NetCut er en type afslag på værktøj, der kører på Windows og er i stand til at afbryde en persons internetforbindelse, når begge er tilsluttet i det samme lokalnetværk. Grundlæggende bruges ARP-protokollen til at oversætte IP-adresser til MAC-adresser, og NetCut udnytter svagheden i den statsløse ARP-protokol på grund af manglen på godkendelse.
NetCut er meget let at bruge og kan bruges af enhver. Kør blot værktøjet, så det registrerer alle tilsluttede enheder i det samme lokalnetværk. Du kan derefter vælge et hvilket som helst mål fra listen efterfulgt af at klikke på knappen "Afskåret", og inden for få sekunder mister målet sin internetforbindelse. Det berørte mål har ingen idé om, hvad der er sket, selvom han / hun har et firewall-program installeret.
På grund af den måde, NetCut fungerer, er ingen firewall i stand til at forhindre eller endda opdage angrebet. Faktisk vil opsætning af statiske ARP-poster som de fleste andre websteder foreslået ikke beskytte dig mod NetCut-angreb, fordi NetCut direkte angriber gateway og ikke brugeren. Her er en undersøgelse af, hvordan NetCut fungerer og også metoden til at beskytte mod DoS-angrebet. Som vi tidligere har nævnt, er ingen af firewallsoftwaren som ZoneAlarm, Comodo, Outpost, GlassWire, SpyShelter, Privatefirewall osv. I stand til at registrere NetCut-angreb. Du kan dog bruge XArp, som er et freeware-værktøj, der kan registrere ARP-spoofing. Ved at installere XArp og køre det, får du øjeblikkeligt besked, når det registrerer et ARP-spoofingangreb inklusive angrebet fra NetCut. Skærmbillede herunder viser en kørende XArp uden angreb. Bemærk MAC-adressen 00-21-5d-41-16-5a, der er cirklet med rødt, som er knyttet til IP 192.168.2.8.
Når NetCut begynder at angribe IP 192.168.2.8 i et forsøg på at afbryde internetforbindelsen, registrerer XArp det straks og viser en alarm popup med et par forskellige meddelelser. Den vigtigste meddelelse ville være den, der rapporterer, at MAC-adressen til IP 192.168.2.8 er blevet ændret fra 00-21-5d-41-16-5a til 03-27-75-49-18-73.
Hvis du starter XArp-programmet fra ikonet for meddelelsesbakke, vil du se, at MAC-adressen til IP 192.168.2.8 er ændret til 03-27-75-49-18-73, hvilket åbenbart er forkert.
Dette betyder, at NetCut sender en forfalsket pakke for at informere gatewayen om, at IP 192.168.2.8 er forbundet med en forkert MAC-adresse. Da IP 192.168.2.8 ikke er kortlagt til den rigtige MAC-adresse, bryder internetforbindelsen også. Selv en pakkesniffer som Wireshark bekræfter, at forfalskede pakker sendes til gatewayen med en forkert MAC-adresse, der er kortlagt til IP 192.168.2.8.
Når NetCut aktivt angriber et mål på netværket, sender det kontinuerligt forfalskede pakker til gatewayen, så der ikke er nogen chance for at gatewayen får den korrekte dynamiske ARP-tabel. Her har vi 5 mulige måder at beskytte mod NetCut-angreb.
1. Statisk ARP-tabel i routeren
Da NetCut sender forfalskede pakker til routeren for at rodet med den dynamiske ARP-tabel, kan du løse dette problem ved at opsætte en statisk ARP-tabel i routeren. Implementering af statisk ARP-routing vil beskytte alle, der er forbundet til netværket. Dette er dog ikke rigtig en løsning for alle, fordi mange grundlæggende hjemmebaserede routere ikke understøtter statisk ARP-tabel, og det er ikke fornuftigt at implementere dette på en offentlig WiFi. At gøre dette på et stort virksomhedsnetværk kræver også en masse arbejdskraft vedligeholdelse af IP til MAC-adressekortlægninger.
