เอาล่ะเรามาพูดถึงการทำงานของ arp (Address resolution potocol) ก่อนะครับสำหรับคนยังไม่รู้
ARP เป็นโปรโตคอลที่ทำงานในชั้นของ Data link layer ของ network
ซึ่ง Data link layer นี้จะสนับสนุนการ broadcast หน้าที่ของ arp ใน TCP/IP คือ
การแปลง ip address ไปเป็น mac address เพื่อให้ host สามารถนำ mac address สามารถนำไป
สร้างเฟรมในชั้นของ data link layer ได้
ตัวอย่างการทำงาน
1. An ARP Request. Computer A asks the network, "Who has this IP address?"
2. An ARP Reply. Computer B tells Computer A, "I have that IP. My MAC address is [whatever it is]."
3. A Reverse ARP Request (RARP). Same concept as ARP Request, but Computer A asks, "Who has this MAC address?"
ต่อไปเป็นการทำงานของ netcut
การทำงานของ netcut คือ การส่ง IP/MacAddress ปลอมของเครื่อง Gateway ไปยังเครื่องเป้าหมาย
โดยอาศัยช่องเรื่องโหว่เรื่อง ARP Protocal
ต่อไปมาดูวิธีการทำงานของมันง่าย ๆ ดังนี้โดยการทดสอบใช้คอม 2 เครื่อง
ที่คอมเครื่อง 1
ไปที่ เมนู Start\run พิมพ์ cmd
พิมพ์ arp -a ดูค่า Gateway (ต้องทำก่อนโดน Netcut เล่นงาน)
สมมุติได้ค่าออกมาดังนี้ 255.255.255.255 00-80-48-24-0a-81
ถ้าเราใช้ netcut จากคอมเครื่องที่ 2 ตัด net ของคอมเครื่องที่ 1
หลักการของมันก็คือ มันจะส่งค่า MacAddress ที่ไม่ใช่ค่าด้านบนมาแทนของ gateway
อาจจะเป็นดังนี้ 255.255.255.1 00-80-48-24-0a-99
ซึ่งจะทำการจับคู่ระหว่าง ip และ mac ไม่ตรงตามความเป็นจริง จึงทำให้ใช้อินเตอร์เน็ตไม่ได้
ลองเล่นแบบ Netcut
คือลองใช้คำสั่ง arp -s 192.168.1.1 00-80-48-24-0a-99 กับคอมเครื่องที่ 1
ก็จะออกเน็ตไม่ได้เช่นกัน
แก้กลับก็ใช้คำสั่ง arp -d ลบออกเพื่อรับค่าใหม่
ต่อไปเป็นวิธีการแก้ไข
การจะแก้ไขได้เราจำเป็นที่จะต้องรู้ ip/mac address Gateway ก่อนโดน netcut
จากนั้นใช้ arp -s [ip gateway] [เลข Mac Address gateway]
เช่น arp -s 255.255.255.255 00-80-48-24-0a-81
จากนั้นลองเข้า net ดู ถ้ายังเข้าไม่ได้ก็แสดงว่ายังถูกยิงจาก netcut อยู่ ให้หาโปรแกรม antinetcut มาใช้
แต่ถึงอย่างไรก็ตามเคยมีคนบอกผมว่ามันกันไม่ได้ 100% อ่ะ
