找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3979|回复: 7

[其它] 想打人的同学请进,网吧迅速抓获第六感导致掉线的捣乱分子方法。

[复制链接]
发表于 2006-6-17 22:41:10 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
最近不少网吧都发现有不定期的部分机器掉线,
但是其他机器不掉,偶尔也全掉的现象,
查明大多是使用QQ第六感或者一些木马软件所致。
这类软件的原理其实也是ARP攻击,但是是针对客户终端的欺骗,。
比如说在一个192。168。0。0/24的网段
网关的IP是192.168.0.1,ARP是000000000000
A机的IP是192.168.0.2,ARP是11111111111111
A机运行着QQ第六感,它在工作的时候就告诉B机,
它的ARP才是网关的ARP,于是上当受骗的B机就将ARP缓存中的网关改为111111111111,
于是本来改发给网关192.168.0.1的数据,全部都发给A机,被它截获了。
然后B机因为数据发不出去,掉线……顾客多次重试下无效,重启机,ARP清空,又能上网了,

如果是是类似工作原理的木马的话,B机顾客的相关帐号密码想来已经被A机截获。

对于此类软件,由于受害面积相对假冒网关ARP的攻击方式来说小一点,
没有引起全网吧掉线,因此多数人不会以为是ARP,

查出此类攻击方式并不复杂,首先搜集一个全网吧的ARP-IP的对应表,
做过路由IP-ARP绑定的就简单的多了,没做过的用Sniffer扫描一个,
推荐下载一个Nbtscan的小工具,直接获取内网所有网卡的硬件地址,

然后再在掉线的机器上运行一下ARP -a,查看一下现在网关的ARP是否与网关真实ARP地址一致。
如果不一致,对照一下ARP -IP 对应列表,迅速找出是哪台机的ARP,那么,就是那个家伙在捣乱了

抓起来关上门打吧。。。。

我这里几个网吧,都先后让网管饱了手瘾了。。。
routeros
发表于 2006-6-18 08:42:36 | 显示全部楼层
呵呵,不管用的,qq第六感的mac是假的
routeros
回复

使用道具 举报

发表于 2006-6-18 15:54:35 | 显示全部楼层
还是设置本机实在一些.
我这里QQ第6感.网络执法官等运行了.什么反应都没有.
搞破坏自然就不行了.
routeros
回复

使用道具 举报

发表于 2006-6-19 01:37:58 | 显示全部楼层
楼上的本机怎么设置的。。呵呵不是用的所谓的ARP免疫补丁吧?
routeros
回复

使用道具 举报

发表于 2006-6-19 04:10:58 | 显示全部楼层
原帖由 blueboy888 于 2006-6-19 01:37 发表
楼上的本机怎么设置的。。呵呵不是用的所谓的ARP免疫补丁吧?

从更本上解决问题.协议上度绝此问题.
看了网络执法官这些软件.都要协议的.
没了协议.装上的软件也是没有任何用处的.
(我做的是网吧.)
routeros
回复

使用道具 举报

发表于 2006-6-21 01:05:46 | 显示全部楼层
哦,学习中!~
routeros
回复

使用道具 举报

发表于 2006-6-23 11:19:06 | 显示全部楼层
在客户机把主机的IP跟MAC绑定绑定,你在用QQ第六感试试。保证它怎么跟机器冲突,其他机器上网照不误,连线都不会掉一下!
routeros
回复

使用道具 举报

发表于 2006-6-29 18:11:06 | 显示全部楼层
原帖由 tianyu0323 于 2006-6-19 04:10 发表

从更本上解决问题.协议上度绝此问题.
看了网络执法官这些软件.都要协议的.
没了协议.装上的软件也是没有任何用处的.
(我做的是网吧.)



再请教下了。。。你怎么从协议上杜绝的啊? QQ第6感协议是不用安装直接调用的啊。能说一下你具体怎么做的吗?
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-24 00:20 , Processed in 0.063765 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表