าเราตรวจจับได้น่ะ และกฏหมายก็ค่อนข้างแรง ปรับทีเป็นแสน เผลอๆโดนห้องอื่นตื๊บอีกต่างหาก  ;D ;D




จบบทความครับ

ทางผมเองหวังว่าบทความนี้น่าจะพอมีประโยชน์บ้างไม่มากก็น้อยนะครับ และถ้าบางส่วนในบทความนี้อาจจะมีข้อผิดพลาดบ้าง ผมอาจจะเข้าใจอะไรผิดบางอย่างไป ถ้ายังไงก็รบกวนแจ้งให้ทราบด้วยนะครับ  ;D ;D


เดี๋ยวถ้ากด like กันเยอะๆ  ;D ;D ;D โอกาสหน้าทางผมจะลองทำการทดสอบการป้องกัน Netcut ในแบบต่างๆ และจะเอาขึ้น Webboard อีกทีครับ  ;D ;D



ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: wong62 เมื่อ วันที่ 8 เมษายน 2012, 14:18:33
netcut มันหลอกคนอื่นให้หา gateway ไม่เจอ แบบนี้มันต้องดัดหลังทำ fake gateway หลอก netcut รับรองได้ผล 100%
ip-->dhcp server-->network ตรง gateway ใส่ 1.1.1.1 กับ 192.168.88.1 ถ้าใส่ 1.1.1.1 อย่างเดียวพวก android กับ dreambox มันจะเข้าไม่ได้



(https://www.sysnetcenter.com/images/fromboard/DZ05VM.png)
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: yod เมื่อ วันที่ 9 เมษายน 2012, 05:01:26


ขอบคุณมากๆเลยครับพี่กฤษฎา

ไอ้ Netcut Version ใหม่ มันไปหลอก Gateway ด้วยนะซิครับพี่  ;D ;D


หลังๆลูกค้าโทรเข้ามาสอบถามกันเยอะเลยครับ เพราะเจอพวกปล่อย netcut กันเยอะมาก ที่สำคัญหลายๆคน ไม่รู้ว่าเจออะไร เลยงงกันไปใหญ่  :-\
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: wong62 เมื่อ วันที่ 9 เมษายน 2012, 16:39:37
เล่น netmask 32 เลยดีมั้ย เคยทดลองใช้อยู่แต่ เสียอย่างเดียว เข้าไป manage พวกอุปกรณ์อื่นๆ ไม่ได้เลย ปัญหาคือเน็ตไม่พอให้เด็กเล่นเลยต้องใช้วิธีนี้ ตอนนี้ใช้ radius ของ easyzonecorp ให้เด็กลงทะเบียนผ่านหน้า login แล้ว activate code ผ่านเบอร์มือถือ เก็บเบอร์ได้ทุกคนถ้าเจอใครเล่นแผลงๆ ก็โทรเข้าไปเลยไม่กี่ทีก็คงเข็ด ตอนนี้มีอยู่ไซต์หนึ่งสงสัยกำลังโดนเหมือนกัน คงต้องไปแอบซุ่มจับดู ลอง wireshark ผ่าน vpn มันไม่ได้
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: wong62 เมื่อ วันที่ 9 เมษายน 2012, 17:23:32
แล้วถ้าเป็นแบบนี้จะดีมั้ย น่าจะเป็นพวกไวรัสหรืออะไรซักอย่างตอนนี้โดนไปหลายเครื่องแล้ว เห็นทั้ง IP , MAC และ User ตามตัวได้ไม่ยาก

(https://www.sysnetcenter.com/images/fromboard/Z8VCcK.png)

อันนี้คือสคริปที่ใช้
/interface bridge filter
add action=log chain=input comment="Block DHCP servers on 192.168.0.0/16" \
  disabled=no dst-address=255.255.255.255/32 ip-protocol=udp log-prefix=\
  "ALERT ROGUE DHCP (BLOCKED)" mac-protocol=ip src-address=192.168.0.0/16 \
  src-port=67-68
add action=drop chain=input comment="Block DHCP servers on 192.168.0.0/16" \
  disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
  ip src-address=192.168.0.0/16 src-port=67-68
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=yes
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: yod เมื่อ วันที่ 10 เมษายน 2012, 05:00:45


radius กลาง ของ easyzonecorp เป็นไงมั้งครับพี่ ลูกค้าถามๆถึงหลายคน อยากได้ radius กลางเพื่อจะ control users ที่ส่วนกลางที่เดียวเลย เดี๋ยวผมจะได้แนะนำกับทาง easyzonecorp ไปเลยครับ
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: wong62 เมื่อ วันที่ 11 เมษายน 2012, 03:47:39
ก็ดีครับ ตอบโจทย์ได้มากพอสมควร ที่สำคัญคือระบบลงทะเบียนผ่านหน้า login ให้ user สร้าง account เองแล้วส่ง activate code ผ่าน sms เก็บเบอร์มือถือไว้เพื่อพิสูจน์ตัวตน ดีกว่ามานั่งเก็บหลักฐานจดชื่อผู้ซื้อ เสร็จแล้วขายบัตรเติมเงินอย่างเดียว ถ้าใช้ userman ลูกค้ารายวันประมาณ 20+ ตกเดือนละ 600+ เก็บกันตาเหลือกเลย ที่สำคัญ user ไม่เกิน 100 online พร้อมกัน ใช้ 450G ได้เลยชิวชิว และยังสามารถใช้ได้กับ multi wan ด้วยซึ่งรายอื่นยังไม่มี
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: easyzonecorpdotnet เมื่อ วันที่ 16 เมษายน 2012, 00:50:04
ขอบคุณคับ
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: luzifull เมื่อ วันที่ 16 พฤษภาคม 2012, 16:28:04
ขอบคุณมากครับ!!!!  :o :o :o :o
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: RTL8187L เมื่อ วันที่ 23 สิงหาคม 2012, 10:16:19
ขอบคุณครับ
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: karamemy เมื่อ วันที่ 14 สิงหาคม 2013, 18:19:43
สอบถามหน่อยครับ เครื่องผมไม่ได้ใช้ โปรแกรมNetcut แต่โปรแกรม wireshark มันแสดงARP เป็นIPเครื่องผมครับ ผมลงโปรแกรม AntiARP Antinetcut
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: yod เมื่อ วันที่ 14 สิงหาคม 2013, 18:35:05


โปรแกรม anti arp มันเป็นการส่ง mac เราไป update บ่อยๆครับ เมื่อเปิด wireshark เลยเห็นเยอะครับ
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: yuttapong เมื่อ วันที่ 30 พฤษภาคม 2014, 14:45:45
มีสคลิปป้องกันหรือบล็อคโปรแกรม netcut ไหมครับ อยากได้แบบที่เดียวอยู่เลยอะครับ เอาแบบ run โปรแกรม netcut  ไม่ได้เลยยิ่งดีครับ
ขอบคุณครับ
ชื่อ: Re: การทดสอบ: ARP Poisioning Attack (Netcut)
โดย: Lindbearg เมื่อ วันที่ 26 กุมภาพันธ์ 2019, 14:14:05
ทำไมมันดูยากยังไม่กล้าใช้เลย

Users found this pages searching for: