Nguyên tắc hoạt động của netcut

Netcut, 1 công cụ khá phổ biến dùng để cắt mạng của người trong cùng mạng Lan ;)) . Mình thấy 1 số người nói là netcut dùng ARP spoofing (gửi liên tục ARP reply chứa MAC sai cho victim), nhưng mình thử dùng wireshark để bắt gói tin thì thấy lại không phải là như vậy. Spoofing ở đây là giả mạo, nhưng giả mạo thì có nhiều cách, không nhất thiết phải  gửi liên tục ARP reply :-s , chúng ta hãy cùng xem netcut lừa đảo như thế nào nhá ;-)

Ở hình dưới đây:

- Máy của victim có MAC là 00:23:5a:68:78:07 và IP là 192.168.1.33

- Gateway có MAC 00:02:cf:c7:ce:84 và IP là 192.168.1.1

Nguyên tắc hoạt động netcut
Phân tích gói tin netcut

Trên hình ta thấy như sau, ở dòng đầu tiên

“4 23.243073 33:0c:57:19:43:1b 00:23:5a:68:78:07 ARP Who has 192.168.1.33?  Tell 192.168.1.1″

Có 1 cái gì đó có địa chỉ MAC 33:0c:57:19:43:1b hỏi máy của victim là ai có địa chỉ IP là 192.168.1.33 và nó cũng cho victim biết luôn rằng địa chỉ IP của nó là 192.168.1.1. Khi máy victim nhận được câu hỏi này nó sẽ trả lời lại

“5 23.243098 00:23:5a:68:78:07 33:0c:57:19:43:1b ARP 192.168.1.33 is at 00:23:5a:68:78:07″

và lưu luôn địa chỉ của người vừa hỏi nó vào ARP cache: IP 192.168.1.1 ứng với MAC 33:0c:57:19:43:1b. Vậy là xong bước 1, ta thấy ở đây là 1 sự mạo nhận rất đơn giản, nó giả gateway và đi hỏi victim chứ không phải là spoofing-cứ hét vào tai victim là “tôi 192.168.1.1, MAC của tôi là 33:0c:57:19:43:1b”, tức là send liên tiếp reply “33:0c:57:19:43:1b 00:23:5a:68:78:07 ARP 192.168.1.33 is at 00:02:cf:c7:ce:84″

Tiếp đến bước 2, nó giả làm victim và đi hỏi gateway

7 23.243262 33:0c:57:19:43:1b ZygateCo_c7:ce:84 ARP Who has 192.168.1.1?  Tell 192.168.1.33

quá trình tương tự xảy ra, và giờ trong bảng ARP cache của modem hoặc router sẽ lưu là IP 192.168.1.33 có địa chỉ MAC là 33:0c:57:19:43:1b

Một gói tin muốn chuyển ra ngoài phải đi qua gateway, và giờ victim sẽ gửi gói tin này cho 192.168.1.1 có MAC là 33:0c:57:19:43:1b-một địa chỉ không tồn tại trong mạng, 1 gói tin từ ngoài chuyển vào cũng thế đến gateway nó sẽ chuyển cho 192.168.1.33 nhưng lúc này 192.168.1.33 lại có MAC là 33:0c:57:19:43:1b và kết quả là victim rớt mạng ;))

Đoạn còn lại(từ gói tin có số thứ tự 16 trở đi) là lúc mình bấm resume và netcut nó làm ngược lại công việc của mình thôi nó sẽ hỏi lại máy victim, rồi  hỏi lại gateway nhưng lần này với địa chỉ MAC là đúng :d

Có 1 điểm cần chú ý ở đây là, nếu địa chỉ MAC 33:0c:57:19:43:1b không phải là 1 địa chỉ MAC không tồn tại nữa mà là địa chỉ MAC của 1 máy nào đó thì sao đây ;)) tất cả thông tin mà chúng ta gửi đi sẽ bị xem trộm :-s Tất nhiên ở đây là netcut nên sẽ không có chuyện này. Nhưng nếu dùng 1 chương trình khác, điều hướng 1 máy nào đó gửi gói tin qua máy của mình thì sao nhỉ ;)) cơ chế hoàn toàn như trên thôi chỉ thay địa chỉ MAC 33:0c:57:19:43:1b bằng địa chỉ MAC của máy tính của bạn và tất nhiên phải có cơ chế routing để người kia không bị rớt mạng (như thế họ mới gửi tin để chúng ta nghe trộm chứ ;)) )

Vậy có cách nào phòng chống netcut cũng như là việc nghe lén kia không :s tất nhiên là có :d

Cách thứ nhất: Nếu chỉ muốn chống netcut thì cách làm đơn giản nhất, ai cũng có thể làm là ta cũng cài netcut :)) (trong netcut có chức năng tự bảo vệ cho máy tính của bạn khỏi netcut-cái này là tránh gậy ông đập lưng ông ấy mà ;)) )

Cách thứ 2: Đặt địa chỉ MAC tĩnh cho gateway đối với windows thì vào run-> cmd, Cửa sổ command prompt hiện lên ta gõ 2 dòng lệnh sau:

arp -d //dùng để xóa bảng arp cache hiện tại

arp -s địa_chỉ_IP địa_chỉ_MAC

Cách thứ 3: cách này mình làm được với modem zyxel còn với các loại khác thì không biết thế nào, nhưng các bạn có thể thử :d

Đặt địa chỉ ip tĩnh, đặt ip gateway khác địa chỉ mạng với mạng đang dùng ví dụ gateway là 192.168.1.1 thì có thể đặt thành 192.169.3.3 chẳng hạn. Sở dĩ đặt được như vậy là vì khi query 1 địa chỉ IP nằm khác mạng thì cái modem của mình(zyxel p600)  nó gán cho IP kia cái MAC của nó :)) . Cái chỗ này cũng chưa rõ lắm nhưng thấy thế thì nói thế thôi :d

Be Sociable, Share!

5 Responses

  1. Fu4ny nói:

    Thế này ko gọi là arp spoofing thì gọi là gì ?

    • As nói:

      Thế này cũng gọi là arp spoofing hả :"> Ờ thì spoofing là giả mạo mà nhỉ :"> x_x Nhưng mà tớ toàn thấy nói là spam arp thôi, cái netcut này nó có spam đâu :-|

  2. Fu4ny nói:

    arp spoofing là 1 cách gọi chung cho việc giả mạo arp, còn người ta thích làm thế nào thì làm chớ. Giống như Dos ko phải là DDos, và cũng ko nhất thiết phải là nhiều máy cùng truy cập

  3. Newbie nói:

    MÌnh muốn hỏi có lúc mình mất mạng mở netcut thấy có 2 địa chỉ 192.168.1.1 có 2 MAC khác nhau.Khi có mạng lại thì chỉ còn có 1 cái cố định.Thế là sao nhỉ?

  4. thanhzen nói:

    khó hiểu quá]

Trả lời

© 2010-2013 As247 Blog. All Rights Reserved. 2,651