Announcement

Collapse
No announcement yet.

ช่วยแนะนำวิธีดูคนใช้ Netcut ด้วย wireshark หน่อยครับ

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    ช่วยแนะนำวิธีดูคนใช้ Netcut ด้วย wireshark หน่อยครับ

    ผมลองเปิดหาใน google แล้วเจอแต่วิธีเก่า ๆ ซึ่งรูปไม่ขึ้น
    และก็เจอวิธีโหด ยิงเครื่องคนใช้ netcut
    แต่ผมอยากจับตัวเป็น ๆ เพราะหอผมใครใช้แล้วถูกจับได้ ไล่ออกสถานเดียวครับ
    ที่ผมอยากได้คือ วิธีดู log ของ wireshark ครับ

    เท่าที่อ่าน ๆ ในเวป คือดูเครื่องที่ส่ง arp แต่ยังงง ๆ ครับ

    192.168.200.72 ip ผมครับ
    http://image.ohozaa.com/view/758d1


    ใช่ netcut มั้ยครับ
    ขอบคุณครับ
    Attached Files
    Last edited by FiZZeR; 7 Jan 2012, 16:46:37. Reason: แก้รูป
    Tags: None
  • #2
    หลายๆคนถามว่าจะดูยังไงว่า คนไหนเล่น netcut หรือ bit torrent ผมมีตัวอย่างจากหอผมให้ดูครับ ยิ้ม

    โดยตัวอย่างนี้ผมได้มาจากโปรแกรม wireshark ซึ่งเป็น network sniffer ตัวที่ผมใช้ประจำ

    download ฟรีได้จาก http://www.wireshark.org

    วิธีการใช้งาน

    เปิด wireshark ขึ้นมา
    - ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
    - กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
    ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ


    การแปลผลลัพธ์

    1. Netcut

    หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ


    ในกรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน

    วิธีป้องกัน

    start -> run -> cmd
    ใช้คำสั่ง arp -s <ip> <mac adress> , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut
    วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all

    2. Bit Torrent
    หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน


    ในส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน

    อ้างอิง:http://www.beartai.com/webboard/index.php?topic=28961.0

    ไม่เคยตรวจเพราะ ป้องกันโดย AP isolator ของ Access point แล้ว ปัองกันได้ในระดับหนึ่ง

    Comment

    • #3
      filter หา ARP Protocol ครับ

      Comment

      • #4
        พึ่งเจอ หลุดโคตรบ่อย

        Comment

        • #5
          ผมเคยใช้ 3 อย่างอ่ะครับ
          1. Wireshark
          2. Add arp ใน Dos
          3. มันจะมีโปรแกรมนึงที่ใช้เช็คว่าใครมา Cut เราอ่ะครับ มันจะแสดง ip+mac มามั้งถ้าจำไม่ผิด

          ผมเปิดโปรแกรมที่ 3 รอไว้จนมีคนมา Cut พอเจอ ip+mac ก็ไปดัก Wireshark ต่อเพื่อให้ได้หลักฐานและข้อมูลที่เพียงพอ

          ส่วนวิธีดูก็ยังไม่เก่งเหมือนกันก็ดูเอาตามๆเนต และก็วิธีที่ข้างบนบอก ใครบอดแคส ARP เยอะๆ แต่ส่วนตัวคิดว่าถ้าร่วมมือกับ Admin ได้จะง่ายมากขึ้น

          เช่นการทดลองดับ SW ทีละชั้น หรือชั้นที่ต้องสงสัย ขอให้เจอนะครับ thank you

          Comment

          Previous template Next
          Working...
          X