overclockzonefanpage  overclockzoneth  TV  
Results 1 to 20 of 20
  1. #1
    OverclockZone Member leprechaun's Avatar
    Join Date
    1 Dec 2011

    Default client เครื่องนี้ เค้าทำอะไรกับ network ครับ (มีภาพ)

    คือท้าวความก่อนนะครับ ในช่วงสามสี่เดือนที่ผ่านมาเนี่ย internet ของพาทเม้นผมมันจะช้าเป็นช่วงเวลาครับ ประมาณ เย็นๆ เรื่อยไปจนถึง ตีสองตีสาม internet จะช้ามากกกก wireless connected ตลอดเวลานะครับ ไม่ใช่เร้าเตอดับหรืออะไร แต่แทบเล่นเนตไม่ได้เลย เข้าเว็บถ้าไม่ connection timed out ก็อืดมากครับ ความเร็วโหลดปกติ 200-300kb เหลือ 2-5kb แรกๆผมก็คิดว่าเป็นปัญหาที่ตัว ISP หรืออุปกรณ์เอง พอหลังๆชักไม่แน่ใจ เพราะดูจังหวะการเกิดปัญหามันจะมี pattern ในแต่ละวันที่คล้ายๆกัน คือจะเป็นช่วงเย็นๆ หรือไม่ก็เสาร์ อาทิตย์ทังวัน เลยสังหรณ์ใจว่ามันจะเป็นจากฝีมือคนซะมากกว่า ก็เลยลอง run wireshark ดูครับ รันมาสักพัก ปรากฏว่าผลที่ได้เป็นดังนี้

    untitled.jpg

    รูปนี้เพิ่งแคปนะครับ แต่จริงๆผมแคปมาตลอดเป็นเืดือนแล้ว ซึ่งทุกครั้งที่ internet เริ่มมีปัญหา พอผม แคป จะเจอไอเจ้าเครื่อง client เครื่องนี้ตลอด flood arp เยอะมากกกก แต่ในเวลาที่เนตปกติ ผม แคปดู จะไม่เจอเครื่องนี้นะครับ ก็เลยชักสงสัยว่าเอ้ะ ไอเครื่อง เครื่องนี้มันน่าจะต้องเกี่ยวข้องกับ ปัญหา internet รึเปล่า จริงๆผมก็พอมีความรู้เรื่อง arp spoof อยู่บ้างนะครับ เดาเอาว่าเจ้าเครื่องนี้อาจจะมีการใช้ื net cut ก็เลยลองติดต่อ admin ของอพาทเม้นดู พอโทรไป admin ไม่รู้จัก netcut (จะโกรธ หรือ อนาถดี ผมว่า netcut มันเป็นความรู้พื้นฐานมากนะเนี่ย ยิ่งเป็น admin สำหรับพวกอพาทเม้นแล้วเนี่ย) เห็นแบบนี้ก็เลยลองกลับมาจัดการด้วยตัวเองนะครับ ลองมาทุกอย่างทั้งทำ static arp, fix ip, hide ip, anti netcut, comodo firewall, no cut, stop cut แล้วก็อีกสารพัดวิธี ขนาดโจมตีโดยการ flood arp เข้าเครื่องมันให้ cpu มัน run จนอืดแล้วก็ปิด netcut ไปเองก็ลองมาแล้ว บางทีก็ได้ผล(ที่บอกว่าได้ผลคือ เนตมันกลับมาเร็วภายใน 5-10 นาทีหลังจากการ flood ครับ) บางทีก็ไม่ได้ผล

    ผลก็เลยสงสัยว่ามันเกิดจากอะไรกันแน่ครับ มันใช่ netcut รึเปล่า หรือมันมีอะไรอย่างอื่นที่เหนือขั้นขึ้นไปอีก ผมก็ไม่ได้มีความรู้คอมพิวเตออะไรมากครับ แต่ไม่อยากให้ใครมาเอาเปรียบ เสียเงินเท่ากัน ทำไมเค้าต้องมาทำความเดือดร้อนให้คนอื่นแบบนี้ จริงๆ ณ ตอนนี้เนตผมก็ยังช้าอยู่เลยนะครับเนี่ย เคยติดต่อเจ้าของอพาทเม้นก็แล้ว แอดมินก็(หลายรอบ)แล้ว ก็ไม่เห็นจะมีใครมาจัดการปัญหาสักที แต่ตอนที่ผมคุยกับแอดมิน เค้าก็ถามอยู่นะครับว่าพอจะรู้มั้ยว่าเครื่องไหน ผมก็เลยบอก mac ไปตามที่มันโชว์ใน wireshark แต่ก็ไม่ค่อยมั่นใจเท่าไหร่ว่าเข้าใจถูกหรือเปล่า กลัวให้ข้อมูลผิด เดี๋ยวหน้าแตก ก็เลยอยากให้ แอดมินเค้ามาเชค log เอง แต่จนบัดนี้ก็ยังไม่เห็นมีใครมา

