PTT數位生活區 / Network

[問題] 請問怎麼看丟封包過來的IP

看板Network作者 (loogb)時間14年前 (2009/11/12 01:01), 編輯推噓2(2093)
留言95則, 5人參與, 最新討論串1/1
如題 因為本身是學生住在宿舍 近日發現有人會使用NETCUT來剪其它住宿生的網路 想請問一下可不可以查詢丟過來的假封包IP 不然大家都被剪的很不開心,導致越來越多人在剪 有爬過之前的文章,不過好像沒什麼用 希望此版高手可以幫忙想想辦法 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 163.15.40.56
11/12 01:10, , 1F
wireshark
11/12 01:10, 1F
11/12 07:40, , 2F
除了wireshark 之外,還有最簡單的方法...
11/12 07:40, 2F
11/12 07:40, , 3F
就是 arp -a 去檢查區網對你異常的連線...
11/12 07:40, 3F
11/12 07:41, , 4F
不過針對無網管型的網通設備環境,就算查出來又怎樣呢?!
11/12 07:41, 4F
11/12 07:41, , 5F
你該不會是查出MAC之後,去每台電腦上查詢MAC吧...
11/12 07:41, 5F
11/12 07:42, , 6F
因為新版的除了會從受害者動手腳之外,連gateway那邊也會改
11/12 07:42, 6F
11/12 10:45, , 7F
目前看到的 hiper 是提供被動式的防護~ 我想應該可以搭配
11/12 10:45, 7F
11/12 10:47, , 8F
HaDreamnet 的 SG2024 系列的L2 Switch 來杜絕NetCut毒害
11/12 10:47, 8F
11/12 12:13, , 9F
謝謝你們的回答對我很有幫助.. 至於查出來的ip 希望讓學校
11/12 12:13, 9F
11/12 12:13, , 10F
的資訊組來主動查,因為之前跑去反應,資訊組推說是學術網路
11/12 12:13, 10F
11/12 12:14, , 11F
的問題.. 可是用nb的無線網卡上網,明明就很正常
11/12 12:14, 11F
11/12 12:15, , 12F
而且自從被剪過之後,大家的奇摩首頁都進不去,只會顯示左上
11/12 12:15, 12F
11/12 12:16, , 13F
角的yahoo圖案..其它網頁都很正常,就單單奇摩首頁而已,關
11/12 12:16, 13F
11/12 12:16, , 14F
於這點,有人知道原因嗎?
11/12 12:16, 14F
11/12 16:55, , 15F
我想網頁的問題,應該是教育部Proxy的存取問題!
11/12 16:55, 15F
11/12 16:56, , 16F
我是有個idea,先安內,再攘外... XD
11/12 16:56, 16F
11/12 16:56, , 17F
先找出兇手,而不是一股腦的找出問題...
11/12 16:56, 17F
11/12 16:56, , 18F
至於被NetCut惡搞過之後,我想應該是學校的網管機制不足...
11/12 16:56, 18F
11/12 16:57, , 19F
一般來說,以我以前呆的大公司的管制最基本的安全作為就是
11/12 16:57, 19F
11/12 16:57, , 20F
一台個人電腦僅允許一張網卡連上Switch,而Switch的每個Por
11/12 16:57, 20F
11/12 16:58, , 21F
t僅允許一個MAC Address 若換網卡、竄改MAC、多MAC...等等
11/12 16:58, 21F
11/12 16:58, , 22F
那多餘的MAC Address都是無法對外連線,僅能用允許過的MAC
11/12 16:58, 22F
11/12 16:59, , 23F
Address 來進行連線.
11/12 16:59, 23F
11/12 17:03, , 24F
兇手今晚資訊組要來找了,希望可以還一個乾淨的網路T口T
11/12 17:03, 24F
11/12 17:05, , 25F
w大 謝謝你提供想法跟意見 其實我也算是本科 (電資系)
11/12 17:05, 25F
11/12 17:06, , 26F
多爬文多孤狗多看看此版文章,也算是學學本科系列啦:D
11/12 17:06, 26F
11/12 17:08, , 27F
還好! 以前呆的公司規模很大... 而且管制的很嚴...
11/12 17:08, 27F
11/12 17:08, , 28F
而我可以藉由MAC-Address來找到哪個網路孔...
11/12 17:08, 28F
11/12 17:08, , 29F
當初的網路建置與規劃都相當的完善!!!
11/12 17:08, 29F
11/12 17:09, , 30F
哪個Switch的Port到哪個辦公室的哪個地板or柱子都可以查清
11/12 17:09, 30F
11/12 17:09, , 31F
楚! 當初建置的時候,是符合ISO的規範來建置!!!
11/12 17:09, 31F
11/12 17:10, , 32F
所以可以從log當中查哪個MAC-Address用哪個Port
11/12 17:10, 32F
11/12 17:10, , 33F
就算不用log!也很好查!因為當初的機制是設定Port Security
11/12 17:10, 33F
11/12 17:10, , 34F
是設定每個Port分別對照每台電腦的MAC-Address!!!
11/12 17:10, 34F
11/12 17:11, , 35F
從L2 Switch當中就可以清楚明白! 而且當初建置時,佈線工程
11/12 17:11, 35F
11/12 17:11, , 36F
做的相當的好,連電子檔都有在定期更新與維護! 所以只要查
11/12 17:11, 36F
11/12 17:11, , 37F
網路線是接到哪台PC,就可以查犯人是誰了... XD
11/12 17:11, 37F
11/12 17:12, , 38F
要惡搞! 也不簡單... 所有的行為都會被記錄!
11/12 17:12, 38F
11/12 17:15, , 39F
而且還搭配ISS RealSecure 來監控網路的行為~
11/12 17:15, 39F
11/12 17:15, , 40F
並且使用NAC來搭配監控與管制網路的行為~
11/12 17:15, 40F
11/12 17:23, , 41F
就其實我們的網路是必須以學號搭配自己密碼的方式登入,我
11/12 17:23, 41F
11/12 17:25, , 42F
相信學校的資訊組有紀錄也有能力找出來,就看學校願意處理到
11/12 17:25, 42F
11/12 17:25, , 43F
哪種程度了..
11/12 17:25, 43F
11/12 17:27, , 44F
至於監控,以學校來說..應該沒有學生願意吧,學校立場也不好
11/12 17:27, 44F
11/12 17:27, , 45F
站腳
11/12 17:27, 45F
11/12 17:40, , 46F
netcut不是只有在區網內才有用嗎?怎麼覺災情嚴重
11/12 17:40, 46F
11/12 17:43, , 47F
住校的本身就是一個大區網阿~ 常常網路會出問題ˋ(′_‵||)
11/12 17:43, 47F
11/12 17:50, , 48F
監控?! 看要不要搞而已,這根本不難~ 學校應該會購置較高
11/12 17:50, 48F
11/12 17:50, , 49F
高檔的網通設備來作管理才對~
11/12 17:50, 49F
11/12 17:51, , 50F
而且公司還跟某間資訊安全公司一起研發類似後門程式
11/12 17:51, 50F
11/12 17:51, , 51F
透過AD派送(公司每台PC一定要安裝)就會幕後安裝了... XD
11/12 17:51, 51F
11/12 17:52, , 52F
我專管機房的人,無聊還可以看一下其他部門在幹啥壞事...
11/12 17:52, 52F
11/12 17:52, , 53F
甚至可以遠端教學... XD (其實我很忙,只不過這只是手段而
11/12 17:52, 53F
11/12 17:52, , 54F
而已).那有沒有NB用戶呢? 有! 不過是規劃另一個網段...
11/12 17:52, 54F
11/12 17:53, , 55F
而那個網段是無法直接access公司的LAN,僅能從外部connect
11/12 17:53, 55F
11/12 17:53, , 56F
到DMZ1的Area~ 至於DMZ2才可以讓LAN的機器去access.~
11/12 17:53, 56F
11/12 17:54, , 57F
新版的netcut會去修改受害者與gateway兩者之間的MAC Table
11/12 17:54, 57F
11/12 17:54, , 58F
至於對外的存取,我想應該是cache or 教育部Proxy的問題
11/12 17:54, 58F
11/12 17:55, , 59F
不過詳細的情形,還是得等這個Netcut解決掉之後再探討...
11/12 17:55, 59F
11/12 17:55, , 60F
搞不好有人不只是搞Netcut這個玩意,還搞其他的新玩意
11/12 17:55, 60F
11/12 17:59, , 61F
w大說了好幾個我看不懂的專業名詞.. 哈,要學的還好多哦
11/12 17:59, 61F
11/12 18:00, , 62F
真感謝,你的建議有機會我會去建議一下,住3年了,宿網一直
11/12 18:00, 62F
11/12 18:01, , 63F
哩哩摳摳的問題.. 現在要來孤狗一下專業名詞了XD
11/12 18:01, 63F
11/12 18:06, , 64F
看來你們學校的網管還挺混的! 跟我以前念夜間部的有得拼
11/12 18:06, 64F
11/12 18:08, , 65F
不過學校應該是有做控管流量的機制,印象中教育部會針對學
11/12 18:08, 65F
11/12 18:08, , 66F
使用學術網路的各個學校來做MRTG的管控...
11/12 18:08, 66F
11/12 18:08, , 67F
而且印象中每個區域的教育部區網中心都有台C6509的Switch
11/12 18:08, 67F
11/12 18:11, , 68F
好像超過額定的流量,學校就會被教育部進行檢討...
11/12 18:11, 68F
11/12 18:42, , 69F
不是靜態綁定就好了嗎?
11/12 18:42, 69F
11/12 18:46, , 70F
一般而言,若是用DHCP的保留區而言,是比較難控管...
11/12 18:46, 70F
11/12 18:47, , 71F
若是透過Switch的Layer 2的MAC-Address的管控(Port-Securi
11/12 18:47, 71F
11/12 18:47, , 72F
ty) 的話, 只要不是合法的用戶,就直接不能連線了!
11/12 18:47, 72F
11/12 19:53, , 73F
我是直接限制該Port 就只有多少個Mac 可以出現 XD
11/12 19:53, 73F
11/12 19:53, , 74F
比如說剛房間只有五個人住,就設定5個MAC
11/12 19:53, 74F
11/12 22:45, , 75F
ROUTER 或防火牆上設 IP/MAC 對應表.
11/12 22:45, 75F
11/12 23:29, , 76F
新版的Netcut會去更改Router與PC兩者之間的MAC/IP對應
11/12 23:29, 76F
11/12 23:29, , 77F
而我剛剛實驗的結果,就算是用Cisco Switch的Port Security
11/12 23:29, 77F
11/12 23:30, , 78F
限定該Port只能有一個MAC Address能夠連線,還是會更改PC與
11/12 23:30, 78F
11/12 23:31, , 79F
受害PC與Router兩者之間的MAC對應! 最消極的辦法就是除了
11/12 23:31, 79F
11/12 23:31, , 80F
採取雙方IP/MAC綁定之外,就是走PPPoE的驗證連線~
11/12 23:31, 80F
11/12 23:33, , 81F
目前我發現測試版的pfSense 1.2.3 版本已經支援PPPoE伺服
11/12 23:33, 81F
11/12 23:37, , 82F
剛剛我稍微測試了一下,透過PPPoE的驗證機制,是有效杜絕
11/12 23:37, 82F
11/12 23:38, , 83F
NetCut的攻擊~ 比起麻煩的IP/MAC綁定機制會好上很多...
11/12 23:38, 83F
11/12 23:38, , 84F
以目前家用/租屋的復合環境當中,這個PPPoE的方案倒是不錯!
11/12 23:38, 84F
11/12 23:39, , 85F
除了pfSense 1.2.3的 PPPoE 值得把玩測試之外~ 我還發現另
11/12 23:39, 85F
11/12 23:40, , 86F
除了pfSense 1.2.3的 PPPoE 值得把玩測試之外~ 我還發現另
11/12 23:40, 86F
11/12 23:40, , 87F
一套 Dedicated Untangle Server 這個玩意...
11/12 23:40, 87F
11/12 23:40, , 88F
部分功能雖然需要金額(看起來免費的也不錯用)
11/12 23:40, 88F
11/12 23:42, , 89F
不過這套也號稱也是有UTM等級的免費軟路由...明天找時間玩
11/12 23:42, 89F
11/12 23:47, , 90F
目前我看到hiper部分機種(我的資訊不完全)支援PPPoE Serve
11/12 23:47, 90F
11/12 23:48, , 91F
r.印象中他們也支援IP/MAC雙向綁定...(PPPoE驗證也很耗IP
11/12 23:48, 91F
11/12 23:48, , 92F
Sharing的RAM)
11/12 23:48, 92F
11/12 23:49, , 93F
而 routeros 在蠻早之前的版本就支援 PPPoE Server的功能.
11/12 23:49, 93F
11/12 23:50, , 94F
而剛剛發現pfsense支援IP/MAC雙向綁定(不過挺麻煩)
11/12 23:50, 94F
11/12 23:50, , 95F
也支援 PPPoE Server 的機制!
11/12 23:50, 95F
更多 loogb 的文章
文章代碼(AID): #1A-ktw5O (Network)
Network 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 loogb 的文章
文章代碼(AID): #1A-ktw5O (Network)