ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]
-a Displays current ARP entries by interrogating the current
protocol data. If inet_addr is specified, the IP and Physical
addresses for only the specified computer are displayed. If
more than one network interface uses ARP, entries for each ARP
table are displayed.
-g Same as -a.
inet_addr Specifies an internet address.
-N if_addr Displays the ARP entries for the network interface specified
by if_addr.
-d Deletes the host specified by inet_addr. inet_addr may be
wildcarded with * to delete all hosts.
-s Adds the host and associates the Internet address inet_addr
with the Physical address eth_addr. The Physical address is
given as 6 hexadecimal bytes separated by hyphens. The entry
is permanent.
eth_addr Specifies a physical address.
if_addr If present, this specifies the Internet address of the
interface whose address translation table should be modified.
If not present, the first applicable interface will be used.
Example:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 …. Adds a static entry.
> arp -a …. Displays the arp table.
Day: December 18, 2010
Mac Address เจ้า MAC นี่ย่อมาจาก Media Access Control.. เป็น Physical Address ของอุปกรณ์ Network ทุกตัวบนโลก ซึ่งจะมีไม่ซ้ำกันเลยครับ ในวง LAN เราจะใช้ Mac Address นี่แหละ เป็นตัวระบุว่าใคร เป็นใครบนอุปกรณ์ Switch
ส่วน IP Address คือ Logical Address เป็นที่อยู่ที่เรากำหนดขึ้นใน Network Layer เพื่อช่วยให้เราสามารถเรียกหาเครื่อง Network นอกวง LAN เราได้ (จริงๆจะในจะนอกก็ได้เหมือนกันแหละครับ)
ใน LAN Network เวลาเราจะติดต่อกับใครในวงเนี่ย เครื่องคอมพิวเตอร์จะทำการยิง ARP Protocol ออกไป เพื่อถามว่าในวง Network มี Mac Address ผูกอยู่กับ IP อะไรบ้าง.. ARP Protocol ย่อมาจาก (Address Resolution Protocol )ซึ่ง สมมติ ว่าเครื่องเราคือ IP 192.168.0.5 และ Gateway ในการออก Internet คือ 192.168.0.1 เมื่อเราต้องการจะออก Internet .. เครื่องของเราจะยิง ARP ไปถามว่าใครคือ 192.168.0.1 และ Router ก็จะตอบกลับมา ทำให้เราสามารถใช้่งาน Internet ได้
แต่โปรแกรม Netcut คือ โปรแกรมประเภท Spoof Mac Address ครับ เป็นโปรแกรมหลอกว่า ตัวมันเองคือ Mac Address นั้นๆของ Network..
เช่น เครื่องคุณคือ 192.168.0.5 ไอ้เจ้าเครื่องที่รัน Netcut อยู่ที่ 192.168.0.6 ถ้าคุณจะออก Network คุณก็จะออกไปที่ 192.168.0.1 ตามที่กำหนดค่าไว้ใช่ไหมครับ แต่เจ้า Netcut จะรอจังหวะที่คนยิง ARP มาถาม แล้วส่ง Mac Address อื่นแทรกเข้าไปแทน ทำให้เครื่องคุณงงและหลงทางครับ แค่นี้เองเทคนิคการทำงานของมัน แต่ก็แสบมาก
ดังนั้น เทคนิคก็คือการบันทึก Mac Address ของ Gateway เราลงไปเลย โดยไม่ต้่องยิง arp ถามครับ ป้องกัน netcut ได้ชะงัดนัก
ใช้ arp -s <router ip> <router MAC address>
download ฟรีได้จาก http://www.wireshark.org
วิธีการใช้งาน
เปิด wireshark ขึ้นมา
– ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
– กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ
การแปลผลลัพธ์
1. Netcut
หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ
ใน กรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน
วิธีป้องกัน
start -> run -> cmd
ใช้คำสั่ง arp -s <ip> <mac adress> , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all
2. Bit Torrent
หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน
ใน ส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน