บทความ ทดสอบ ARP Poisioning Attack (Netcut)

ถา คณเปนผดแลระบบ Internet ในอาคาร หอพก อาจจะเคยไดยนค าถาม "พๆ Internet ผมไมรเปนอะไร เขา web ไมไดเลยครบ" หรอ "พ ท าไม Internet ลมบอยจงเลยละ" ทนกงานเขาคณแลว ลองทดสอบเลน Internet ตอนทนองเขาแจงกเลนไดปกตนหวา หรอนองเขาพดมว?? หรอเปนปญหาทเครองนองเองนนแหละ ไป check เครองใหดๆ ทนนองเขากอาจจะยกเครองมาใหคณด ตอนทมปญหา พอคณทดสอบ ยงไงกเขา Internet ไมไดจรงๆ นงงมเปนชวโมงกยงแกไมได แตเครองของคณเองดนเขาไดปกต เครองของหองอนๆกเขา Internet ไดเชนกน คณอาจจะโดนคนปลอยของเขาแลวละครบ ถาเรยกหรๆ งงๆ หนอยก ARP Spoofing แตถาภาษาบานๆคอ โดน Netcut ทางคนปลอย Netcut กแคหาโปรแกรม Netcut มาลงทเครอง ทนกสามารถสรางความเดอดรอนใหคนอนไดแลว แตโอกาสโดนตบกมสง

ท าไมคนพวกนถงตองท า Netcut ?? มนวางนกหรอไง ?? มาท าความเขาใจของการเชอมเครอขายระหวางกนคราวๆกอนครบ สมมต เครอง A ตองการจะสงขอมลไปยงเครอง B เครอง A จ าเปนตองรคา Mac Address ของเครอง B ดวย ทแรกจะดใน ARP Cache กอนวามอยหรอเปลา ถาไมม กจะตะโกนเขาไปในวง Network ไปวา "ใครฟระทเปนเครอง B" ซงตรงนจะเรยกวา ARP Request พอเครอง B ไดยน ออ..ถามหากรนหวา กตะโกนกลบไปวากรนแหละเครอง B พรอมกบบอกคา MAC Address และ IP Address ของตวเองใหมาดวย ตรงนเรยกวา ARP Reply พอทางเครอง A ไดยนการตอบกลบของเครอง B กจะเกบขอมล IP และ MAC Address ไวใน ARP Cache หลงจากนนกเชอมตอพดคยกนตามปกต โดยเอา MAC Address ทไดนแหละเปนทอยในการสอสารกน พอผรายคอเครอง C เขามาในระบบ พรอมดวยโปรแกรม Netcut เจาเครอง C มนกไดยนดวยครบ เพราะเลนตะโกนถามกนทว (Broadcast) ซะดงวาใคร MAC Address อะไร (ออ หวานหมละ ) เครอง C เมอท าการเปดโปรแกรม Netcut แลวจดการไปยงเครองเปาหมาย เจาโปรแกรมนกจะลดขนตอนกอนเลย ดวยการสง ARP Reply อดกลบไปทเครอง A และ B แตจะเอาคา MAC Address หลอกๆ สงกลบไปใหทงค ทนเครอง A กบ B กจะคยกนไมไดแลวครบ เพราะ MAC Address ปลายทางมนไมถกตอง กประมาณๆชอถกตองแตทอยไมถกตองครบ และปญหาของการใช Netcut มนไมใชแคเกดกบเครอง A และเครอง B อยางเดยว ตวโปรแกรม Netcut มนจะอด ARP Reply กนมาเรอยๆ เรยกวาบอยมาก ทน Traffic ในเครอขายเรากจะคอนขางเยอะ เผลอๆ Router แฮงก ตอง Reboot กนใหมบอยๆ หรอไมก Access Point ท างานกนอดไปเลย คราวนมาระบบจรงกน ถา เปรยบเทยบเครอง A คอ Computer ทก าลงเลน Internet อย, เครอง B คอ Gateway Router และ เครอง C กเครองทตองการออก Internet ดวยเชนกน ความเรว Internet กจะตองหาร 2 ระหวางเครอง A กบ C พอ เครอง C ไปท าการตดการคยกนระหวาง เครอง A กบ Router เครอง A กจะออก Internet ไมได ทนเครอง C ทเหลออย กจะไดความเรว Internet คนเดยวเตมๆ ครบ นแหละ มนถงไดตองปลอย Netcut แต ถามการจดการ Bandwidth หรอ QOS ดๆ แบงกนไปเลยได Internet คนละกเมก มระบบจดการ User/Password เพอเขาใชงาน Internet คนพวกนกจะไมมประโยชนทจะท าครบ นอกจากจะแกลงชาวบาน

ทนผมกจะลองทดสอบดนะครบ ประเดมหวขอ Webboard ใหมซะเลย (Internal Lab) จากขางตน แทนเครอง B คอ Router ทผมใช จะเปน Mikrotik รน RB750 และเครองผมคอเครอง C (ผราย) ทจะปลอย Netcut ไปทเครอง A นเปนรายละเอยดของเครอง A ครบ จะเหนวาม MAC Address เปน D0-DF-9A-.... และ IP Address เปน 192.168.1.106

ตรวจสอบ ARP และลองเขา Internet (ปกตผมจะทดสอบการเขา Internet ของเครอง Computer ดวยการ Ping ไปท google ครบ) คา IP กบ MAC ของ Router จะเกบไว เพอใหเครองคยกบ Router ได IP Address ของ Router คอ 192.168.1.1 และ MAC Address คอ 00-0C-42-..... เขา Internet ไดไมมปญหา

และถาด APR List ใน Router Board จะมรายการ IP Address: 192.168.1.106 และ MAC: D0-DF-9A-...ขนมา (ลม Capture ) เครองผมลงโปรแกรม Netcut เอาไว เปดขนมา จดการซะเลย

ดทเครองเหยอ ใหมอกรอบ Mac Address ใน ARP Table ในสวน IP 192.168.1.1 ไมเปลยน (แตบางเครองกเปลยนเปน MAC Address แปลกๆ นะครบ) แตออก Internet ไมได ซงเครองทโดนกจะคดวา "Internet มปญหาอกแลวเหรอวะเนย"

แต เราซงเปนผดแลระบบ สามารถเขาไปดท Router ไดครบ วาเครองนนาจะเจออะไรเขาแลว ถาเปน Mikrotik RouterBoard กดงายๆครบ เขาไปท IP --> ARP แต Riuter รนบานๆไมนาจะม Function นครบ คา MAC Address ท MAP กนกบเครอง IP 192.168.1.106 โดนเปลยนเปนอะไรไมรซะแลว แบบนคอ Packets ขอมลตางๆ สงไปยงทอยปลายทางผด ไมตรงบาน ทางเครองเหยอกไมไดรบขอมลซกท สดทายก TImeout เขา Internet ไมได

ทนทดสอบใหม ผมใหเครอง 192.168.1.106 เปนเครองปลอย Netcut มง และมเครองเหยอใหมคอ 192.168.1.107

เราสามารถตรวจสอบไดครบวาใครทปลอย Netcut โดยใชโปรแกรมชอวา Wireshark สามารถ Download ไดฟรครบ Search หาใน google ไดเลย

หลง จากตดตงโปรแกรมแลวกเปดโปรแกรมขนมาเลย ถาเราดกจบตอนทเปดโปรแกรม Netcut ใหมๆจะเหนชดเจนมากครบ แตถาเปดมาซกระยะกจะเหนเรอยๆตลอดๆ จาก IP เดมๆ มการ Broadcast จาก IP เบอร 192.168.1.106 เพยบ!!! มนปลอย Netcut แนๆ

ทนถาใช Mikrotik Router Board ท าระบบ Hotspot เอาไว กจะรเลยครบวาใคร (ถากอนแจก User/Password ไดจดชอเขาไวนะครบ)

แต ถาจะ Ban User Account ไปกไมมประโยชนครบ เพราะตอใหเขาเลน Internet ไมได แตถาเชอมเขากบระบบ Wireless เราได เขากสามารถปลอย Netcut เพอแกลงชาวบานไดอย ถา Account ทเราแจกใหไป มการบนทกวาเปนของใคร กเขาไปคยกนดๆ จะดกวาครบ ใหรวาเราตรวจจบไดนะ และกฏหมายกคอนขางแรง ปรบทเปนแสน เผลอๆโดนหองอนตบอกตางหาก จบบทความครบ ทาง ผมเองหวงวาบทความนนาจะพอมประโยชนบางไมมากกนอยนะครบ และถาบางสวนในบทความนอาจจะมขอผดพลาดบาง ผมอาจจะเขาใจอะไรผดบางอยางไป ถายงไงกรบกวนแจงใหทราบดวยนะครบ เดยวถากด like กนเยอะๆ โอกาสหนาทางผมจะลองท าการทดสอบการปองกน Netcut ในแบบตางๆ และจะเอาขน Webboard อกทครบ