ditsoft

เข้าสู่ระบบจัดการข้อมุล



จุดอ่อนของ ARP ส่งผลทำให้เกิด ARP DoS Attack and Netcut
การใช้ ARP Spoof ในการส่ง ARP Request หรือ ARP Reply ไปหลอกเหยื่อว่าเขาคือ Gateway  เช่น การที่แฮกเกอร์ส่ง ARP Reply ไปยังเหยื่อ (Client) ว่าเครื่องแฮกเกอร์มีไอพีแอดเดรสเป็นไอพีแอดเดรสของ Gateway และ MAC Address เป็น MAC Address ของแฮกเกอร์จึงทำให้เหยื่อปรับปรุงค่าใน ARP Table ของตนเองแบบผิดๆ และเมื่อเหยื่อต้องการส่งข้อมูลออกไปยังอินเตอร์เน็ตก็จะส่งผ่านไอพีแอดเดรสของ Gateway ซึ่งเมื่อเหยื่อเปิดดูค่า MAC ในตาราง ARP แล้วส่งข้อมูลไปยังค่า MAC Address ตามที่ใน ARP Table ระบุว่าเป็น MAC Address ของ Gateway นั้น สุดท้ายข้อมูลก็จะถูกส่งไปยังแฮกเกอร์ หากมีการปรับกลไกของ ARP Spoof ข้างต้นนี้เล็กน้อย โดยส่งค่า MAC Address ที่ไม่มีอยู่จริงแทนที่จะส่งค่า MAC Address ของแฮกเกอร์ไป เช่น MAC Address ที่สุ่มขึ้นมาแล้วส่งไปให้เหยื่อ หลังจากนั้นที่เหยื่อปรับค่าใน ARP Table แล้วเมื่อเหยื่อต้องการส่งข้อมูลออกไปยังอินเอตร์เน็ต ข้อมูลดังกล่าวจะถูกส่งไปยัง MAC Address ที่ไม่มีอยู่จริง นั้นคือข้อมูลจะไม่สามารถส่งไปจนถึงปลายทางได้ เป็นผลทำให้เหยื่อไม่สามารถติดต่อกับโฮสต์ใดๆบนอินเตอร์เน็ตได้ (รวมทั้งเครื่อข่ายอื่นและ Gateway)
 
Netcut
 
โปรแกรม Netcut เป็นโปรแกรมที่ออกแบบมาเพื่อใช้ในการตัดการเชื่อมต่อเครือข่าย LAN ทำให้คอมพิวเตอร์ภายในระบบ LAN ไม่สามารถสื่อสารกับเน็ตเวิร์กและอินเตอร์เน็ตได้ โปรแกรมนี้เป็นที่นิยมใช้กันอย่างแพร่หลายในกลุ่มนักศึกษาที่อยู่ตามหอพัก ซึ่งจะใช้เพื่อตัดคอมพิวเตอร์ของผู้อื่นไม่ให้ใช้งานอินเตอร์เน็ตได้ ทำให้เหลือเฉพาะเครื่องของเขาคนเดียวเท่านั้นที่เข้าสู่อินเตอร์เน็ตได้ เป็นผลทำให้สามารถใช้อินเตอร์เน็ตได้ด้วยความเร็วสูง (เพราะไม่มีคนอื่นมาแย่งแบนด์วิตธ์) นอกจากนั้นก็อาจจะมีเหตุผลอื่นๆ เช่น เพื่อต้องการกลั่นแกล้งผู้อื่น เป็นต้น กลไกการทำงานของ Netcut ก็คือการทำ ARP DoS Attack 
 
วิธีการแก้ไข และการป้องกัน ARP DoS Attack และการป้องกัน Netcut
 
การป้องกันโปรแกรม Netcut (การป้องกัน ARP Dos Attack) สามารถทำได้โดยการกำหนด Static ARP ที่ไคลเอนต์ทุกเครื่องโดยกำหนดเพียงบรรทัดเดียวเพื่อบอกว่า IP Address ของ Gateway ทีค่า MAC Address เป็นเท่าใด (ป้อนคำที่ถูกต้องลงไป) เช่น การใช้คำสั่งบน Windows Command บนเครื่องไคลเอนต์ดังนี้
C:\>arp -a 
158.108.240.1         00-00-0c-00-00-01 dynamic
C:\>arp –s 158.108.240.1   00-00-0c-00-00-01
หากรีสตาร์ทเครื่องใหม่ค่า Static ARP นี้จึงจะหายไป ดังนั้นจึงอาจต้องทำตามขั้นตอนถัดไป
1. ทำการสร้างไฟล์ arp.bat และสั่งให้ Run ทุกครั้งที่เปิดเครื่อง 
สร้าง .bat file ด้วยโปรแกรม Notepad 2 บรรทัดดังนี้ 
@echo off
arp –s 158.108.240.1   00-00-0c-00-00-01 (บรรทัดนี้มาจากเครื่องของตัวเอง โดยใช้คำสั่ง arp -a เอาบรรแรกมา)
 
2. Save As.. เป็น arp.bat 
3.คลิกขวาที่ Start เมนู เลือก Open All User เลือก Startup
4. Copy ไฟล์ arp.bat ไปไว้ที่ Startup
 
ในด้านเทคนิคแล้ววิธีการแก้ปัญหานี้จะขึ้นอยู่กับว่าเน็ตเวิร์กนั้นใช้สิ่งใดเป็น Gateway เช่น
-Cisco Router/L3 Switch (หรือยี่ห้ออื่นที่ใช้ Static ARP ได้) วิธีแก้ไขทำได้โดยกำหนด Static ARP บน Command ของ Router/L3 Switch
-Linux PC Router วิธีแก้ไขทำได้โดยกำหนด Static ARP บน Command ของ Linux
-Windows PC Router วิธีแก้ไขทำได้โดยกำหนด Static ARP บน Command ของ Wondows หรือใช้โปรแกรม Anti-ARP เสริม
-อุปกรณ์ Router ราคาถูกที่ไม่สามารถกำหนด Static ARP ได้ วิธีแก้ไขทำได้โดยเลือกอย่างใดอย่างหนึ่งต่อไปนี้
-เปลี่ยนอปกรณ์ Router ให้เป็นรุ่นที่สามารถทำ Static ARP ได้ (อาจจะต้องใช้เงินจำนวนมากในการซื้ออุปกรณ์)
-นำ Linux มาเป็น Gateway ซ้อน 2 ชั้น โดยให้ Linux อยู่ตรงกลางระหว่าง Layer 2-Switch กับ Gateway Router แล้วทำ Static ARP บน Linux (วิธีนี้ใช่เงินน้อยแต่ผู้ทำจะต้องมีความรู้ในการติดตั้ง เช่น บน Linux จะต้องใส่การ์ด LAN 2 ใบ และมีการติดตั้งค่า Routing หรือ NAT เพื่อให้ส่งต่อ (route) แพ็คเก็ตได้ และบางครั้งหากใช้ DHCP ก็อาจจะต้องกำหนด DHCP Relay Agent หรือใช้ตัว Linux เองเป็นตัวแจกจ่ายไอพีแอดเดรส เป็นต้น)