想打人的同学请进，网吧迅速抓获第六感导致掉线的捣乱分子方法。

collan

最近不少网吧都发现有不定期的部分机器掉线，
但是其他机器不掉，偶尔也全掉的现象，
查明大多是使用QQ第六感或者一些木马软件所致。
这类软件的原理其实也是ARP攻击，但是是针对客户终端的欺骗，。
比如说在一个192。168。0。0/24的网段
网关的IP是192.168.0.1，ARP是000000000000
A机的IP是192.168.0.2，ARP是11111111111111
A机运行着QQ第六感，它在工作的时候就告诉B机，
它的ARP才是网关的ARP，于是上当受骗的B机就将ARP缓存中的网关改为111111111111，
于是本来改发给网关192.168.0.1的数据，全部都发给A机，被它截获了。
然后B机因为数据发不出去，掉线……顾客多次重试下无效，重启机，ARP清空，又能上网了，

如果是是类似工作原理的木马的话，B机顾客的相关帐号密码想来已经被A机截获。

对于此类软件，由于受害面积相对假冒网关ARP的攻击方式来说小一点，
没有引起全网吧掉线，因此多数人不会以为是ARP，

查出此类攻击方式并不复杂，首先搜集一个全网吧的ARP-IP的对应表，
做过路由IP-ARP绑定的就简单的多了，没做过的用Sniffer扫描一个，
推荐下载一个Nbtscan的小工具，直接获取内网所有网卡的硬件地址，

然后再在掉线的机器上运行一下ARP -a，查看一下现在网关的ARP是否与网关真实ARP地址一致。
如果不一致，对照一下ARP -IP 对应列表，迅速找出是哪台机的ARP，那么，就是那个家伙在捣乱了

抓起来关上门打吧。。。。

我这里几个网吧，都先后让网管饱了手瘾了。。。

风中的云

呵呵，不管用的，qq第六感的mac是假的

tianyu0323

还是设置本机实在一些.
我这里QQ第6感.网络执法官等运行了.什么反应都没有.
搞破坏自然就不行了.

blueboy888

楼上的本机怎么设置的。。呵呵不是用的所谓的ARP免疫补丁吧？

tianyu0323

原帖由 blueboy888 于 2006-6-19 01:37 发表
楼上的本机怎么设置的。。呵呵不是用的所谓的ARP免疫补丁吧？

从更本上解决问题.协议上度绝此问题.
看了网络执法官这些软件.都要协议的.
没了协议.装上的软件也是没有任何用处的.
(我做的是网吧.)

hbqjliulu

哦,学习中!~

qmxun

在客户机把主机的IP跟MAC绑定绑定，你在用QQ第六感试试。保证它怎么跟机器冲突，其他机器上网照不误，连线都不会掉一下！

blueboy888

原帖由 tianyu0323 于 2006-6-19 04:10 发表

从更本上解决问题.协议上度绝此问题.
看了网络执法官这些软件.都要协议的.
没了协议.装上的软件也是没有任何用处的.
(我做的是网吧.)

再请教下了。。。你怎么从协议上杜绝的啊？ QQ第6感协议是不用安装直接调用的啊。能说一下你具体怎么做的吗？