ผู้เขียน หัวข้อ: การทดสอบ: ARP Poisioning Attack (Netcut)  (อ่าน 113745 ครั้ง)

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

yod

  • Administrator
  • Hero Member
  • *****
  • กระทู้: 1841
    • Sysnet Center
การทดสอบ: ARP Poisioning Attack (Netcut)
« เมื่อ: วันที่ 8 เมษายน 2012, 11:32:08 »

บทความ ARP Poisioning Attack (Netcut)






ถ้าคุณเป็นผู้ดูแลระบบ Internet ในอาคาร หอพัก อาจจะเคยได้ยินคำถาม "พี่ๆ Internet ผมไม่รู้เป็นอะไร เข้า web ไม่ได้เลยครับ" หรือ "พี่ ทำไม Internet ล่มบ่อยจังเลยละ"

ทีนี้ก็งานเข้าคุณแล้ว  :D ลองทดสอบเล่น Internet ตอนที่น้องเขาแจ้งก็เล่นได้ปกตินี้หว่า หรือน้องเขาพูดมั่ว?? หรือเป็นปัญหาที่เครื่องน้องเองนั้นแหล่ะ ไป check เครื่องให้ดีๆ ทีนี้น้องเขาก็อาจจะยกเครื่องมาให้คุณดู ตอนที่มีปัญหา พอคุณทดสอบ ยังไงก็เข้า Internet ไม่ได้จริงๆ นั่งงมเป็นชั่วโมงก็ยังแก้ไม่ได้ แต่เครื่องของคุณเองดันเข้าได้ปกติ เครื่องของห้องอื่นๆก็เข้า Internet ได้เช่นกัน


คุณอาจจะโดนคนปล่อยของเข้าแล้วละครับ ถ้าเรียกหรูๆ งงๆ หน่อยก็ ARP Spoofing แต่ถ้าภาษาบ้านๆคือ โดน Netcut

ทางคนปล่อย Netcut ก็แค่หาโปรแกรม Netcut มาลงที่เครื่อง ทีนี้ก็สามารถสร้างความเดือดร้อนให้คนอื่นได้แล้ว >:( แต่โอกาสโดนตื๊บก็มีสูง  ;D


ทำไมคนพวกนี้ถึงต้องทำ Netcut ?? มันว่างนักหรือไง ??


มาทำความเข้าใจของการเชื่อมเครือข่ายระหว่างกันคร่าวๆก่อนครับ


สมมุติเครื่อง A ต้องการจะส่งข้อมูลไปยังเครื่อง B เครื่อง A จำเป็นต้องรู้ค่า Mac Address ของเครื่อง B ด้วย ทีแรกจะดูใน ARP Cache ก่อนว่ามีอยู่หรือเปล่า ถ้าไม่มี ก็จะตะโกนเข้าไปในวง Network ไปว่า "ใครฟร่ะที่เป็นเครื่อง B" ซึ่งตรงนี้จะเรียกว่า ARP Request พอเครื่อง B ได้ยิน อ๋อ..ถามหากรูนี้หว่า ก็ตะโกนกลับไปว่ากรูนี้แหล่ะเครื่อง B พร้อมกับบอกค่า MAC Address และ IP Address ของตัวเองให้มาด้วย ตรงนี้เรียกว่า ARP Reply พอทางเครื่อง A ได้ยินการตอบกลับของเครื่อง B ก็จะเก็บข้อมูล IP และ MAC Address ไว้ใน ARP Cache หลังจากนั้นก็เชื่อมต่อพูดคุยกันตามปกติ โดยเอา MAC Address ที่ได้นี้แหล่ะเป็นที่อยู่ในการสื่อสารกัน

พอผู้ร้ายคือเครื่อง C เข้ามาในระบบ พร้อมด้วยโปรแกรม Netcut เจ้าเครื่อง C มันก็ได้ยินด้วยครับ เพราะเล่นตะโกนถามกันทั่ว (Broadcast) ซะดังว่าใคร MAC Address อะไร (อิอิ หวานหมูกูล่ะ  ;D)


