หลายๆคนถามว่าจะดูยังไงว่า คนไหนเล่น netcut หรือ bit torrent ผมมีตัวอย่างจากหอผมให้ดูครับ
โดยตัวอย่างนี้ผมได้มาจากโปรแกรม wireshark ซึ่งเป็น network sniffer ตัวที่ผมใช้ประจำ
download ฟรีได้จาก http://www.wireshark.org
วิธีการใช้งาน
เปิด wireshark ขึ้นมา
- ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
- กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ
การแปลผลลัพธ์
1. Netcut
หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ
ในกรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน
วิธีป้องกัน
start -> run -> cmd
ใช้คำสั่ง arp -s <ip> <mac adress> , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all
2. Bit Torrent
หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน
ในส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน
เมื่อคุณรู้ห้องแล้ว คุณก็เดินไปบอกเจ้าของหอ พร้อมทั้งหลักฐานให้เขาเพื่อดำเนินการต่อไป ง่ายๆก็บอกให้เขาไปดึงสายไอ้ห้องนั้นออก จากนั้นก็รอพลคนเล่นเน็ตในหอไปจัดการมัน
โดยตัวอย่างนี้ผมได้มาจากโปรแกรม wireshark ซึ่งเป็น network sniffer ตัวที่ผมใช้ประจำ
download ฟรีได้จาก http://www.wireshark.org
วิธีการใช้งาน
เปิด wireshark ขึ้นมา
- ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
- กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ
การแปลผลลัพธ์
1. Netcut
หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ
ในกรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน
วิธีป้องกัน
start -> run -> cmd
ใช้คำสั่ง arp -s <ip> <mac adress> , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all
2. Bit Torrent
หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน
ในส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน
เมื่อคุณรู้ห้องแล้ว คุณก็เดินไปบอกเจ้าของหอ พร้อมทั้งหลักฐานให้เขาเพื่อดำเนินการต่อไป ง่ายๆก็บอกให้เขาไปดึงสายไอ้ห้องนั้นออก จากนั้นก็รอพลคนเล่นเน็ตในหอไปจัดการมัน
