5 способов защитить ваш компьютер от ARP-атаки со стороны NetCut

NetCut – это инструмент типа «Отказ в обслуживании», который работает в Windows и способен отключить интернет-соединение человека, когда оба подключены в одной локальной сети. В основном протокол ARP используется для преобразования IP-адресов в MAC-адреса, а NetCut использует слабость протокола ARP без сохранения состояния из-за отсутствия аутентификации.

NetCut очень прост в использовании и может использоваться любым. Просто запустите инструмент, и он обнаружит все подключенные устройства в одной локальной сети. Затем вы можете выбрать любую цель из списка, а затем нажать кнопку «Отключить», и через несколько секунд цель потеряет подключение к Интернету. Пострадавший объект не будет знать, что произошло, даже если у него установлена ​​программа брандмауэра.

netcut

Из-за того, как работает NetCut, ни один брандмауэр не может ни предотвратить, ни даже обнаружить атаку. Фактически настройка статических записей ARP, как и большинство других предлагаемых веб-сайтов, не защитит вас от атак NetCut, поскольку NetCut напрямую атакует шлюз, а не пользователя. Вот исследование того, как работает NetCut, а также метод защиты от DoS-атак.
Как мы упоминали ранее, ни одно из программ брандмауэра, таких как ZoneAlarm, Comodo, Outpost, GlassWire, SpyShelter, Privatefirewall и т. Д., Не может обнаружить атаку NetCut. Однако вы можете использовать XArp, который является бесплатным инструментом, который может обнаружить спуфинг ARP. Установив и запустив XArp, вы мгновенно получите уведомление, когда он обнаружит атаку с использованием ARP-спуфинга, включая атаку от NetCut. На скриншоте ниже показан работающий XArp без атак. Обратите внимание на MAC-адрес 00-21-5d-41-16-5a, обведенный красным, который связан с IP 192.168.2.8.

xarp no arp атаки

Когда NetCut начинает атаковать IP 192.168.2.8, пытаясь отключить интернет-соединение, XArp немедленно обнаруживает его и отображает всплывающее окно с несколькими сообщениями. Наиболее важным сообщением будет сообщение о том, что MAC-адрес для IP 192.168.2.8 был изменен с 00-21-5d-41-16-5a на 03-27-75-49-18-73.

xarp alert

Если вы запустите программу XArp из значка в области уведомлений, вы увидите, что MAC-адрес для IP 192.168.2.8 был изменен на 03-27-75-49-18-73, что, очевидно, неверно.

Обнаружены атаки xarp arp

Это означает, что NetCut отправляет поддельный пакет, чтобы сообщить шлюзу, что IP 192.168.2.8 связан с неверным MAC-адресом. Поскольку IP 192.168.2.8 не сопоставлен с правильным MAC-адресом, также разрывается интернет-соединение. Даже анализатор пакетов, такой как Wireshark, подтверждает, что поддельные пакеты отправляются на шлюз с неправильным MAC-адресом, сопоставленным с IP 192.168.2.8.

атака проволочной сетки

Когда NetCut активно атакует цель в сети, он будет непрерывно отправлять поддельные пакеты на шлюз, чтобы у шлюза не было возможности получить правильную динамическую таблицу ARP. Здесь у нас есть 5 возможных способов защиты от атак NetCut.

1. Статическая таблица ARP в маршрутизаторе

Поскольку NetCut отправляет поддельные пакеты на маршрутизатор, чтобы связываться с динамической таблицей ARP, вы можете решить эту проблему, настроив статическую таблицу ARP в маршрутизаторе. Внедрение статической маршрутизации ARP защитит всех, кто подключен к сети. Однако на самом деле это решение не для всех, потому что многие базовые домашние маршрутизаторы не поддерживают статическую таблицу ARP, и нет смысла реализовывать это в общедоступном Wi-Fi. Выполнение этого в большой корпоративной сети также требует большого количества рабочей силы для поддержания сопоставления IP-адресов и MAC-адресов.

2. NetCut

По иронии судьбы, программа NetCut, которая используется для отключения интернет-соединения человека, имеет возможность защитить от атаки. Просто убедитесь, что флажок «Защитить мой компьютер» установлен, и это будет гарантировать, что ваш IP-адрес сопоставлен с правильным MAC-адресом.

Netcut защитить мой компьютер

По сути, NetCut защищает от собственной атаки, постоянно отправляя пакеты на шлюз, информируя маршрутизатор о правильном сопоставлении IP-адреса с MAC-адресом. Маршрутизатор будет легко заполнен пакетами, когда NetCut используется для атаки и защиты.

Скачать NetCut

3. NetCut Defender

Если вам неудобно иметь и запускать на компьютере программу атаки, такую ​​как NetCut, из-за правовых проблем, автор NetCut также создал программу защиты под названием NetCut Defender. По сути, он выполняет ту же функцию, что и опция «Защитить мой компьютер» в NetCut, за исключением того, что он не может отключить соединение с человеком.

защитник сети

Нигде на официальном сайте NetCut Defender не упоминается, что он стоит 9,99 долларов. Вы начнете получать надоедливые всплывающие окна, чтобы купить программу после нескольких часов использования. Мы не можем подтвердить пробное использование NetCut Defender, так как мы не тестировали его всесторонне, но мы можем подтвердить, что он, безусловно, может защитить вас от атак NetCut.

Скачать NetCut Defender

4. Outpost Firewall Pro

Когда NetCut запускается, он автоматически запускает широковещательную прокрутку ARP для обнаружения всех подключенных устройств в сети. Например, если компьютер, на котором работает NetCut, подключен к сетевому шлюзу 192.168.2.1, он выполнит очистку ARP с 192.168.2.1 до 192.168.2.255. В отличие от пинга ICMP, который можно легко заблокировать, запросы ARP обычно отвечают, а не блокируются. Когда устройство отвечает на запрос ARP, сделанный NetCut, устройство добавляется в список, который можно атаковать. Outpost Firewall Pro имеет возможность блокировать сканирование ARP.

отчет об обнаружении атаки

Выберите «Настройки»> «Дополнительные настройки»> «Обнаружение атаки»> нажмите кнопку «Настройка»> выберите «Блокировать хост, когда он перечисляет другие компьютеры в локальной сети»И нажмите кнопку« ОК », чтобы закрыть окно« Обнаружение атаки », а затем нажмите кнопку« ОК », чтобы сохранить настройки.

заблокировать хост, когда он перечисляет другие компьютеры на локальной сети

Включение этой опции предотвратит включение вашего компьютера в NetCut. Злоумышленник, скорее всего, атакует другой компьютер вместо вашего. Outpost Firewall Pro является условно-бесплатным программным обеспечением, стоимость которого составляет $ 29,95 за годовую подписку на одну лицензию.

Скачать Outpost Firewall Pro

5. ESET Smart Security

ESET Smart Security – одно из немногих приложений для обеспечения безопасности в Интернете, которое можно настроить для запрета ответов на запрос ARP. Таким образом, NetCut не сможет найти ваш компьютер во время сканирования ARP при запуске программы или при нажатии кнопки «Обновить сеть». Чтобы настроить ESET Smart Security для блокировки сканирования ARP, откройте программу, перейдите в Настроить и нажмите на сеть, Нажмите Расширенная настройка персонального брандмауэра который расположен внизу.

расширенная настройка персонального брандмауэра eset

Разверните Сеть> Персональный брандмауэр и выберите IDS и расширенные опции, Снимите флажок «Разрешить ответ на запросы ARP из-за пределов доверенной зоныИ нажмите ОК.

eset разрешает ответ на запрос arp за пределами доверенной зоны

Чтобы этот параметр вступил в силу, вам нужно выбрать «Общедоступная сеть» в качестве необходимого режима защиты вашего компьютера в сети. Обычно эта опция появляется, когда вы подключены к новой сети. Чтобы проверить настройки, в настройках защиты сети нажмите «Измените режим защиты вашего компьютера в сети«.

Выбрать Публичная сеть вариант и нажмите ОК.

режим защиты компьютера eset

Программа NetCut не сможет найти ваш компьютер в сети, что защитит вас от атак.

Загрузить ESET Smart Security