NetCut我想很多人應該都聽過它,或許你是拿來痛快的剪別人,但也可能是可憐的受害者。不管如何,今天來介紹一下如何透過簡單的dos指令來防止NetCut。其實NetCut是使用arp封包欺騙受害的電腦,使受害電腦無法將Gateway的IP與其正確的MAC位址對應,就是使用這簡單原理,再經介面化就變成了NetCut。網路上也找的到預防NetCut的小軟體,原理也很簡單,就是讓受害電腦不斷快速的確認Gateway IP的MAC位址,這樣一來就能保持兩者相對應,當然也就解決了被斷線的問題。以上說了不少,如果你看的霧煞煞那也沒關係,只要學會了以下簡單的dos指令,你也能輕鬆解決NetCut。
步驟一:確認Gateway IP。點選開始/執行 或 windows key+R,輸入cmd開啟MS Dos。輸入ipconfig你就能看到你的Gateway IP。
步驟二:確認Gateway的MAC位址。再輸入arp -a找到剛剛的Gateway IP,後面Physical Address底下哪一串xx-xx-xx-xx-xx-xx就是我們要找的MAC位址。
注意!
執行步驟一、二時,請確定是在網路可正常連線上網的情形下。並且請將Gateway IP與其MAC位址記錄下來。
往後當你忽然無法上網時,開啟MS Dos輸入arp -a核對Gateway IP所對應的MAC位址不是你所記錄的那一組(MAC位址)時,就代表你被cut啦!
步驟三:熟記底下2個dos指令,有效手動解決問題。OK!接下來就是重點了。現在要介紹2個指令-
執行步驟一、二時,請確定是在網路可正常連線上網的情形下。並且請將Gateway IP與其MAC位址記錄下來。
往後當你忽然無法上網時,開啟MS Dos輸入arp -a核對Gateway IP所對應的MAC位址不是你所記錄的那一組(MAC位址)時,就代表你被cut啦!
步驟三:熟記底下2個dos指令,有效手動解決問題。OK!接下來就是重點了。現在要介紹2個指令-
- arp -s
- arp -d
當確認你的網路斷線是被NetCut所為後,請開啟MS Dos輸入 arp -s Gateway IP MAC 位址 (以上面的例子就是 arp -s 192.168.1.1 00-50-7f-34-00-00)。這一段指令就是手動將你的電腦Gateway IP對應到正確的MAC位址,這樣NetCut就沒辦法使用假的arp封包欺騙你的電腦啦。
你可以在電腦馬上試試,故意打錯的MAC位址看看,是否你的電腦就無法上網了?如果無法上網,這就好比自己cut自己,NetCut就是使用這樣簡單的原理,到這時候你應該是有所領悟了吧!:)
arp -d這指令可以清除arp表格(就是步驟二輸入arp -a後dos出現的內容),讓Gateway IP重新再對應一次MAC位址,這樣就又可以恢復你正常的網路連線了。
from ----------------------
參考來源:如何避免或破解Netcut造成的斷線情形
文件名稱:如何避免或破解Netcut造成的斷線情形
文件作者:節錄 - 微風廣場 rien (萊因哈特‧馮‧羅嚴克拉姆)
登錄時間:2006-02-27 23:00:43 - BY [hans01161218]
--------------------------------------------------------------------------------
要破解使用Netcut造成的斷線問題,必須先了解Netcut的運作原理。由於Netcut使用的是假造ARP封包造成目標主機
ARP table記錄錯誤來達成斷線目的,因此必須先由ARP協議開始說明。
在乙太網路上僅僅知道某台主機的IP address,並不能立即將封包傳送過去,必須先查明該主機的實體位址(Physical
address / MAC address)才能真正發送出去,而ARP協議的功用就是在於將IP address轉換成實體位址。
網路上每一台主機都有一個ARP table,此table中記錄了最近一段時間裡其它IP address及其MAC address的對應關係。
如果本機想跟某一台主機通信,則會先在ARP table中查尋對應目的主機IP address的MAC address,如果該對應記錄存在,
則直接將目的主機的MAC address填入Data Link層的封包表頭中,然後將封包發送出去;如果該對應記錄不存在,則會向本
網段廣播一個ARP請求封包,當目的主機聽見該請求封包後,會將本身的MAC address填入封包並用廣播方式回送出去,本機
收到此回應封包後,就會將相關訊息記錄在ARP table中,然後將目的主機的MAC address填入Data Link層的封包表頭裡。
由於ARP請求封包發送端只管接收回應訊息,卻無法分辨訊息的真偽,因此第三方主機只要建構一個ARP欺騙封包,就可以造成
請求端的ARP table資訊錯誤。由於MAC address不正確,所以封包就再也無法傳送到目的主機上,這就是Netcut造成連線
中斷的原因。
舉例來說,裝有Netcut的A主機向受害B主機發送假的ARP訊息,使得B主機上ARP table中對應到閘道器IP address的MAC
address,更新成錯誤的MAC address。由於B主機上網必須透過閘道器傳送,閘道器的MAC address資訊錯誤,當然會造成