เครื่อง C เมื่อทำการเปิดโปรแกรม Netcut แล้วจัดการไปยังเครื่องเป้าหมาย เจ้าโปรแกรมนี้ก็จะลัดขั้นตอนก่อนเลย ด้วยการส่ง ARP Reply อัดกลับไปที่เครื่อง A และ B แต่จะเอาค่า MAC Address หลอกๆ ส่งกลับไปให้ทั้งคู่ ที่นี้เครื่อง A กับ B ก็จะคุยกันไม่ได้แล้วครับ เพราะ MAC Address ปลายทางมันไม่ถูกต้อง ก็ประมาณๆชื่อถูกต้องแต่ที่อยู่ไม่ถูกต้องครับ

และปัญหาของการใช้ Netcut มันไม่ใช่แค่เกิดกับเครื่อง A และเครื่อง B อย่างเดียว ตัวโปรแกรม Netcut มันจะอัด ARP Reply กันมาเรื่อยๆ เรียกว่าบ่อยมาก ทีนี้ Traffic ในเครือข่ายเราก็จะค่อนข้างเยอะ เผลอๆ Router แฮ้งก์ ต้อง Reboot กันใหม่บ่อยๆ หรือไม่ก็ Access Point ทำงานกันอืดไปเลย


ควาวนี้มาระบบจริงกัน

ถ้าเปรียบเทียบเครื่อง A คือ Computer ที่กำลังเล่น Internet อยู่, เครื่อง B คือ Gateway Router และ เครื่อง C ก็เครื่องที่ต้องการออก Internet ด้วยเช่นกัน ความเร็ว Internet ก็จะต้องหาร 2 ระหว่างเครื่อง A กับ C

พอเครื่อง C ไปทำการตัดการคุยกันระหว่าง เครื่อง A กับ Router เครื่อง A ก็จะออก Internet ไม่ได้ ทีนี้เครื่อง C ที่เหลืออยู่ ก็จะได้ความเร็ว Internet คนเดียวเต็มๆ ครับ นี้แหล่ะ มันถึงได้ต้องปล่อย Netcut  >:( >:(


แต่ถ้ามีการจัดการ Bandwidth หรือ QOS ดีๆ แบ่งกันไปเลยได้ Internet คนละกี่เมก มีระบบจัดการ User/Password เพื่อเข้าใช้งาน Internet คนพวกนี้ก็จะไม่มีประโยชน์ที่จะทำครับ นอกจากจะแกล้งชาวบ้าน  ;D ;D




ทีนี้ผมก็จะลองทดสอบดูนะครับ ประเดิมหัวข้อ Webboard ใหม่ซะเลย (Internal Lab)  ;D ;D ;D

จากข้างต้น แทนเครื่อง B คือ Router ที่ผมใช้ จะเป็น Mikrotik รุ่น RB750 และเครื่องผมคือเครื่อง C (ผู้ร้าย) ที่จะปล่อย Netcut ไปที่เครื่อง A

นี้เป็นรายละเอียดของเครื่อง A ครับ จะเห็นว่ามี MAC Address เป็น D0-DF-9A-.... และ IP Address เป็น 192.168.1.106




ตรวจสอบ ARP และลองเข้า Internet (ปกติผมจะทดสอบการเข้า Internet ของเครื่อง Computer ด้วยการ Ping ไปที่ google ครับ)
ค่า IP กับ MAC ของ Router จะเก็บไว้ เพื่อให้เครื่องคุยกับ Router ได้ IP Address ของ Router คือ 192.168.1.1 และ MAC Address คือ 00-0C-42-.....

เข้า Internet ได้ไม่มีปัญหา




และถ้าดู APR List ใน Router Board จะมีรายการ IP Address: 192.168.1.106 และ MAC: D0-DF-9A-...ขึ้นมา (ลืม Capture  :-\ )



เครื่องผมลงโปรแกรม Netcut เอาไว้ เปิดขึ้นมา จัดการซะเลย




ดูที่เครื่องเหยื่อ ใหม่อีกรอบ

Mac Address ใน ARP Table ในส่วน IP 192.168.1.1 ไม่เปลี่ยน (แต่บางเครื่องก็เปลี่ยนเป็น MAC Address แปลกๆ นะครับ) แต่ออก Internet ไม่ได้ ซึ่งเครื่องที่โดนก็จะคิดว่า "Internet มีปัญหาอีกแล้วเหรอว่ะเนี้ย"




แต่เราซึ่งเป็นผู้ดูแลระบบ สามารถเข้าไปดูที่ Router ได้ครับ ว่าเครื่องนี้น่าจะเจออะไรเข้าแล้ว ถ้าเป็น Mikrotik RouterBoard ก็ดูง่ายๆครับ เข้าไปที่ IP --> ARP แต่ Riuter รุ่นบ้านๆไม่น่าจะมี Function นี้ครับ

ค่า MAC Address ที่ MAP กันกับเครื่อง IP 192.168.1.106 โดนเปลี่ยนเป็นอะไรไม่รู้ซะแล้ว แบบนี้คือ Packets ข้อมูลต่างๆ ส่งไปยังที่อยู่ปลายทางผิด ไม่ตรงบ้าน ทางเครื่องเหยื่อก็ไม่ได้รับข้อมูลซักที สุดท้ายก็ TImeout เข้า Internet ไม่ได้





ทีนี้ทดสอบใหม่

ผมให้เครื่อง 192.168.1.106 เป็นเครื่องปล่อย Netcut มั้ง และมีเครื่องเหยื่อใหม่คือ 192.168.1.107




เราสามารถตรวจสอบได้ครับว่าใครที่ปล่อย Netcut โดยใช้โปรแกรมชื่อว่า Wireshark สามารถ Download ได้ฟรีครับ Search หาใน google ได้เลย

หลังจากติดตั้งโปรแกรมแล้วก็เปิดโปรแกรมขึ้นมาเลย ถ้าเราดักจับตอนที่เปิดโปรแกรม Netcut ใหม่ๆจะเห็นชัดเจนมากครับ แต่ถ้าเปิดมาซักระยะก็จะเห็นเรื่อยๆตลอดๆ จาก IP เดิมๆ


มีการ Broadcast จาก IP เบอร์ 192.168.1.106 เพียบ!!! มันปล่อย Netcut แน่ๆ  ;D




ทีนี้ถ้าใช้ Mikrotik Router Board ทำระบบ Hotspot เอาไว้ ก็จะรู้เลยครับว่าใคร (ถ้าก่อนแจก User/Password ได้จดชื่อเขาไว้นะครับ)




แต่ถ้าจะ Ban User Account ไปก็ไม่มีประโยชน์ครับ เพราะต่อให้เขาเล่น Internet ไม่ได้ แต่ถ้าเชื่อมเข้ากับระบบ Wireless เราได้ เขาก็สามารถปล่อย Netcut เพื่อแกล้งชาวบ้านได้อยู่ ถ้า Account ที่เราแจกให้ไป มีการบันทึกว่าเป็นของใคร ก็เข้าไปคุยกันดีๆ จะดีกว่าครับ ให้รู้ว่าเราตรวจจับได้น่ะ และกฏหมายก็ค่อนข้างแรง ปรับทีเป็นแสน เผลอๆโดนห้องอื่นตื๊บอีกต่างหาก  ;D ;D




จบบทความครับ

ทางผมเองหวังว่าบทความนี้น่าจะพอมีประโยชน์บ้างไม่มากก็น้อยนะครับ และถ้าบางส่วนในบทความนี้อาจจะมีข้อผิดพลาดบ้าง ผมอาจจะเข้าใจอะไรผิดบางอย่างไป ถ้ายังไงก็รบกวนแจ้งให้ทราบด้วยนะครับ  ;D ;D


