Nhân lúc chiều nay bận bịu vì không có gì làm, mới ớ người ra là có kẻ đan tâm netcut máy mình trong LAN. Những ai đã từng trải qua vụ này thì vk xin cam đoan là cảm giác ngay đầu tiên là chỉ muốn ăn tươi nuốt sống....kẻ chủ mưu mà thôi. Khá là bức xúc!
Bằng một số biện pháp nghiệp vụ, VK đã xác định được danh tính của kẻ thủ ác, mất nhân tính đó, cơ mà chỉ là thông tin kĩ thuật, chưa thể đem ra để úp sọt hung thủ được. Cộng thêm đó là modem và các thiết bị liên quan đều đang ở một phòng khác ( sau này được xác định là hung thủ ) nên tình thế thật khó khăn vô cùng.
Biện pháp đầu tiên được áp dụng là đòn tự sát! "Chúng mình chết chung nhá", sau một hồi tra tấn, đưa cái cục tenda lên gặp chị Hành con bà Hạ thì hung thủ lòi mặt chuột, mở cửa phòng với bộ mặt ngơ ngác: ơ mình netcut mà sao mình cũng die.
Nhưng mà như thế thì sau khi hồi phục chúng ta vẫn chưa lên net được, nó lại tiếp tục netcut!?. Bởi vậy topic này ra đời để tránh trường hợp bị mất internet nhưng vẫn đóng tiền đều đều hàng tháng, đang tải dở tập cuối City hunter thì "disconnect", nhưng ko resume được.
Không dài dòng nữa, vào vấn đề chuyên môn luôn vậy.
Bước đầu tiên, để xác định có phải mạng phòng mình đang bị netcut không thì phải kiểm tra đã, tránh việc do các lỗi khác phát sinh, rồi áp dụng nhầm lẫn thì khổ.
- Nếu bạn xài Windows 7 thì biểu hiện dễ thấy là biểu tượng mạng ở góc phải thanh taskbar luôn có dấu chấm thang màu vàng. Nếu là windows XP thì mọi thứ có vẻ ổn, nhưng vẫn không lên mạng được.
- Để chắc chắn thì chúng ta cần kiểm tra địa chỉ IP và MAC được lưu trong cache. Nhấn Windows + R -> gõ cmd -> gõ tiếp "arp -a" ( lưu ý không có dấu " )
Kết quả sẽ là các địa chỉ MAC lưu trong cache.
VỚI MỘT ĐỊA CHỈ IP THÌ CHỈ ĐI VỚI 1 ĐỊA CHỈ MAC, HAY NÓI CÁCH KHÁC 1 CẶP ĐỊA CHỈ IP&MAC MÀ BẠN THẤY LÀ DUY NHẤT. Có nghĩa rằng khi thấy bất kì 2 địa chỉ IP mà có chung 1 địa chỉ MAC thì chắc chắc rằng bạn đang là nạn nhân của netcut.
Hình VK đưa ra các bạn sẽ thấy rõ, 2 địa chỉ IP 192.168.1.1 và 1.152 đều có MAC add giống nhau. Điều này chứng tỏ bạn đang bị tấn công arp, và đối với những kẻ chỉ biết dùng netcut thì 100% IP 152 chính là kẻ chủ mưu.
Có thể dùng các trình bắt gói tin chuyên nghiệp như wireshark để check thì sẽ thấy ràng hơn. Nhưng mà đòi hỏi một số hiểu biết về protocol, VK không hướng dẫn ở đây tránh làm dài bài viết.
Cơ chế của các phần mềm netcut dựa vào lỗ hổng của giao thức ở Layer 2, cụ thể ở mạng ethernet chúng ta đang xài là protocol ARP. Tên khốn đó sẽ dùng soft phun các frame arp khắp mạng hoặc máy định sẵn, với nội dung đánh lừa máy chúng ta, làm máy nạn nhân nghĩ rằng máy hung thủ là đích đến trước khi ra internet, nhưng gói tin khi được chuyển tới hung thủ sẽ bị drop một cách dã man con ngan.
* Cách trị netcut thì gồm nhiều cách, các bạn search trên internet chắc hẳn sẽ được chỉ là dùng lệnh arp -s để thêm MAC add của gateway thành static, hoặc dùng chính netcut để protect yourself, hoặc anti-netcut. Đa số cách này mang tính chất chữa cháy và làm ức chế thêm cho nạn nhân, nhưng hiệu quả không cao.
