看板 AntiVirus 關於我們 聯絡資訊
因為我住學生套房 房東牽網路 一棟共用 在很久前 我和同學的網路莫名會斷線 經過一番爬文 我查到有人用 網路剪刀手 arp攻擊的樣子 因為我找不到 剪掉我們網路的人 所以我也去下載了這個程式 然後也測試過 就我們斷線時 我開啟網路剪刀手 把顯示出的ip剪掉 之後再恢復 然後我們網路卻也恢復了 ---------------------------------------------------------------------- 這樣就算了 剪來剪去 更誇張的是 那個人 不知道用什麼攻擊 我的網路 網頁可以連但是超級慢 然後我有安裝arp防火牆 看到監控日誌裡 出現未知ip攻擊,攻擊源mac位址一直變換 1秒攻擊一次一直持續著攻擊癱瘓我的網路 所以我把網路拔線 晚點再用就沒受到攻擊 但是 那個人越來越誇張,arp防火牆完全沒有警告被攻擊 但是 區域連線狀態 傳送大於收到多很多 網路變癱瘓..被癱瘓之後我開網路剪刀手看區域網路上 剩一個人的IP 但是雖然我懷疑他 但是抵制的了嗎? 我也掃毒 a-squared Free,, Ad-Aware ,,SUPERAntiSpyware ,還有avast防火牆 都對抗不了.. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.169.167.61
microtech:換裝能力更強的防火牆 ex: Outpost Pro ... 06/13 17:08
microtech:設定禁止NetBIOS,關閉windows相關服務 06/13 17:10
microtech:確認分享器的mac,比對Outpost抓到的gateway mac 06/13 17:12
microtech:Outpost在ethernet attacks中有深層掃描,可以全開試試 06/13 17:15
maplefog:知道它的網路線嗎 使用網卡終結者... 06/13 17:51
kodato:好機車... 06/13 18:20
qin5200:偶爾斷電,讓它的HDD掛。 06/13 19:35
qin5200:如果對方有在用BT的話,聽說可以對付惡室友。 06/13 19:35
xman70324:那個人好像是用PPPoE Killer 因為他的攻擊是發送封包 06/13 20:05
xman70324:怎麼辦呢????各位高手 06/13 20:05
microtech:就你的敘述來看,應該不是PPPoE-K,如果是,你無法撥接上網 06/13 21:29
microtech:如果是各自使用PPPoE撥接,netcut未必有效 06/13 21:31
microtech:感覺上是用DoS的方式,個人覺得請"房東"出面解決最有效! 06/13 21:33
xman70324:請房東是有想過,但我想應該沒太大用處 06/13 22:23
xman70324:我想過如果先找出那個人 再請房東 可能比較有辦法 不然 06/13 22:25
xman70324:就得先確定到底是哪間發出攻擊 有證據再請房東比較有用 06/13 22:26
xman70324:mic 我有換你說的防火牆 但你說的設定在哪呢? 06/13 22:31
mantohu:唉...這種事情直接找條子了,台灣就是喜歡私下默默承受... 06/13 22:37
mantohu:網路速度有問題不找消保官,網路被搞不找警察...... 06/13 22:38
xman70324:條子會屌你才有鬼 06/13 22:54
mantohu:我上次網路被攻擊,直接找電信警察立案了,順便把消息發出 06/13 22:57
mantohu:馬上攻擊就沒了,某些人就是很賤,你不敢站出來那就.. 06/13 22:57
mantohu:內政部警政署電信警察隊 我是直接去台北信義路那櫃台立案 06/13 22:59
xman70324:OUTPOST PRO攔截到207.46.26.254封包攻擊跟電信警抱IP嗎 06/13 23:04
mantohu:有抓到ip是最好,就把防火牆的log..etc能用的全部備上, 06/13 23:09
mantohu:我不確定他會不會開三連單,你可以要求看看,如果有拿到 06/13 23:10
mantohu:多影印幾分,貼在你住宿的各個門上 06/13 23:10
mantohu:之前我高中時候手機遺失也是去報案,最後抓到是同學..顆顆 06/13 23:13
xman70324:剛剛又被攻擊了可是IP是我區域網路裡DNS的數字.有圖 06/13 23:19
xman70324:http://www.wretch.cc/album/DizzyButter 相簿那一張 06/13 23:25
mantohu:這情況有可能是誤判,那兩個ip都是hinet dns伺服器 06/13 23:35
mantohu:看起來是DNS service的問題(port 53) 06/13 23:37
mantohu:因為Outpost有一個host block for x mins的功能 06/13 23:38
mantohu:所一他一誤判就會檔下DNS伺服器的請求,造成網路連線中斷 06/13 23:39
mantohu:你網路設定裡面的DNS改成其他的試試看,另外建議也換個防 06/13 23:39
mantohu:火牆試試看 06/13 23:39
xman70324:可是沒有斷線耶 06/13 23:41
mantohu:DNS伺服器被檔下不一定會中斷,就網頁開不了居多 06/13 23:42
xman70324:可是我是受到封包攻擊之後 才去下載這防火牆 06/13 23:46
xman70324:之前就是因為我電腦 傳送封包比收到多 網頁癱瘓 06/13 23:46
mantohu:封包log顯示是UDP "in",這個誤判的可能比較大 06/13 23:50
xman70324:請你在看一下相簿另一張 我有把區網其他ip加入攔截 06/13 23:50
mantohu:換個DNS伺服器吧,還有換款防火牆..用用看comodo firewall 06/13 23:51