    ใครมีความรู้ช่วยหน่อยนะึครับ ผมไม่เอาวิธีป้องกันอะไรพวกนี้ละครับ ผมอยากรู้ว่า เจ้าเครื่องนี้มันใช้เนตคัทรึเปล่า ถ้าใช่ mac ที่เห็นเป็น mac ของเครื่องเค้าจริงๆใช่มั้ยครับ หรือมันเปลี่ยนได้ปลอมได้อีก ผมจะได้ไปคุยกับแอดมินและเจ้าของอพาทเม้นอย่างจริงจังละครับ จะได้ตัดเค้าออกไปจากระบบเนตเลย (แอดมินบอกว่าถ้าจับได้จะให้ทำแบบนี้)

    ขอบคุณล่วงหน้าครับ

    เพิ่มลิ้งรูปให้ใหม่นะครับ http://uploadpic.org/storage/2011/2R...22ULprXsrg.jpg
    Last edited by leprechaun; 1 Dec 2011 at 11:46:05.

  2. #2
    OverclockZone Member prapharn's Avatar
    Join Date
    2 Jul 2008
    Location
    Banpong

    Default

    ถ้าใช้ stopcut แล้ว netcutไม่ได้หรอกครับ
    เครื่องที่สงสัยโหลดบิทละเปล่า เลยกินแบนวิทไปหมด

  3. #3
    OverclockZone Member Dokmai's Avatar
    Join Date
    19 Aug 2007
    Location
    กรุงเทพ - ขออภัยด้วยครับ PM เก่าขออนุญ

    Default

    รูปเล็กจัง ดูไม่ชัด

  4. #4
    OverclockZone Member XsoeIIsJ's Avatar
    Join Date
    5 Dec 2008
    Location
    ไม่รู้เหมือนกัน

    Default

    ผมว่าน่าสนุกดีออก เราอยู่ข้างแอดมินซะอย่าง จะถล่มด้วยอะไรก็ไม่ต้องเกรงใจหุๆ

  5. #5
    OverclockZone Member
    Join Date
    20 Nov 2007

    Default

    น่าจะ netcut นั่นล่ะครับ mac เดียว เล่นมันทุก IP

    mac ปลอมได้นะครับ แต่วิธีป้องกันก็ง่ายๆ คือให้ทางหอ lock mac เอาไว้
    Last edited by takub; 1 Dec 2011 at 09:52:12.

  6. #6
    OverclockZone Member leprechaun's Avatar
    Join Date
    1 Dec 2011

    Default

    Quote Originally Posted by prapharn View Post
    ถ้าใช้ stopcut แล้ว netcutไม่ได้หรอกครับ
    เครื่องที่สงสัยโหลดบิทละเปล่า เลยกินแบนวิทไปหมด
    ผมก็กำลังคิดอยู่เหมือนกันครับ ว่าจะเป็นเพราะว่าเจ้าเครื่องนี่มันเปิด netcut ดักไว้ แล้วก็โหลดบิทรึเปล่า จะได้ทั้งดึงแบนวิทเข้าหาตัวเอง แล้วก็กันคนอื่นใช้เนตคัทกับตัวเองด้วย ถ้าเป็นเคสนี้นี่ .....เลวสุดจะบรรยายจริงๆ

  7. #7
    OverclockZone Member leprechaun's Avatar
    Join Date
    1 Dec 2011

    Default

    Quote Originally Posted by Dokmai View Post
    รูปเล็กจัง ดูไม่ชัด
    เพิ่มลิ้งให้แล้วนะครับ

  8. #8
    OverclockZone Member JO's Avatar
    Join Date
    18 Sep 2006
    Location
    Laksi

    Default

    ผมว่าถ้าเค้าโหลดบิตคงไม่ต้องมาใช้ netcut หรอกครับ เพราะโดยปกติการโหลดบิตจะดึง BW มาได้ทั้งหมดอยู่แล้วเนื่องจากสามารถทำ connection ได้จำนวนมาก

    ส่วนใหญ่เท่าที่เห็นคนใช้ netcut คือกลุ่มที่ไม่ต้องการ bw สูงแต่มักต้องการ access time ค่อนข้างต่ำในการเรียกข้อมูลต่างซึ่งพบในกลุ่มคนที่เล่น on-line หรือพวก vdo call มากกว่า

  9. #9
    OverclockZone Member poowangdee's Avatar
    Join Date
    23 Aug 2010
    Location
    ทุกๆที่ ที่มีคุณ(อ้วกก)

    Default

    ผมว่าบิตมากกว่า บิตนี่ เวลาโหลดหนักๆจริงๆ เน็ตไม่วิ่งเลยครับ

  10. #10
    OverclockZone Member
    Join Date
    24 Jun 2009

    Default

    Quote Originally Posted by JO View Post
    ผมว่าถ้าเค้าโหลดบิตคงไม่ต้องมาใช้ netcut หรอกครับ เพราะโดยปกติการโหลดบิตจะดึง BW มาได้ทั้งหมดอยู่แล้วเนื่องจากสามารถทำ connection ได้จำนวนมาก

    ส่วนใหญ่เท่าที่เห็นคนใช้ netcut คือกลุ่มที่ไม่ต้องการ bw สูงแต่มักต้องการ access time ค่อนข้างต่ำในการเรียกข้อมูลต่างซึ่งพบในกลุ่มคนที่เล่น on-line หรือพวก vdo call มากกว่า
    บิทจะตัดบิทด้วยกันเองครับ - -"

  11. #11
    OverclockZone Member JO's Avatar
    Join Date
    18 Sep 2006
    Location
    Laksi

    Default

    Quote Originally Posted by NeoXeoN7 View Post
    บิทจะตัดบิทด้วยกันเองครับ - -"
    ถ้าบิตเจอบิตนี้ต้องดูว่า Peer ของไฟล์ใครเยอะกว่ากันครับ คิคิ
    (ปกติผมโหลดแต่ไฟล์ใหม่ Peer เป็นพัน BW ไม่เคยตก คิคิ)

  12. #12
    OverclockZone Member Dokmai's Avatar
    Join Date
    19 Aug 2007
    Location
    กรุงเทพ - ขออภัยด้วยครับ PM เก่าขออนุญ

    Default

    ในรูปที่ให้ดู ผมเห็นแต่ Boardcast(สีฟ้า)นะ
    192.168.1.101 นี่คือ Router/Gateway ไช่ไหมล่ะ
    ซึ่งมันก็จับARPกับ ลูกข่ายปกติ นะครับ

    ในรูปบอกไม่ได้ว่ามี Netcut นะครับ.. ในหน้านี้ไม่เห็นMACเลยด้วย (เพราะเห็นแต่ของ Boardcast ครับ)

    โปรแกรม ฉลาม นี่ ถ้าจะวิเคราะห์ Netcut คุณต้องดูที่ สีเหลือง กับ สีเขียว เป็นหลักแล้ววิเคราะห์ครับ... เช่น ถ้าเห็น Source เยอะอยู่ที่ไอพีไหนไอพีเดียว.."เออ ก็ไอหมอนี่"ล่ะ

    ====

    แต่ในรูปของคุณ ก็มีที่น่าสนใจนะครับ
    - ระบบเราเตอร์นี่เป็น Quanta Microsystems.. QMI เลยง่ะ นี่มันเน็ตของอะไรเนีย หอพักหรือครับ.? (ปกติจะเห็นเป็นเซอร์เวอร์, ส่วนเราเตอร์ของQMIแทบไม่เห็นในไทยเลย)

    - มี่ Boardcast อื่นที่นอกเหนือจากเราเตอร์หลัก(192.168.1.101) คือ อันที่เป็น Apple กับ Hon Hai Precision (ยี่ห้อ Hon Hai ง่ะ.. คุณอยู่ในไทยหรือเปล่าเนี่ย)


    * ดูแล้วเหมือนคุณอยู่หอพัก ประเทศจีน/ไตหวันเลย (ไม่น่าใช่หอพักในไทยเลย)
    Last edited by Dokmai; 1 Dec 2011 at 18:52:51.

  13. #13
    OverclockZone Member leprechaun's Avatar
    Join Date
    1 Dec 2011

    Default

    Quote Originally Posted by Dokmai View Post
    ในรูปที่ให้ดู ผมเห็นแต่ Boardcast(สีฟ้า)นะ
    192.168.1.101 นี่คือ Router/Gateway ไช่ไหมล่ะ
    ซึ่งมันก็จับARPกับ ลูกข่ายปกติ นะครับ

    ในรูปบอกไม่ได้ว่ามี Netcut นะครับ.. ในหน้านี้ไม่เห็นMACเลยด้วย (เพราะเห็นแต่ของ Boardcast ครับ)

    โปรแกรม ฉลาม นี่ ถ้าจะวิเคราะห์ Netcut คุณต้องดูที่ สีเหลือง กับ สีเขียว เป็นหลักแล้ววิเคราะห์ครับ... เช่น ถ้าเห็น Source เยอะอยู่ที่ไอพีไหนไอพีเดียว.."เออ ก็ไอหมอนี่"ล่ะ

    ====

    แต่ในรูปของคุณ ก็มีที่น่าสนใจนะครับ
    - ระบบเราเตอร์นี่เป็น Quanta Microsystems.. QMI เลยง่ะ นี่มันเน็ตของอะไรเนีย หอพักหรือครับ.? (ปกติจะเห็นเป็นเซอร์เวอร์, ส่วนเราเตอร์ของQMIแทบไม่เห็นในไทยเลย)

    - มี่ Boardcast อื่นที่นอกเหนือจากเราเตอร์หลัก(192.168.1.101) คือ อันที่เป็น Apple กับ Hon Hai Precision (ยี่ห้อ Hon Hai ง่ะ.. คุณอยู่ในไทยหรือเปล่าเนี่ย)


    * ดูแล้วเหมือนคุณอยู่หอพัก ประเทศจีน/ไตหวันเลย (ไม่น่าใช่หอพักในไทยเลย)
    IP เร้าเตอเป็น 192.168.1.1 ครับ แล้วที่เห็น เฉพาะ arp เนี่ย เพราะมันฟลัดออกมาเป็น สิบๆแพคเกจในทุกๆวินาทีครับ แพคเกจอื่นมันเลยโดนเบียดหายไปหมด ส่วน mac ถ้าเข้าใจไม่ผิดมันบอกนะครับ แต่จะระบุอยู่ตรงใต้ log จะเห็นเป็นข้อความ ต่อจาก quantami อะไรนั่นแหละครับ ผมรัน netcut สแกนดูไอพี ก็มีคอมพิวเตอพร้อมแมคนี่ครับ (เว้นเสียแต่ว่ามันเป็นแมคปลอม แต่ไม่น่าจะปลอมเพราะเทสร้อยครั้ง มันไม่เคยเปลี่ยน) อีกอย่าง arp ฟลัดแบบนี้ จากเครื่องนี้ แมคนี้ เฉพาะเวลาที่เนตมีปัญหาครับ เพราะฉะนั้นผมไม่คิดว่ามันเป็นการกระทำจากเร้าเตอครับ เพราะเวลาเนตปกติ wireshark ดูมันจะไม่มี arp ฟลัดแบบนี้ครับ แต่ผิดถูกยังไง ผมไม่แน่ใจนะครับ ผมไม่เก่งคอมครับ

    ปล.source มาจาก quantami นะครับ broadcast เป็น destination ครับ (น่าจะเป็นเร้าเตอตัวจริงที่กำลังโดนยิง)
    Last edited by leprechaun; 1 Dec 2011 at 20:28:44.

  14. #14
    OverclockZone Member Dokmai's Avatar
    Join Date
    19 Aug 2007
    Location
    กรุงเทพ - ขออภัยด้วยครับ PM เก่าขออนุญ

    Default

    ถ้าอย่างงั่น ชัดแล้ว (เพราะตอนแรกผมคิดว่า 192.168.1.101 เป็นเราเตอร์)

    ถ้าเราเตอร์จริงคือ 192.168.1.1
    งันไอ 192.168.1.101 นี่ล่ะ ที่กำลัง Stanby ปล่อย ARP

    แล้วให้เดาต่อไป
    Apple กับ Hon Hai Precision สองรายนี้ก็คงด้วย

    คิดว่าหอคุณ
    คงมี เกรี่ยง 3 ตัว แล้วล่ะ

    รีบออกไปหาซื้อแม่กุญแจถูกๆสัก3ลูก..เอามาเลย


    เป็นได้ว่า Apple, Hon Hai Precision กับ QMI นี่ อาจไม่ไช่Hardwareจริง อาจมาจากBacktrackล่ะมั๊ง (หรือโคลนMAC)
    Last edited by Dokmai; 1 Dec 2011 at 20:46:44.