B主機的封包再也無法傳送到閘道器上,原本建立好的連線也會因為timeout而導致斷線的情形發生。
知道Netcut的運作原理了,可是要怎樣才能預防或解決被Netcut斷線的問題呢?其實只要下達一個小小的指令就可以對
Netcut完全免疫了~~
方法很簡單,由於Netcut的工作原理是透過假造ARP封包,造成你主機上的ARP table記錄到錯誤的閘道器MAC address,
藉此讓你的主機跟目地主機間的往來封包發生中斷,所以你只要將正確的對應位址設定成static記錄就可以避免狀況發生。
設定指令如下:
arp -s 閘道器IP address 閘道器MAC address
舉例來說,假設閘道器的IP address是192.168.88.254,打開命令提示字元,執行ping 192.168.88.254,只要ping得
通就可以得到正確的閘道器MAC address。這時執行 arp -a 就可以查出192.168.88.254的對應MAC address(就是
Physical Address)。例如192.168.88.254的MAC address是00-90-cc-4f-db-18,那麼只要執行
arp -s 192.168.88.254 00-90-cc-4f-db-18 就搞定了。
假如你的主機已經被斷線,這時該怎麼辦呢?很簡單,你只要借用同網段的其他主機查詢閘道器的MAC address,然後用上述
方法將正確的對應資訊加入到你的主機上就行了。
注意,如果主機的閘道器IP address改變,MAC address通常也會跟著變動,這時只要下達 arp -d 就可以將原先設定的
ARP table對應資訊清除掉。
======================
參考來源:請問 ip 被搶的問題
>1...可能被盜 IP
>2...學校網管鎖起來了...因為我之前被鎖起來也是這樣
> > 我是用學術網路的固定 140.122.xx.xx
> > 最近電腦常常會出現一句"你的 ip 與網路上另一個位置衝突"
> > 然後我就不能上網了
> > 問題一: 照理說用 windows 的作業系統的話
> > ip 應該是先搶先用的才對
> > 在我還沒關機的狀況下為何會被搶走呢??
> > 問題二: 我想要知道那個人是誰
> > 請問如何在只知道 ip 的情況下找到他
> > 我們校內是有做 ip 跟卡號的對應管理
> > 不過我的 ip 被搶時也沒顯示對方卡號
> > 所以我現在也無法得知他是誰
> > 我試過用 windows 的信差服務 他好像關掉了
> > 之前有一個同學用一個駭客軟體幫我查
> > 他說現在用這個 ip 的是 windows98 的作業系統
> > 我覺得滿扯的
> > 不過還是想知道怎麼在只有 ip 的情況下找到他
> > 問題三: 這幾天我一直 ping 我原本用的那個 ip 他也還活的好好的
> > 所以我想要知道如何用軟體或病毒攻擊這個 ip
> > 只要能一直自動丟封包塞他的頻寬即可 病毒或程式都不拘
> > 之前找網管申訴 他說一定要有卡號才能找出那個人是誰
> > 而且已經被佔了一個多禮拜 他也沒還過我 害我都只能用同學電腦
> > 我的目的是希望能夠找到那台電腦 請他把 ip 還我
> > 用封包塞爆他是最後不得已才會用的手段
> > 這絕對不是因為對方跟我結怨 我只是想要用自己的電腦快樂的上網
> > 希望大家可以幫忙 感謝!!
網卡在使用中有兩類地址,一類是大家都熟悉的IP地址,另一類就是MAC地址,即網卡的物理地址,也稱硬體地址或鏈路
地址,這是網卡自身的惟一標識,就彷彿是我們的身份證一樣,一般不能隨意改變。它與網路無關,無論把這個網卡接入到網
路的什麼地方,MAC地址都是不變的。其長度為48位二進制數,由12個00 ~0FFH的16進制數組成,每個16進制數之間用「-」
隔開,如「00-10-5C-AD-72-E3」。
如何搜尋MAC地址
1、在Windows 9x/2000/XP下單擊「開始/程序」,找到「MS-DOS方式」或「命令提示號」。
2、在命令提示號下輸入:「Ipconfig/all」,Enter鍵後出現如附圖所示的對話視窗,其中的「Physical Address」
即是所查的MAC地址。
如何捆綁MAC地址和IP地址
進入「MS-DOS方式」或「命令提示號」,在命令提示號下輸入命令:ARP - s 10.88.56.72 00-10-5C-AD-72-E3,
即可把MAC地址和IP地址捆綁在一起。
這樣,就不會出現IP地址被盜用而不能正常使用校園網路的情況(當然也就不會出現錯誤提示對話視窗),可以有效保證
校園網路的安全和用戶的應用。
注意:ARP命令僅對區域網路的上網代理伺服器有用,而且是針對靜態IP地址,如果採用Modem撥號上網或是動態IP地址
就不起作用。ARP命令的各參數的功能如下:
ARP -s -d -a
-s:將相應的IP地址與物理地址的捆綁,如本文中的例子。
-d:刪除相應的IP地址與物理地址的捆綁。
-a:通過查詢ARP協議表顯示IP地址和對應物理地址情況。
======================
參考來源:有關於netcut這套軟體的原理
from
沒有留言:
張貼留言