เดี๋ยวถ้ากด like กันเยอะๆ  ;D ;D ;D โอกาสหน้าทางผมจะลองทำการทดสอบการป้องกัน Netcut ในแบบต่างๆ และจะเอาขึ้น Webboard อีกทีครับ  ;D ;D


« แก้ไขครั้งสุดท้าย: วันที่ 9 มีนาคม 2013, 22:33:40 โดย yod »

wong62

  • VIP
  • Full Member
  • *****
  • กระทู้: 130
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #1 เมื่อ: วันที่ 8 เมษายน 2012, 14:18:33 »
netcut มันหลอกคนอื่นให้หา gateway ไม่เจอ แบบนี้มันต้องดัดหลังทำ fake gateway หลอก netcut รับรองได้ผล 100%
ip-->dhcp server-->network ตรง gateway ใส่ 1.1.1.1 กับ 192.168.88.1 ถ้าใส่ 1.1.1.1 อย่างเดียวพวก android กับ dreambox มันจะเข้าไม่ได้



« แก้ไขครั้งสุดท้าย: วันที่ 9 เมษายน 2012, 04:57:56 โดย yod »

yod

  • Administrator
  • Hero Member
  • *****
  • กระทู้: 1841
    • Sysnet Center
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #2 เมื่อ: วันที่ 9 เมษายน 2012, 05:01:26 »
http://www.sysnetcenter.com/images/fromboard/DZ05VM.png[/img]

ขอบคุณมากๆเลยครับพี่กฤษฎา

ไอ้ Netcut Version ใหม่ มันไปหลอก Gateway ด้วยนะซิครับพี่  ;D ;D


หลังๆลูกค้าโทรเข้ามาสอบถามกันเยอะเลยครับ เพราะเจอพวกปล่อย netcut กันเยอะมาก ที่สำคัญหลายๆคน ไม่รู้ว่าเจออะไร เลยงงกันไปใหญ่  :-\

wong62

  • VIP
  • Full Member
  • *****
  • กระทู้: 130
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #3 เมื่อ: วันที่ 9 เมษายน 2012, 16:39:37 »
เล่น netmask 32 เลยดีมั้ย เคยทดลองใช้อยู่แต่ เสียอย่างเดียว เข้าไป manage พวกอุปกรณ์อื่นๆ ไม่ได้เลย ปัญหาคือเน็ตไม่พอให้เด็กเล่นเลยต้องใช้วิธีนี้ ตอนนี้ใช้ radius ของ easyzonecorp ให้เด็กลงทะเบียนผ่านหน้า login แล้ว activate code ผ่านเบอร์มือถือ เก็บเบอร์ได้ทุกคนถ้าเจอใครเล่นแผลงๆ ก็โทรเข้าไปเลยไม่กี่ทีก็คงเข็ด ตอนนี้มีอยู่ไซต์หนึ่งสงสัยกำลังโดนเหมือนกัน คงต้องไปแอบซุ่มจับดู ลอง wireshark ผ่าน vpn มันไม่ได้
« แก้ไขครั้งสุดท้าย: วันที่ 9 เมษายน 2012, 17:10:31 โดย wong62 »

wong62

  • VIP
  • Full Member
  • *****
  • กระทู้: 130
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #4 เมื่อ: วันที่ 9 เมษายน 2012, 17:23:32 »
แล้วถ้าเป็นแบบนี้จะดีมั้ย น่าจะเป็นพวกไวรัสหรืออะไรซักอย่างตอนนี้โดนไปหลายเครื่องแล้ว เห็นทั้ง IP , MAC และ User ตามตัวได้ไม่ยาก