2. NetCut
Ironisk nok har NetCut-programmet, der bruges til at afbryde en persons internetforbindelse, en mulighed for at beskytte mod angrebet. Sørg blot for at afkrydsningsfeltet "Beskyt min computer" er markeret, og dette vil sikre, at din IP-adresse er kortlagt til den rigtige MAC-adresse.
Grundlæggende beskytter NetCut mod sit eget angreb ved konstant at sende pakker til gatewayen for at informere routeren om den korrekte kortlægning af IP til MAC-adresse. Routeren vil let blive oversvømmet med pakker, når NetCut bruges til at angribe og beskytte.
Download NetCut
3. NetCut Defender
Hvis du ikke har det godt med at have et angrebsprogram som NetCut installeret og kørt på din computer på grund af juridiske betænkeligheder, oprettede forfatteren af NetCut også et beskyttelsesprogram kaldet NetCut Defender. Grundlæggende gør det det samme som indstillingen "Beskyt min computer", der findes i NetCut, undtagen uden evnen til at afbryde en persons forbindelse.
Intetsteds på det officielle NetCut Defenders websted nævner det, at det koster $ 9, 99. Du vil begynde at få irriterende popups til at købe programmet efter et par timers brug. Vi kan ikke bekræfte prøveanvendelsen af NetCut Defender, da vi ikke har testet det udførligt, men hvad vi kan bekræfte er, at det helt sikkert kan holde dig sikker mod NetCut-angreb.
Download NetCut Defender
4. Outpost Firewall Pro
Når NetCut lanceres, kører det automatisk en ARP-udsendelsesfeep for at registrere alle tilsluttede enheder på netværket. For eksempel, hvis computeren, der kører NetCut, er tilsluttet en netværk 192.168.2.1-gateway, udfører den en ARP-sweep fra 192.168.2.1 til 192.168.2.255. I modsætning til ICMP-ping, der let kan blokeres, besvares ARP-anmodninger normalt og blokeres ikke. Når en enhed reagerer på ARP-anmodningen fra NetCut, føjes enheden til listen, der kan angribes. Outpost Firewall Pro har en mulighed for at blokere ARP-scanning.
Gå til Indstillinger> Avancerede indstillinger> Attackdetektion> klik på knappen Tilpas> vælg " Bloker vært, når den optæller andre computere på LAN ", og klik på OK for at lukke vinduet Attack Detection efterfulgt af klik på OK for at gemme indstillingerne.
Aktivering af denne indstilling forhindrer, at din computer vises i NetCut. Angriberen angriber sandsynligvis en anden computer i stedet for din. Outpost Firewall Pro er en shareware, der koster $ 29, 95 for et 1-årigt abonnement på en enkelt licens.
Download Outpost Firewall Pro
5. ESET Smart Security
ESET Smart Security er et af de få internetsikkerhedsapplikationer, der kan konfigureres til at afvise svar på en ARP-anmodning. Ved at gøre dette kan NetCut ikke finde din computer under et ARP-fej, når programmet startes, eller når der klikkes på knappen "Opdater net". For at konfigurere ESET Smart Security til at blokere en ARP-scanning, skal du åbne programmet, gå til Opsætning og klikke på Netværk . Klik på Avanceret personlig firewall-opsætning, der findes nederst.
Udvid Netværk > Personlig firewall, og vælg IDS og avancerede indstillinger . Fjern markeringen i " Tillad svar på ARP-anmodninger fra uden for den betroede zone ", og klik på OK.
For at denne indstilling skal træde i kraft, skal du vælge "Offentlig netværk" som den ønskede beskyttelsestilstand på din computer i netværket. Normalt vises denne indstilling, når du er tilsluttet et nyt netværk. For at kontrollere indstillingerne skal du ved netværksbeskyttelsesopsætningen klikke på “ Skift din computers beskyttelsestilstand i netværket ”.
Vælg indstilling for Offentlig netværk, og klik på OK.
NetCut-programmet kan ikke finde din computer på netværket, hvilket holder dig sikker mod at blive angrebet.
Download ESET Smart Security