  15. #15
    OverclockZone Member leprechaun's Avatar
    Join Date
    1 Dec 2011

    Default

    Quote Originally Posted by Dokmai View Post
    ถ้าอย่างงั่น ชัดแล้ว (เพราะตอนแรกผมคิดว่า 192.168.1.101 เป็นเราเตอร์)

    ถ้าเราเตอร์จริงคือ 192.168.1.1
    งันไอ 192.168.1.101 นี่ล่ะ ที่กำลัง Stanby ปล่อย ARP

    แล้วให้เดาต่อไป
    Apple กับ Hon Hai Precision สองรายนี้ก็คงด้วย

    คิดว่าหอคุณ
    คงมี เกรี่ยง 3 ตัว แล้วล่ะ

    รีบออกไปหาซื้อแม่กุญแจถูกๆสัก3ลูก..เอามาเลย


    เป็นได้ว่า Apple, Hon Hai Precision กับ QMI นี่ อาจไม่ไช่Hardwareจริง อาจมาจากBacktrackล่ะมั๊ง (หรือโคลนMAC)
    ขอบคุณสำหรับข้อมูลวิเคราะห์ครับ จะเก็บไว้เพิ่มเติมเวลาคุยกับแอดมิน

  16. #16
    OverclockZone Member cupidnior's Avatar
    Join Date
    30 Sep 2008

    Default

    Hon Hai Precision กับ QMI จะเจอในโน้ตบุคพวกที่ไม่ใช่ Centrino เยอะครับ Acer, Compaq พวกชิปไวเรส Broadcom , Atheros
    พอลองแสกน Mac ออกมาก็ได้ Vendor เป็น Hon Hai Precision, Quanta Microsystems แถมยังมีพวกชื่อ Vendor แปลกๆเยอะครับ

  17. #17
    OverclockZone Member Dokmai's Avatar
    Join Date
    19 Aug 2007
    Location
    กรุงเทพ - ขออภัยด้วยครับ PM เก่าขออนุญ

    Default

    ^
    ^
    แต่ถ้าเป็นคนใช้ โน๊ตบุคทั่วไป ก็ไม่น่าจะเด็งมาขึ้นในบันทัด Boardcast ... ก็เลยน่าส่งสัย (อาจมีการต่อสู้กันในสมรภูมิ NetCut)

  18. #18
    OverclockZone Member skaz-'s Avatar
    Join Date
    10 Sep 2009

    Default

    Quote Originally Posted by Dokmai View Post
    ^
    ^
    แต่ถ้าเป็นคนใช้ โน๊ตบุคทั่วไป ก็ไม่น่าจะเด็งมาขึ้นในบันทัด Boardcast ... ก็เลยน่าส่งสัย (อาจมีการต่อสู้กันในสมรภูมิ NetCut)
    เคยเจอมาเหมือนกันครับ arp ยาวๆแบบนี้เลยที่ผมเจอมานะ เองตัดข้า ข้าตัดเอ็ง เอาคืนกันอยู่นั้นหละ -.-

  19. #19
    OverclockZone Member joutboo's Avatar
    Join Date
    15 Sep 2007

    Default

    อ่านแล้วปวดหัวครับ.....

  20. #20
    OverclockZone Member -:R:-'s Avatar
    Join Date
    8 Apr 2008

    Default

    เหอ ๆ หนักแหะ แต่ ถ้าพวกปล่อยไวรัสก็หนักเช่นกัน ไวรัสที่ต้องใช้ wwdc.exe เป็นตัวจัดการ

    บล็อคพอต 445, 137-138 ทั้ง udp , tcp

    แต่ของท่าน ถ้าเป็นระบบ wireless ให้ เปิด AP isolator ป้องกัน netcut ได้อย่าง มาก ๆ 90% เลย เครื่องลูกไม่เ่จอกัน แต่้ถ้าระบบ swith โดยสายแลนหล่ะก็ ถ้าไม่ จัด สวิตส์แบบ จัดการได้ ก็โดน cut กันเป็นว่าเล่น

    และถ้าเป็นระบบ Linux gateway server บล็อคพอตให้หมด เปิดแต่ที่จำเป็น

    ของผมเคยเจอ พวก ปล่อยไวรัสเข้าระบบ เน็ทอืดกระจาย ไวรัส autorun

    แต่อาการของท่าน คิดว่าเป็นที่ User ไม่ได้เป็นที่ไวรัส แต่ก็อยากจะนำเสนอมุมมองที่ผมเคยเจอ เน่าทั้งระบบจริง ๆ ไวรัสตัวในภาพ


Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •