НетЦут је врста алата за ускраћивање услуге који се покреће на Виндовс-у и може прекинути интернетско повезивање неке особе када су оба повезана у истој локалној мрежи. АРП протокол се у основи користи за преношење ИП адреса на МАЦ адресе, а НетЦут искориштава слабост АРП протокола без стања због недостатка аутентификације.
НетЦут је врло једноставан за употребу и може га користити било ко. Једноставно покрените алат и он ће открити све повезане уређаје у истој локалној мрежи. Након тога можете изабрати било који циљ са листе након чега притиснете дугме „Одсеци“ и за неколико секунди циљ ће изгубити интернетску везу. Погођени циљ неће имати појма шта се догодило чак и ако има инсталиран програм заштитног зида.
Због начина на који НетЦут ради, ниједан ватрозид није у стању да спречи, па чак ни да открије напад. У ствари, постављање статичких АРП уноса као и већина предложених веб локација неће вас заштитити од НетЦут напада јер НетЦут директно напада гатеваи, а не корисника. Ево истраге о томе како функционише НетЦут и методе заштите од ДоС напада. Као што смо раније поменули, ниједан софтвер ватрозида као што су ЗонеАларм, Цомодо, Оутпост, ГлассВире, СпиСхелтер, Приватефиревалл и сл. Није у стању да открије НетЦут напад. Међутим, можете користити КСАрп, који је бесплатни алат који може открити АРП споофинг. Инсталирајући КСАрп и покрените га, одмах ћете бити обавештени када открије АРП напад споофинга укључујући напад са НетЦут-а. Снимак слике на слици приказује трчање КСАрп без напада. Обратите пажњу на МАЦ адресу 00-21-5д-41-16-5а окружене црвеном бојом која је повезана са ИП 192.168.2.8.
Када НетЦут започне напад на ИП 192.168.2.8 у покушају да прекине интернетску везу, КСАрп га одмах открива и приказује упозорење са неколико различитих порука. Најважнија порука била би она која извештава да је МАЦ адреса за ИП 192.168.2.8 промењена са 00-21-5д-41-16-5а у 03-27-75-49-18-73.
Ако покренете КСАрп програм са иконе траке за обавештења, видећете да је МАЦ адреса за ИП 192.168.2.8 промењена у 03-27-75-49-18-73 што очигледно није у реду.
То значи да НетЦут шаље споофед пакет да обавести гатеваи да је ИП 192.168.2.8 повезан са погрешном МАЦ адресом. Пошто ИП 192.168.2.8 није мапиран на исправну МАЦ адресу, такође се прекида интернетска веза. Чак и сниффер пакета као што је Виресхарк потврђује да се лажни пакети шаљу на гатеваи са погрешном МАЦ адресом која је пресликана на ИП 192.168.2.8.
Када НетЦут активно напада циљ на мрежи, он ће непрестано слати спооф пакетима на гатеваи тако да не постоји шанса за гатеваи да добије исправну динамичку АРП табелу. Овде имамо 5 могућих начина заштите од НетЦут напада.
1. Статичка АРП табела у рутеру
Будући да НетЦут шаље споофед пакете на рутер да се побрка са динамичном АРП таблицом, овај проблем можете решити постављањем статичке АРП табеле у рутеру. Примјена статичког АРП усмјеравања заштитит ће све који су повезани на мрежу. Међутим, ово заиста није решење за све, јер много основних кућних рутера не подржава статички АРП табелу и нема смисла имплементирати то на јавни ВиФи. Да би се то радило на великој корпоративној мрежи такође је потребно много радне снаге за одржавање пресликавања ИП на МАЦ адресе.
2. НетЦут
Иронично је да програм НетЦут који се користи за прекид Интернет везе неке особе има могућност заштите од напада. Једноставно се уверите да је потврдни оквир „Заштити мој рачунар“ и то ће осигурати да се ваша ИП адреса преслика на тачну МАЦ адресу.
У основи, НетЦут се штити од властитог напада сталним слањем пакета на гатеваи, који информише рутер о исправном мапирању ИП на МАЦ адреси. Рутер ће бити лако преплављен пакетима када се НетЦут користи за напад и заштиту.
Преузмите НетЦут
3. НетЦут Дефендер
Ако вам није лако инсталирати програм напада попут НетЦут-а на рачунару због законских недоумица, аутор НетЦут-а је такође створио програм заштите под називом НетЦут Дефендер. У основи то чини исту ствар као опција "Заштити мој рачунар" која се налази у НетЦут-у, осим без могућности да прекинете везу неке особе.
Нигде на званичном вебсајту НетЦут Дефендер не помиње да кошта 9, 99 долара. Након неколико сати коришћења почећете да се појављују скочни прозори за куповину програма. Не можемо потврдити пробну употребу НетЦут Дефендер-а јер га нисмо детаљно тестирали, али оно што можемо потврдити је да вас сигурно може заштитити од НетЦут напада.
Преузмите НетЦут Дефендер
4. Оутпост Фиревалл Про
Када се покрене НетЦут, он ће аутоматски покренути АРП емитовање емисије како би открио све повезане уређаје на мрежи. На пример, ако је рачунар на коме је покренут НетЦут повезан на мрежни пролаз 192.168.2.1, извршиће АРП анализу са 192.168.2.1 на 192.168.2.255. За разлику од ИЦМП пинг-а који се може лако блокирати, АРП захтеви се обично одговарају и не блокирају. Кад уређај одговори на АРП захтев који је послао НетЦут, уређај се додаје листи која може бити нападнута. Оутпост Фиревалл Про има могућност блокирања АРП скенирања.
Идите на Подешавања> Напредна подешавања> Детекција напада> кликните дугме Прилагоди> изаберите „ Блокирај хостове када набраја друге рачунаре на ЛАН-у “ и кликните на ОК да бисте затворили прозор Детекција напада, а затим кликните ОК да бисте сачували подешавања.
Омогућивање ове опције спречиће да ваш рачунар буде наведен на НетЦут-у. Нападач ће највероватније напасти други рачунар уместо вашег. Оутпост Фиревалл Про је схареваре који кошта 1, 95 долара за 1 годину претплате на једној лиценци.
Преузмите Оутпост Фиревалл Про
5. ЕСЕТ Смарт Сецурити
ЕСЕТ Смарт Сецурити једна је од ретких интернет безбедносних апликација која може да се конфигурише тако да онемогући одговоре на АРП захтев. Радећи то, НетЦут неће моћи да нађе ваш рачунар током померања АРП-а када се програм покрене или када се кликне дугме „Рефресх Нет“. Да бисте конфигурирали ЕСЕТ Смарт Сецурити да блокира скенирање АРП-а, отворите програм, идите на Подешавање и кликните на Мрежа . Кликните Напредно подешавање личног заштитног зида који се налази при дну.
Проширите мрежу > лични заштитни зид и изаберите ИДС и напредне опције . Поништите одабир опције „ Дозволи одговор на АРП захтеве изван Трустед зоне “ и кликните на ОК.
Да би ово подешавање ступило на снагу, морате да одаберете „Јавна мрежа“ као жељени режим заштите рачунара у мрежи. Обично би се ова опција приказала када сте повезани на нову мрежу. Да бисте проверили подешавања, у подешавању заштите мреже кликните на „ Промените режим заштите рачунара у мрежи “.
Одаберите опцију Јавна мрежа и кликните ОК.
Програм НетЦут неће моћи да нађе ваш рачунар на мрежи, тако да вас чува од напада.
Преузмите ЕСЕТ Смарт Сецурити