อันนี้คือสคริปที่ใช้
/interface bridge filter
add action=log chain=input comment="Block DHCP servers on 192.168.0.0/16" \
   disabled=no dst-address=255.255.255.255/32 ip-protocol=udp log-prefix=\
   "ALERT ROGUE DHCP (BLOCKED)" mac-protocol=ip src-address=192.168.0.0/16 \
   src-port=67-68
add action=drop chain=input comment="Block DHCP servers on 192.168.0.0/16" \
   disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
   ip src-address=192.168.0.0/16 src-port=67-68
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=yes
« แก้ไขครั้งสุดท้าย: วันที่ 10 เมษายน 2012, 04:59:01 โดย yod »

yod

  • Administrator
  • Hero Member
  • *****
  • กระทู้: 1841
    • Sysnet Center
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #5 เมื่อ: วันที่ 10 เมษายน 2012, 05:00:45 »

radius กลาง ของ easyzonecorp เป็นไงมั้งครับพี่ ลูกค้าถามๆถึงหลายคน อยากได้ radius กลางเพื่อจะ control users ที่ส่วนกลางที่เดียวเลย เดี๋ยวผมจะได้แนะนำกับทาง easyzonecorp ไปเลยครับ

wong62

  • VIP
  • Full Member
  • *****
  • กระทู้: 130
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #6 เมื่อ: วันที่ 11 เมษายน 2012, 03:47:39 »
ก็ดีครับ ตอบโจทย์ได้มากพอสมควร ที่สำคัญคือระบบลงทะเบียนผ่านหน้า login ให้ user สร้าง account เองแล้วส่ง activate code ผ่าน sms เก็บเบอร์มือถือไว้เพื่อพิสูจน์ตัวตน ดีกว่ามานั่งเก็บหลักฐานจดชื่อผู้ซื้อ เสร็จแล้วขายบัตรเติมเงินอย่างเดียว ถ้าใช้ userman ลูกค้ารายวันประมาณ 20+ ตกเดือนละ 600+ เก็บกันตาเหลือกเลย ที่สำคัญ user ไม่เกิน 100 online พร้อมกัน ใช้ 450G ได้เลยชิวชิว และยังสามารถใช้ได้กับ multi wan ด้วยซึ่งรายอื่นยังไม่มี

easyzonecorpdotnet

  • Newbie
  • *
  • กระทู้: 2
    • easyzonecorp.net
    • อีเมล์
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #7 เมื่อ: วันที่ 16 เมษายน 2012, 00:50:04 »
ขอบคุณคับ

luzifull

  • Newbie
  • *
  • กระทู้: 2
    • อีเมล์
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #8 เมื่อ: วันที่ 16 พฤษภาคม 2012, 16:28:04 »
ขอบคุณมากครับ!!!!  :o :o :o :o

RTL8187L

  • Newbie
  • *
  • กระทู้: 3
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #9 เมื่อ: วันที่ 23 สิงหาคม 2012, 10:16:19 »
ขอบคุณครับ

karamemy

  • Newbie
  • *
  • กระทู้: 1
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #10 เมื่อ: วันที่ 14 สิงหาคม 2013, 18:19:43 »
สอบถามหน่อยครับ เครื่องผมไม่ได้ใช้ โปรแกรมNetcut แต่โปรแกรม wireshark มันแสดงARP เป็นIPเครื่องผมครับ ผมลงโปรแกรม AntiARP Antinetcut

yod

  • Administrator
  • Hero Member
  • *****
  • กระทู้: 1841
    • Sysnet Center
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #11 เมื่อ: วันที่ 14 สิงหาคม 2013, 18:35:05 »

โปรแกรม anti arp มันเป็นการส่ง mac เราไป update บ่อยๆครับ เมื่อเปิด wireshark เลยเห็นเยอะครับ

yuttapong

  • Mikrotik
  • Full Member
  • *****
  • กระทู้: 242
Re: การทดสอบ: ARP Poisioning Attack (Netcut)
« ตอบกลับ #12 เมื่อ: วันที่ 30 พฤษภาคม 2014, 14:45:45 »
มีสคลิปป้องกันหรือบล็อคโปรแกรม netcut ไหมครับ อยากได้แบบที่เดียวอยู่เลยอะครับ เอาแบบ run โปรแกรม netcut  ไม่ได้เลยยิ่งดีครับ
ขอบคุณครับ


Share via facebook

 


Users found this pages searching for: