我觉得原PO的状况看起来比较像ARP spoof Netcut的行为就是利用ARP spoof的原理(ARP封包欺骗) 通常我们上网的时候　我们主机里会有一个ARP table 记录着我们上网时必须连接gateway的ip与对应的mac address ARP 封包是用来广播网域内的所有主机(例如:192.168.0.1~192.168.0.254) 让其他主机知道并"学习"彼此主机的ip与相对应的mac address 而我们的arp table是会被这些arp封包所携带的资讯做动态的更改 正常的情况下 因为正常的arp封包资讯都是正确的 所以不会有什麽问题 但如果arp封包被修改之後才发送出去呢? 没错,我们主机学到的address也就会错了 我们也知道 网路节点与节点之间的传送是必须倚靠mac address 如果mac address错掉了 自然就连不到正确的主机 而Netcut就是利用这个原理 原PO提到 gateway 192.168.0.1的mac address每一段时间就会改变 Netcut软体会"广播"内容不实的ARP封包(假的mac address) 所以网域内的主机就都会学到错误的gateway的ip与mac对应 (原PO可以在平时以及攻击的时候执行cmd,输入指令 arp -a,就可以看到目前的位址对应) 至於为什麽会一直发送 是因为gateway每隔一段时间就会发送一次arp作确认 如果Netcut只欺骗一次, 那岂不是等到gateway在更新的时候, 其他主机又恢复连线了 所以Netcut会一直不断的发送封包 让你的主机arp table没有机会恢复到正确的状态 基本上以上行为应该只算是攻击, 因为它毕竟不是病毒XD 目前网路上有所谓的Anti-ARPspoof的软体 不过我觉得不是很有效 而我自己在宿舍(非学校宿舍)遇到几次这种状况之後 一气之下也写了类似的攻击程式 也去攻击那个人 1.2次之後他就没再出现这样行为了= = 不过还是如上面dream1124大大说: 沟通比较重要比 建议你去找房东解决比较好:) ※ 引述《BDmaple (BD)》之铭言： : ※ 引述《squaremax (社会不新鲜人ＸＤ)》之铭言： : : 照理说使用防火墙软体去挡应该是不会造成断线情况，有可能是分享器挂了 : : 　答案是肯定的，占取过大频宽，或是广播风暴，都会造成连线品质不良， : : 　这种情况在使用IP分享器时最常见。 : : 那应该不是假的主机吧，当你使用IP分享器外加DHCP制时，预设应该为192.168.0.1 : : 　开始配给，不过在下并未精通Netcut的使用方式，请其他高人来回答@@"！ : 这里我没有讲得很清楚 : 意思是192.168.0.1这个主机会几秒钟就出现一个不同的MAC : 而NETCUT好像不会把已离线的IP给消去 : 导致IP列表变成 : 192.168.0.1 00-11-22-33-AA-DD (假设这是真的mac) : 192.168.0.1 99-88-77-CC-SS-AA : 192.168.0.1 HH-R5-V3-GB-6V-F1 : . : . : . : 这种情形 : 把netcut重开之後 假的就会消失 : 只留下真的192.168.0.1 00-11-22-33-AA-DD : 然後几秒钟之後又出现假的mac : 一直重复 : : 　防火墙的功用就是在纪录封包的进入与流出，若有使用者浏览网页或要求连线等行为 : : 　时，都会被记录下来，所以说正不正常，很难判断，必须要再加上封包流量，观察封 : : 　包内容是什麽，或许还可以判断出来。 : 这里也没有说清楚 抱歉 : 我所指的同一个ip是指区网内的ip(192.168.0.XXX) : 很准的每5秒就会连一次(我把区网内的IP 除了自己和主机 其他的TCP与UDP都挡掉) : 拔掉网路线几分钟再插上 状况一样 没使用其他的网路连线 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.134.23.112 ※ 编辑: blueice08 来自: 140.134.23.112 (04/14 11:44)