想打人的同学请进,网吧迅速抓获第六感导致掉线的捣乱分子方法。
最近不少网吧都发现有不定期的部分机器掉线,但是其他机器不掉,偶尔也全掉的现象,
查明大多是使用QQ第六感或者一些木马软件所致。
这类软件的原理其实也是ARP攻击,但是是针对客户终端的欺骗,。
比如说在一个192。168。0。0/24的网段
网关的IP是192.168.0.1,ARP是000000000000
A机的IP是192.168.0.2,ARP是11111111111111
A机运行着QQ第六感,它在工作的时候就告诉B机,
它的ARP才是网关的ARP,于是上当受骗的B机就将ARP缓存中的网关改为111111111111,
于是本来改发给网关192.168.0.1的数据,全部都发给A机,被它截获了。
然后B机因为数据发不出去,掉线……顾客多次重试下无效,重启机,ARP清空,又能上网了,
如果是是类似工作原理的木马的话,B机顾客的相关帐号密码想来已经被A机截获。
对于此类软件,由于受害面积相对假冒网关ARP的攻击方式来说小一点,
没有引起全网吧掉线,因此多数人不会以为是ARP,
查出此类攻击方式并不复杂,首先搜集一个全网吧的ARP-IP的对应表,
做过路由IP-ARP绑定的就简单的多了,没做过的用Sniffer扫描一个,
推荐下载一个Nbtscan的小工具,直接获取内网所有网卡的硬件地址,
然后再在掉线的机器上运行一下ARP -a,查看一下现在网关的ARP是否与网关真实ARP地址一致。
如果不一致,对照一下ARP -IP 对应列表,迅速找出是哪台机的ARP,那么,就是那个家伙在捣乱了
抓起来关上门打吧。。。。
我这里几个网吧,都先后让网管饱了手瘾了。。。 呵呵,不管用的,qq第六感的mac是假的 还是设置本机实在一些.
我这里QQ第6感.网络执法官等运行了.什么反应都没有.
搞破坏自然就不行了. 楼上的本机怎么设置的。。呵呵不是用的所谓的ARP免疫补丁吧? 原帖由 blueboy888 于 2006-6-19 01:37 发表
楼上的本机怎么设置的。。呵呵不是用的所谓的ARP免疫补丁吧?
从更本上解决问题.协议上度绝此问题.
看了网络执法官这些软件.都要协议的.
没了协议.装上的软件也是没有任何用处的.
(我做的是网吧.) 哦,学习中!~ 在客户机把主机的IP跟MAC绑定绑定,你在用QQ第六感试试。保证它怎么跟机器冲突,其他机器上网照不误,连线都不会掉一下! 原帖由 tianyu0323 于 2006-6-19 04:10 发表
从更本上解决问题.协议上度绝此问题.
看了网络执法官这些软件.都要协议的.
没了协议.装上的软件也是没有任何用处的.
(我做的是网吧.)
再请教下了。。。你怎么从协议上杜绝的啊? QQ第6感协议是不用安装直接调用的啊。能说一下你具体怎么做的吗?
页:
[1]