Mình thấy bài này bên Nhất Nghệ. Bài Rất Hay Nên Xin Phép Đăng Lên CEH Cho Các Bạn Xem ( Tác Giả gadaubac )
Chào mọi người.
Tôi thấy vấn nạn sử dụng Netcut làm nhiều bạn mệt mỏi với nó. Nay tôi có một câu chuyện nhỏ về cách chống Netcut . Mong được trao đổi thêm cùng mọi người.
Trong câu chuyện này có 4 nhân vật:
- Tôi: máy thật Server.
IP:192.168.1.2/24
GW:192.168.1.1
- Anti-netcut: máy ảo vm1.
IP:192.168.1.11/24
GW:192.168.1.1
- Netcuter: máy ảo vm2.
IP: 192.168.1.12/24
GW: 192.168.1.1
- Modem vô tri vô giác.
IP: 192.168.1.1.
Là một Script Kiddies chính hiệu nên Netcuter luôn phòng thân sẵn một chương trình có tên là Netcut. Hắn thích chọc phá mọi người mà chẳng cần biết nó hoạt động ra sao ?
Sau một thời gian gieo rắc nỗi kinh hoàng cho các tiệm net và phòng thực hành, hôm kia hắn ghé nhà tôi và ngồi vào máy ảo vm2- 192.168.1.12. Ngay lập tức hắn cài Netcut vào máy :
Thật tình cờ Anti-netcut cũng ghé chơi và mượn máy vm1- 192.168.1.11.
Với bản tính cẩn thận ( chắc tại bị cut-net nhiều rồi ) Anti-netcut chạy một dòng lệnh ngay khi khởi động máy để nạp Arp Entries
for /l %x in (1,1,12) do ping 192.168.1.%x -n 1
Sau đó hắn chạy arp -a để xem và copy các entries vừa cập nhật :
Rồi Anti-netcut tạo một batch file đặt tên là static.bat với nội dung :
Anti-netcut thêm dòng ping 203.113.188.1 để kiểm tra khi chạy có thông ra internet được không. Sau đó hắn copy file này vào USB để...dành.
Còn tôi, với bản tính khù khờ chậm chạp, không mảy may suy nghĩ điều gì, cứ lo vào http://nhatnghe.com/forum/showthread.php?t=24111 mày mò học hỏi .
Anti-netcut đang lướt web ngon lành bỗng rớt cái phịch. Với nhiều năm kinh nghiệm nơi tiệm internet, Anti-netcut bèn ping thử 203.113.188.1. Thấy Request timed out hắn liền mở arp cache ra xem :
Chà, lúc này địa chỉ MAC của modem có cái gì đó vừa quen vừa lạ. So sánh với địa chỉ lưu lúc đầu , Gã mỉm cười bí hỉêm.
Khà khà, lại thông net rồi. Gã mở arp cache lên kiểm tra tiếp :
OK, thế là cứ tiếp tục lướt net thôi.
Về phần Netcuter, Hắn thấy không làm ăn được gì vm1, Hắn đâm ra nghi ngờ cái phần mềm Netcut.exe mà hắn down trên mạng về. Thế là Hắn đành đoạn đem tôi ra thử luôn :
Tôi đang đọc mấy bài Exchange bỗng nhiên thấy đứt mang. Nhưng tôi cũng không phải tay "dừa" nên ping thử 203.113.188.1 liền :
Trời, ping tới ping lui không được,rút ra cắm lại mấy sợi dây mãi không xong, tôi chỉ còn biết vò đầu bứt tóc. Netcuter nhìn thấy tôi như vậy là biết phần mềm của hắn còn chạy được. Vậy nó trục trặc ở chỗ nào ???
Một Netcuter chân "phụ" không bao giờ từ bỏ âm mưu đen tối của mình. Hắn dùng chiêu nhập môn của "Quỳ Hoa Bảo Điển" để...
Netcuter lúc này quyết định cut luôn chú modem tội nghiệp. Việc này đồng nghĩa với chính Hắn cũng không ra internet được nữa :
Anti-netcut lúc này lại bị rớt mạng ngay lập lức. Gã nhíu mày thầm nghĩ :
Sau khi cài WinPcap vào máy, gã mở cửa sổ cmd lên và chạy :
Để chắc ăn, Anti-netcut mở thêm một cửa sổ nữa để gửi arp reply với cường độ gấp đôi.
Gã xoa tay.
Khà, khà. Đường lại thông rồi. Vào trang Nhất Nghệ coi chừng nào lớp CEH khai giảng nào :
Ngon lành.
Vừa vào forum Gã đã gặp thêm một nạn nhân của Netcut. Chậc chậc ...
Bây giờ còn một việc phải tính sổ, đó là truy tìm kẻ cut-net... Gã nghĩ :
Anti-netcut suy tính :
Khà khà. Anti-netcut khoái chí :
Hắn có biết đâu, Anti-netcut không poison máy Hắn mà là poison cái modem với entry của Hắn. Đành ngậm bồ hòn làm ngọt thôi ...
Chỉ tội cho tôi. Trâu bò húc nhau, ...
- Nghe đâu sau vụ đó Netcuter đã thề không bao giờ đụng đến mấy cái tools đó nữa, tu tâm dưỡng tánh, lên Nhất Nghệ tầm sư học đạo.
- Còn Anti-Netcut sau khi truyền lại cho tôi sự việc và vài cuốn Pdf thì cũng tuyệt tích giang hồ.
- Gã giải thích arpspoof.exe dùng để gửi gói arp reply. Source code của nó đầy trên mạng và trong các cuốn Pdf kia.
- Có nhiều cách để phát hiện trong mạng có máy dùng arpspoof. Vd: Xarp,...
- Câu chuyện này đáng ra còn phần 2 nữa. Nhưng kết thúc tại đây cũng coi như có hậu ...
Link: http://ceh.vn/ceh3/index.php?option=com_content&view=article&id=89:how-to-anti-netcut&catid=17:gii-phap-bo-mt&Itemid=106
Tôi thấy vấn nạn sử dụng Netcut làm nhiều bạn mệt mỏi với nó. Nay tôi có một câu chuyện nhỏ về cách chống Netcut . Mong được trao đổi thêm cùng mọi người.
Trong câu chuyện này có 4 nhân vật:
- Tôi: máy thật Server.
IP:192.168.1.2/24
GW:192.168.1.1
- Anti-netcut: máy ảo vm1.
IP:192.168.1.11/24
GW:192.168.1.1
- Netcuter: máy ảo vm2.
IP: 192.168.1.12/24
GW: 192.168.1.1
- Modem vô tri vô giác.
IP: 192.168.1.1.
Hồi 1:
Bạn đến nhà, vội mở máy lên chơi.
Nào biết đâu, cớ sự cũng từ đó...
--o0o--
Bạn đến nhà, vội mở máy lên chơi.
Nào biết đâu, cớ sự cũng từ đó...
--o0o--
Là một Script Kiddies chính hiệu nên Netcuter luôn phòng thân sẵn một chương trình có tên là Netcut. Hắn thích chọc phá mọi người mà chẳng cần biết nó hoạt động ra sao ?
Sau một thời gian gieo rắc nỗi kinh hoàng cho các tiệm net và phòng thực hành, hôm kia hắn ghé nhà tôi và ngồi vào máy ảo vm2- 192.168.1.12. Ngay lập tức hắn cài Netcut vào máy :
Thật tình cờ Anti-netcut cũng ghé chơi và mượn máy vm1- 192.168.1.11.
Với bản tính cẩn thận ( chắc tại bị cut-net nhiều rồi ) Anti-netcut chạy một dòng lệnh ngay khi khởi động máy để nạp Arp Entries
for /l %x in (1,1,12) do ping 192.168.1.%x -n 1
 | Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 812x723 |
Sau đó hắn chạy arp -a để xem và copy các entries vừa cập nhật :
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 812x723 |
Rồi Anti-netcut tạo một batch file đặt tên là static.bat với nội dung :
Anti-netcut thêm dòng ping 203.113.188.1 để kiểm tra khi chạy có thông ra internet được không. Sau đó hắn copy file này vào USB để...dành.
Còn tôi, với bản tính khù khờ chậm chạp, không mảy may suy nghĩ điều gì, cứ lo vào http://nhatnghe.com/forum/showthread.php?t=24111 mày mò học hỏi .
Hồi 2:
Tên Net cut, sơ hở là cut net
Gã An-ti, nào có phải tay vừa.
--o0o--
Vừa mở máy một lúc là Netcuter giở chiêu cũ ra liền. Hắn chọn máy vm1- 192.168.1.11 để ra tay trước :Tên Net cut, sơ hở là cut net
Gã An-ti, nào có phải tay vừa.
--o0o--
Anti-netcut đang lướt web ngon lành bỗng rớt cái phịch. Với nhiều năm kinh nghiệm nơi tiệm internet, Anti-netcut bèn ping thử 203.113.188.1. Thấy Request timed out hắn liền mở arp cache ra xem :
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 665x342 |
Chà, lúc này địa chỉ MAC của modem có cái gì đó vừa quen vừa lạ. So sánh với địa chỉ lưu lúc đầu , Gã mỉm cười bí hỉêm.
"Lại có một chú xài Arp Poisoning rồi đây".Không một chút do dự, Gã chạy file static.bat đã tạo lúc đầu :
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 666x436 |
Khà khà, lại thông net rồi. Gã mở arp cache lên kiểm tra tiếp :
OK, thế là cứ tiếp tục lướt net thôi.
Về phần Netcuter, Hắn thấy không làm ăn được gì vm1, Hắn đâm ra nghi ngờ cái phần mềm Netcut.exe mà hắn down trên mạng về. Thế là Hắn đành đoạn đem tôi ra thử luôn :
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 742x328 |
Tôi đang đọc mấy bài Exchange bỗng nhiên thấy đứt mang. Nhưng tôi cũng không phải tay "dừa" nên ping thử 203.113.188.1 liền :
Trời, ping tới ping lui không được,rút ra cắm lại mấy sợi dây mãi không xong, tôi chỉ còn biết vò đầu bứt tóc. Netcuter nhìn thấy tôi như vậy là biết phần mềm của hắn còn chạy được. Vậy nó trục trặc ở chỗ nào ???