microtech:Outpost.v6.5不知是Hinet-DNS還是預設規則問題,會偶而把 06/13 23:52
xman70324:那防火牆到底有檔下攻擊嗎?我看傳送一樣大於收到好幾倍 06/13 23:53
microtech:DNS block...可在排除清單設定DNS_Server例外 06/13 23:53
microtech:看得出來LAN區段內有port137/138的請求,可能想存取檔案 06/13 23:55
microtech:這兩個port沒記錯是微軟網芳在用的... 06/13 23:56
microtech:我說的那個設定:Setting->Firewall->Attack Dection-> 06/13 23:59
xman70324:又攔截了 表示他在攻擊我嗎?可是目標地址不是我欸== 06/13 23:59
mantohu:port 137這個我不確定,有可能是偽裝的攻擊,必須要具體 06/14 00:00
microtech:Customize->Ethernet attacks下面四個選項可勾選試試 06/14 00:00
mantohu:查看封包才能確定,例如利用wireshark等軟體錄封包 06/14 00:00
microtech:Firewall->LAN Settings->把所屬網路的NetBIOS取消勾選 06/14 00:05
microtech:一些異常封包擋下來之外,試試目前的上網速度是否"正常" 06/14 00:06
xman70324:你說NetBIOS勾起來嗎 另外兩個呢? 06/14 00:07
microtech:NetBIOS/Trusted/NAT zone全不勾選 06/14 00:09
mantohu:歹勢我現在手邊沒有機器裝Outpost =.= 麻煩mi大了.. 06/14 00:10
microtech:不會啦~~^^ 只是很好奇倒底是對方攻擊還是?? 06/14 00:14
xman70324:照做了網路也重開 結果出現 相簿第三張 06/14 00:16
microtech:207.46.26.254這IP好像是msn跟server通訊用的耶...XD 06/14 00:17
microtech:印象中這區段是微軟msn通訊在用的... 06/14 00:17
xman70324:來源地址市區網的預設閘道 目標是我的mac位址 06/14 00:17
xman70324:一值在跑耶== 第三張圖那樣 一秒就跳一個 06/14 00:20
microtech:Ethernet attacks只勾選(1),(3)選項呢?(這是預設值) 06/14 00:20
mantohu:m..可把UDP port135~139 任意IP連入本機IP 設規則都檔下 06/14 00:21
microtech:你確定預設閘道的mac沒有錯吧?會不會這個是假冒的? 06/14 00:23
xman70324:勾回1跟3怎麼還是一樣一直 06/14 00:26
xman70324:沒看錯!! 06/14 00:27
microtech:那...網路速度正常嗎? 06/14 00:31
xman70324:正常 但是傳送還是比收到多了快一千 06/14 00:33
microtech:乾脆裝一下mantohu說的wireshark,可以錄下各種封包->log 06/14 00:36
xman70324:一值在跑== 阿又多了第二張圖那樣 快暈了@@@@@@@@ 06/14 00:37
microtech:老實說這樣看根本不知道啥跟啥,防火牆的log只記錄一點.. 06/14 00:37
microtech:不知道是你電腦異常送封包還是誰異常狂送封包給你 06/14 00:39
xman70324:別人吧 直到我載了這防火牆好像檔了下來,就沒網路癱瘓了 06/14 00:42
microtech:出現port135~139若是攔截就不用理會,表示異常存取都擋掉 06/14 00:43
microtech:一般來說只要異常封包處理掉,網路應該就正常了 06/14 00:44
microtech:還擔心就四個選項全勾不然預設1,3,全勾主要是怕誤判... 06/14 00:47
xman70324:那第二張圖是ip132 攻擊我嗎?為什麼是port135-9漏洞嗎== 06/14 00:50
microtech:區域網路內很常見port135-9,微軟的網路芳鄰 06/14 00:57
microtech:有些漏洞/攻擊也是有走這些port 06/14 00:58
microtech:那ip這麼頻繁的存取,應該不會是正常的存取.... 06/14 00:59
microtech:忘了說...那幾個port預設是"開放"的,所以.... 06/14 01:02
xman70324:請看我 相簿第四張 syn 我被他攻擊嗎? 傳送封包變超多 06/14 01:59
microtech:換張網卡跟LAN ip,看看是否還有大量異常封包 06/14 15:48
xman70324:因我們是固定ip 我換我朋友的用 結果最後又被癱瘓 06/14 17:09
xman70324:可能因網卡位址都一樣 一定要換網卡才能改mac位址嗎? 06/14 17:10
microtech:固定ip? 是指LAN ip有被限定不可隨意換嗎? 06/14 18:54
microtech:你們是共享的環境,連上網的ip會一樣,LAN ip是不同的 06/14 18:54
microtech:換了電腦一樣癱瘓,LAN ip有固定,那就把ip交給房東查人啦 06/14 18:55
microtech:就算LAN ip不固定,至少log也記錄了,就把log給房東找人吧 06/14 18:56
xman70324:可以麻煩你看一下我 相簿裡那張嗎 表示他攻擊我ㄇ? 06/14 23:57
BoardTurtle:P2P終結者.... 06/15 12:36
xman70324::鋼同學們斷線 我看了封包紀錄 再 相簿第三張 06/15 15:08