Các bạn có thể thử AntiARP ở đây:
Code:
[You must be registered and logged in to see this link.]
Đây là một trong những phần mềm tốt nhất chống bị tấn công ARP hiện nay, nhưng nhược điểm là chỉ cho trial 15 ngày. Các bợn có thể mò lên vnzoom để tìm trial reset. Cơ mà vậy thì mệt quá.
VK xin giới thiệu một soft khác, free hoàn toàn, không mã độc, mà chống cực tốt, thời điểm viết bài này VK đang dùng nó để chống lại netcut đây. Hiệu quả 100%.
Anti Netcut 3 Phiên bản mới nhất ( tháng 6-2011)
Windows 7/Vista
Code:
[You must be registered and logged in to see this link.]
Windows XP
Code:
[You must be registered and logged in to see this link.]
Sau khi tải về cài đặt bình thường.
Đến khi xuất hiện hộp thoại thì các bạn làm như sau:
Nhấn vào Select Network Adater to Protect để chọn card mạng bạn đang xài. Cái này các bạn chọn adapter LAN của mình đấy.
Sau khi chọn xong thì local IP và local MAC tự động xuất hiện.
Sau đó nhấn tiếp vào Detect gateway MAC address và chọn địa chỉ MAC mà bạn thấy. Sau đó nhấp OK.
Lưu ý: Nếu máy đang bị netcut thì ở đây bạn sẽ thấy 2 hay nhiều địa chỉ MAC, lúc này nếu bạn chọn nhầm thì hoàn hoàn không lên mạng được. Vì vậy bạn nên chọn lúc máy lên mạng bình thường rồi hãy làm bước này, lúc đó kết quả chỉ có 1 địa chỉ Gateway nên không bị nhầm.
Hoặc bạn có thể chọn địa chỉ bất kì, sau đó vẫn thấy không online được thì vào Settings của phần mềm làm lại bước 2 sau khi chọn địa chỉ khác. Đến khi nào online được thì thôi.
Khi chạy bình thường thì kết quả như sau:
Khi có kẻ netcut thì phần mềm phát hiện và tự "heal" cho cái card mạng đáng thương của bạn.
Xem lại lịch sử bị netcut
Bonus: Úp sọt hung thủ!
Như các bợn đã thấy, sau một hồi phân tích thì những kẻ dùng phần mềm netcut đã lòi đuôi chuột một cách rõ ràng: chính là địa chỉ MAC của nó. Các bạn click chuột phải vào Anti Netcut 3, chọn Who tried to cut my connection, để xem địa chỉ MAC của kẻ đã cut mạng của bạn. Ghi lại nó.
Việc tiếp theo khá khó khăn đòi hỏi bạn phải có kĩ năng xã hội một tẹo. Đó là làm sao tiếp cận được máy của kẻ mình nghi ngờ, check xem địa chỉ MAC ở máy đó trùng với địa chỉ bạn ghi lại được không. Nếu trùng thì bạn có thể gọi đàn em tới, thịt nó được rồi để thỏa lòng mong đợi sau bao nhiêu ngày ức chế.
"Bạn lựa một thời điểm nào đó, anti-netcut 3 phát hiện có kẻ netcut, sau đó giả vờ đi tới phòng hung thủ trong tầm ngắm, vờ bảo "sao mình không online yahoo được, mình có việc gấp nhắn mấy đứa trong nhóm mai đi....nhậu gấp được không?" thế là con mồi của bạn thản nhiên cho bạn mượn máy mà không mảy may nghi ngờ với bộ mặt ngây thơ vô số tội của mình."
Khi ngồi vào máy nạn nhân thì nên tránh nạn nhân đứng kế bên, ngay lập tức kiểm tra địa chỉ MAC nạn nhân như sau:
Nhấn Windows + R -> gõ CMD -> gõ: ipconfig /all
Sau đó tìm dòng: Physical Address rồi ghi chuỗi bên phải lại. Đó chính là MAC add.
Nếu không quen cách đó thì làm như trong hình:
Nếu bạn là chủ modem thì cứ lần lượt đi từng phòng và check địa chỉ MAC như trên. Kẻ thủ ác sau khi lộ diện thì nên tuột quần, bôi ớt vào...underwear, chụp ảnh nude tung lên mạng blah blah để trừng trị đích đáng nhé.
Chúc các bạn thành công, mọi thắc mắc thì reply ngay tại topic. Bài tự viết, có sơ sót cứ chém.
[You must be registered and logged in to see this link.]