Một Netcuter chân "phụ" không bao giờ từ bỏ âm mưu đen tối của mình. Hắn dùng chiêu nhập môn của "Quỳ Hoa Bảo Điển" để...
Hồi 3:
Đến nước này, tất cả cùng chết.
Chẳng khác nào, dẫn đao tự cung...
--o0o--
Đến nước này, tất cả cùng chết.
Chẳng khác nào, dẫn đao tự cung...
--o0o--
Netcuter lúc này quyết định cut luôn chú modem tội nghiệp. Việc này đồng nghĩa với chính Hắn cũng không ra internet được nữa :
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 733x331 |
Anti-netcut lúc này lại bị rớt mạng ngay lập lức. Gã nhíu mày thầm nghĩ :
" Chả nhẽ tay này chơi chiêu cuối rồi sao ?".Gã cười khì.
" Để xem ai chết nào ... khà khà ".Gã lôi trong USB ra một bộ đồ nghề có tên là arpspoof và WinPcap. Đây là bộ đồ nghề để Gã đóng phim MIM ( không phải là Men In Black đâu nhé ..). Gã copy nó vào ổ C:
Sau khi cài WinPcap vào máy, gã mở cửa sổ cmd lên và chạy :
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 667x375 |
Để chắc ăn, Anti-netcut mở thêm một cửa sổ nữa để gửi arp reply với cường độ gấp đôi.
Gã xoa tay.
"Bây giờ thử lại cái xem sao rồi ?"
Khà, khà. Đường lại thông rồi. Vào trang Nhất Nghệ coi chừng nào lớp CEH khai giảng nào :
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 762x523 |
Ngon lành.
Vừa vào forum Gã đã gặp thêm một nạn nhân của Netcut. Chậc chậc ...
Bây giờ còn một việc phải tính sổ, đó là truy tìm kẻ cut-net... Gã nghĩ :
"Chỉ có 3 người. Có thể là gadaubac, mà cũng có thể là Netcuter. Nhìn mặt gadaubac thấy "gian gian" nhưng không thể nghi oan ai được ."
Hồi 4:
Lưới trời lồng lộng, thưa nhưng khó thoát.
Mạng LAN bé nhỏ, biết trốn vào đâu ???
--o0o--
Lưới trời lồng lộng, thưa nhưng khó thoát.
Mạng LAN bé nhỏ, biết trốn vào đâu ???
--o0o--
Anti-netcut suy tính :
" Thường kẻ sử dụng Netcut dùng để ngắt kết nối của máy nào đó với modem. Vậy nên giữa các máy với nhau sẽ không bị poison. Vậy cứ kiểm tra liên lac giữa các máy, kẻ nào chập chờn thì ..."
Khà khà. Anti-netcut khoái chí :
"Máy 192.168.1.12 có vấn đề rồi đây. Nhưng thôi, hôm nay đang ăn chay nên tạm tha để đó. Với lại cũng phải nể mặt gadaubac tí chứ ..."
"Bây giờ chỉ trừng phạt theo cách Mộ Dung Cô Tô sử dụng : Gậy ông đập lưng ông."Anti-netcut mở thêm 1 cửa sổ cmd và chạy:
arpspoof -t 192.168.1.1 192.168.1.12Netcuter lúc này thấy không làm gì được nên đành Resume cái modem. Nhưng lạ chưa, cái máy Hắn có check vào ô "Protected My Computer" mà sao vẫn không vào internet được.
Hắn có biết đâu, Anti-netcut không poison máy Hắn mà là poison cái modem với entry của Hắn. Đành ngậm bồ hòn làm ngọt thôi ...
Chỉ tội cho tôi. Trâu bò húc nhau, ...
Hồi kết:
--o0o--
--o0o--
- Nghe đâu sau vụ đó Netcuter đã thề không bao giờ đụng đến mấy cái tools đó nữa, tu tâm dưỡng tánh, lên Nhất Nghệ tầm sư học đạo.
- Còn Anti-Netcut sau khi truyền lại cho tôi sự việc và vài cuốn Pdf thì cũng tuyệt tích giang hồ.
" I'll never come back."- Gã còn nói để gán static arp entries cho Windows 6.x ( Vista,...) thì dùng lệnh khác:
- Gã giải thích arpspoof.exe dùng để gửi gói arp reply. Source code của nó đầy trên mạng và trong các cuốn Pdf kia.
- Có nhiều cách để phát hiện trong mạng có máy dùng arpspoof. Vd: Xarp,...
- Câu chuyện này đáng ra còn phần 2 nữa. Nhưng kết thúc tại đây cũng coi như có hậu ...
Link: http://ceh.vn/ceh3/index.php?option=com_content&view=article&id=89:how-to-anti-netcut&catid=17:gii-phap-bo-mt&Itemid=106
