作者 主題: 宿網被限制但不知是房客搗亂或isp業者行為  (閱讀 3560 次)

0 會員 與 1 訪客 正在閱讀本文。

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
各位好,如題,

近來網路突然出了許多狀況例如:
突然無法瀏覽網頁( ping 的到分享器)
->
於是將電腦位址更改為網段內任一其他未用到之ip便立馬解決(屢試不爽,且此情形似乎有周期性地每1小時來一次)
->
但...隔了一天又變成無論我怎麼換 ip 皆無用了,但只要 restart 電腦就又OK!

這有可能是房客搗亂或 isp 業者行為呢?

ps.
即便是正常狀態下,分享器管理頁面亦很難連上(例如: http://192.168.0.1 並無出現無法瀏覽等訊息字眼,就只是一直卡在當下畫面然後就是連不上)
但我曾成功登入分享器管理頁面過,其中卻無任何額外針對性的阻擋或過濾設定,請教各位學長若真有搗蛋之房客,可以做得到這般干擾嗎?     謝謝

i'm房客
ip share:  hitron CCR-30364
isp:  台固媒體股份有限公司
gateway: 192.168.0.1 (ip share)

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
我想是有某房客中毒或作針對性的 arp 攻擊分享器及區網中電腦!(因為觀察了一段時間後我發現發作時間--亦即電腦突然無法上網的時間不定,有時很快,有時好幾個小時! 每次只要重新開機就又正常..)

我的分享器中有一欄 Reserved IP 的設定,但扯的是在新增一筆綁定 IP/MAC 的資料後按了確定跳回瀏覽頁面後,該筆資料並無更新上去!(欄位空空如也).....難道是分享器唬人,到官網下載手冊,裡面亦無提及這欄 Reserved IP 設定的相關訊息,若攻擊者是針對分享器作 arp 攻擊,那我還有其他方式可以防範嗎?
« 上次編輯: 2015-09-20 09:34 由 b90220208 »

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
現我已成功新增分享器的 IP/MAC 綁定設定...之前改不了原來是預設 MAC 值是以冒號作區隔...壞消息是,攻擊者仍然得逞.就在設定完後一小段時間,我網頁又突然上不了!

當他影響我的 arp table 我只需再改回(已寫好bat檔),但他攻擊分享器時我卻無解...只能重開機(這樣甚是麻煩)...有更好的方法嗎?

最後不解,做完分享器 ip/mac 綁定設定後為何仍無效果?
另外,不懂當他攻擊分享器時為何我可以ping的了分享器回應...封包不是應該有去無回嗎?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17292
    • 檢視個人資料
    • http://www.study-area.org
有其他分享器可以換來試試嗎?

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
您好,感謝學長,再請教:
以下我的用 wireshark 擷取資料中的 D-LINKin_df:9e:c2 根本不是區網中的真正 gateway(分享器)
,其冒用了 192.168.0.1 的 IP,並回覆我錯誤 MAC 位址來影響我的 ARP TABLE ...
我擷取了約 1 個多小時不斷重複這些 request/reply 動作...還是說我自己中毒了呢?

我得先確定的是:
1. 是有惡鄰在攻擊(能憑下方 wireshark 的擷取資料認定有第三者在搗亂)
OR
2. 是我自己中毒,結果我才是攻擊者...這樣攤牌時多不好意思..(但先前用 avira free 掃過一遍了)

...可做定論嗎?

=================================================

No.     Time           Source                Destination           Protocol Length Info
      8 0.000562000    D-LinkIn_df:9e:c2     AsustekC_50:60:e9     ARP      60     192.168.0.1 is at 78:54:2e:df:9e:c2

Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
    Interface id: 0 (\Device\NPF_{8C870860-41BC-4FFE-9EFF-F23B18E4B432})
    Encapsulation type: Ethernet (1)
    Arrival Time: Sep 20, 2015 21:56:52.253064000 台北標準時間
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1442757412.253064000 seconds
    [Time delta from previous captured frame: 0.000131000 seconds]
    [Time delta from previous displayed frame: 0.000131000 seconds]
    [Time since reference or first frame: 0.000562000 seconds]
    Frame Number: 8
    Frame Length: 60 bytes (480 bits)
    Capture Length: 60 bytes (480 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:arp]
    [Coloring Rule Name: ARP]
    [Coloring Rule String: arp]
Ethernet II, Src: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2), Dst: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
    Destination: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
        Address: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
        Address: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: ARP (0x0806)
    Padding: 000000000000000000000000000000000000
[Duplicate IP address detected for 192.168.0.1 (78:54:2e:df:9e:c2) - also in use by bc:14:01:96:11:e1 (frame 3)]
    [Frame showing earlier use of IP address: 3]
        [Expert Info (Warn/Sequence): Duplicate IP address configured (192.168.0.1)]
            [Duplicate IP address configured (192.168.0.1)]
            [Severity level: Warn]
            [Group: Sequence]
    [Seconds since earlier frame seen: 0]
Address Resolution Protocol (reply)
    Hardware type: Ethernet (1)
    Protocol type: IP (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: reply (2)
    Sender MAC address: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
    Sender IP address: 192.168.0.1 (192.168.0.1)
    Target MAC address: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
    Target IP address: 192.168.0.23 (192.168.0.23)
« 上次編輯: 2015-09-21 22:50 由 b90220208 »

dark

  • 俺是博士!
  • *****
  • 文章數: 1481
    • 檢視個人資料
應該把分享器 IP 改 .0.2 就好了
這年頭資訊設備多
買台 AP 給平板用
卻忘了關實體PORT功能的機率不小

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
THANKS,  :)
我的電腦網卡是設自動取得 ip , dns
我故意登入分享器將其 ip 由原來的 .0.1 改為: 192.168.0.254
然後,我從分享器 dhcp 獲得的訊息竟然是(屢試不爽)
gateway: 192.168.0.1
dns: 192.168.0.1
.....是否有人在搞鬼? 就算他故意架一個 dhcp server ,但為何每次都是他搶得先機來分發 ip 等資訊 ?

另外,我除了將我的電腦重開機,還有甚麼方式可 reply 我的 mac address 給分享器呢? 可有甚麼指令可下?
 (我之前試過將網卡停用再重新啟用不知為何無效果??)
« 上次編輯: 2015-09-22 22:54 由 b90220208 »

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1340
    • 檢視個人資料
    • http://darkranger.no-ip.org
事情看起來明明很單純,為什麼要想得那麼複雜
要嘛去查一下 192.168.0.1 是誰的機器,要嘛自己不要用 DHCP
都可以解決

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17292
    • 檢視個人資料
    • http://www.study-area.org
看起來好像有別人也架了一臺IP分享器而已...

要不要用 admin/admin 去try 一下?搞不好你又多了一臺設備可以管呢... ^_^
« 上次編輯: 2015-09-23 22:44 由 netman »

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
看起來好像有別人也架了一臺IP分享器而已...

要不要用 admin/admin 去try 一下?搞不好你又多了一臺設備可以管呢... ^_^
可是若只是如此,那為何我每次都用不到多久就突然連不上網頁?(且是等到昏倒依然連不上,除非重開機)
照說,分享器的 arp cache 只要紀錄有正確的我電腦的 ip/mac 對照,那麼...即便真有兩台分享器也是可以照樣上網無誤的...不是嗎?(若觀念有誤還請學長們指正,感激!  ;) )

...也可能是區網中有人搞 ARP 的 Man-in-the-middle ...??
« 上次編輯: 2015-09-23 23:54 由 b90220208 »

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
Re: 宿網被限制但不知是房客搗亂或isp業者行為
« 回覆 #10 於: 2015-09-24 13:54 »
各位好,如題,

近來網路突然出了許多狀況例如:
突然無法瀏覽網頁( ping 的到分享器)
->
於是將電腦位址更改為網段內任一其他未用到之ip便立馬解決(屢試不爽,且此情形似乎有周期性地每1小時來一次)
->
但...隔了一天又變成無論我怎麼換 ip 皆無用了,但只要 restart 電腦就又OK!

這有可能是房客搗亂或 isp 業者行為呢?

ps.
即便是正常狀態下,分享器管理頁面亦很難連上(例如: http://192.168.0.1 並無出現無法瀏覽等訊息字眼,就只是一直卡在當下畫面然後就是連不上)
但我曾成功登入分享器管理頁面過,其中卻無任何額外針對性的阻擋或過濾設定,請教各位學長若真有搗蛋之房客,可以做得到這般干擾嗎?     謝謝

i'm房客
ip share:  hitron CCR-30364
isp:  台固媒體股份有限公司
gateway: 192.168.0.1 (ip share)
建議分享器的IP改成10.6.19.254/24
看起來是有人不懂網路,把他的IP分享器LAN Port接上你IP分享器LAN Port
為讓問題更清楚易解,建議以下IP網段最好少用(192.168.0.0/24,192.168.1.0/24,172.16.0.0/24,,172.16.1.0/24,10.6.0.0/24,10.6.1.0/24),以免不懂網路者造成問題
« 上次編輯: 2015-09-24 13:57 由 tonyvan123 »

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17292
    • 檢視個人資料
    • http://www.study-area.org
Re: 宿網被限制但不知是房客搗亂或isp業者行為
« 回覆 #11 於: 2015-09-27 08:57 »
可是若只是如此,那為何我每次都用不到多久就突然連不上網頁?(且是等到昏倒依然連不上,除非重開機)
照說,分享器的 arp cache 只要紀錄有正確的我電腦的 ip/mac 對照,那麼...即便真有兩台分享器也是可以照樣上網無誤的...不是嗎?(若觀念有誤還請學長們指正,感激!  ;) )

...也可能是區網中有人搞 ARP 的 Man-in-the-middle ...??

您提到 arp cache了,但是不是每臺電腦的 time out 時間都一樣?又,time out之後呢?
似乎就是 IP Address conflict 而已...

門神

  • 榮譽博士
  • 懷疑的國中生
  • **
  • 文章數: 37
    • 檢視個人資料
    • http://www.ublink.org
Re: 宿網被限制但不知是房客搗亂或isp業者行為
« 回覆 #12 於: 2015-09-28 07:50 »
學套沒有安裝 傻瓜式vlan Switch
或是切 vlan
是不妥的

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
Re: 宿網被限制但不知是房客搗亂或isp業者行為
« 回覆 #13 於: 2015-10-01 20:54 »
 :P :P不好意思,
為了 wireshark 一窺 arp 攻擊的封包模式而安裝了 netcut 竟導致我每一次重開機 ARP cache 皆有一筆靜態(static)的 gateway ip/mac ,但其 mac 卻是錯誤的.....我不確定是不是與 netcut 有關(現已移除),但因為該比對照資料是"靜態"的應該與區網的人無關吧?...是否表示我中毒?  我找過 regedit(vista) 中的 run 機碼中並無異狀... 若中毒可以解的了嗎?   :)
« 上次編輯: 2015-10-01 20:56 由 b90220208 »