求助 - 宿網被限制但不知是房客搗亂或isp業者行為

[b90220208]

不好意思,再請教各位:
現我已成功新增分享器的 IP/MAC 綁定設定...之前改不了原來是預設 MAC 值是以冒號作區隔...壞消息是,攻擊者仍然得逞.就在設定完後一小段時間,我網頁又突然上不了!

當他影響我的 arp table 我只需再改回(已寫好bat檔),但他攻擊分享器時我卻無解...只能重開機(這樣甚是麻煩)...有更好的方法嗎...一定得重開機才行嗎?

最後不解,做完分享器 ip/mac 綁定設定後為何仍無效果?
另外,不懂當他攻擊分享器時為何我可以ping的了分享器回應...封包不是應該有去無回嗎?

[a471]

引用:

作者: b90220208

不好意思,再請教各位:
現我已成功新增分享器的 IP/MAC 綁定設定...之前改不了原來是預設 MAC 值是以冒號作區隔...壞消息是,攻擊者仍然得逞.就在設定完後一小段時間,我網頁又突然上不了!

當他影響我的 arp table 我只需再改回(已寫好bat檔),但他攻擊分享器時我卻無解...只能重開機(這樣甚是麻煩)...有更好的方法嗎...一定得重開機才行嗎?

最後不解,做完分享器 ip/mac 綁定設定後為何仍無效果?
另外,不懂當他攻擊分享器時為何我可以ping的了分享器回應...封包不是應該有去無回嗎?

你該問問第四台業者了~~那設備是他的不是你的

[getter]

照理說，如果真的是 「Cable Modem/xDSL」跟 「AP/IP 分享器」的問題，不會只有一台電腦、
或是某台電腦會這樣，而是全部 ... 若是針對時間性質的禁止上網 ... 一般便宜的 「AP/IP 分享器」
可能不具備該功能，反而是 4~5000 以上的才可能有，一般都是正面表列 IP、MAC 的禁止/允許
使用網路。這部份還是要詳閱說明書的說明。

請房東的「AP/IP 分享器」，要更換設定密碼，不然依照預設狀態，很容易被修改「AP/IP 分享器」
內的設定 ...

有一種簡單的二分法檢查 ... 看是 Cable Modem/xDSL 跟 AP/IP 分享器 ... 那一個問題？
這種檢查方式，必須是
1.「Cable Modem/xDSL」跟 「AP/IP 分享器」各自兩台機器才行。
2.當初申請的時候，是多個 IP 的方案。單 IP 也行只是 ...

也就是其他房客仍維持透過 「Cable Modem/xDSL」跟 「AP/IP 分享器」上網 ...
房東這端可以僅僅透過 「Cable Modem/xDSL」直接上網 ... 觀察一段時間 ...
如果是單一個 IP 請房客先暫停不要使用，只有房東自己上網觀察看看。

如果說這樣就正常了 ... 有一定機會是 IP 分享器的問題 ...

如果是某台電腦的話，反而是哪個某台電腦有問題 ... ，假設這個條件是成立的話，某台有問題，
可以換個房間(線路)觀察看看，是否仍是相同狀況？ 若是換過後正常的話 ... 狀況又不同，有機會
是網路線的問題，包含線材品質不好、佈線的走線位置不好、插頭生鏽等等之類。

某台電腦的問題的話，可以檢查看看，防毒軟體、防火牆軟體、網路卡驅動城市看看 ...
比方說某個時期的網路卡驅動程式，容易照成不明原因斷線，更新成新版就好，有些則是
網路卡的電源管理項目導致網路中斷，需要設定電源管理項目中網路卡的部份停用電源管理。

[getter]

上述看的辛苦的話 ... 迪西整理一下

主要是以兩個基準面向驗證、處理

網路方面：檢驗網路裝置、線路。
檢驗數據機 Cable Modem/xDSL、AP/IP 分享器，機能是否正常。單獨使用
Cable Modem/xDSL 或者是聯合使用 AP/IP 分享器，並檢視狀況。如果說單
獨使用 Cable Modem/xDSL，只能推測說 AP/IP 分享器有設定或是故障的狀
況，同時也表示室內的網路線，應該也沒有問題。

檢驗室內的網路線的方式，除了可以利用專門的檢驗裝置外，亦可透過電腦的交
換位置來線路來驗證，要搬移電腦測試用不同室內網路的線路會比較辛苦就是了
。

無線網路的話稍微比較麻煩，因為有信號穿透率、AP 跟裝置的無線傳輸協定的影
響。較新的無線網路卡也需要較新的 AP 才有可能支援的了，也就是這幾種規範：
802.11/802.11d/802.11n/802.11x 等。



電腦方面：防毒軟體、防火牆、電腦病毒、網路卡驅動程式、網路卡的電源管理設定。
防毒軟體、防火牆，有些版本是做在一起的，甚至檢測到有網路攻擊的時候，會強
制中斷網路的連線狀態。通常會有一定的等待時間，時間過了就會恢復連線。這部
份需要觀察防毒軟體、防火牆的設定。另外有些情況是，更新某個版本後發生的問
題，如過有近期的更新印象。只能嘗試裝回前一個舊版本的防毒軟體、防火牆來觀
察。如迪西最近遇到的是瀏覽器的 Flash 頁面不正常。後來經過裝回舊版本，驗證
後是，該某個更新版本的問題。等到有更新的版本在安裝更新就沒這問題。

電腦病毒包含惡意程式的部份，只能利用多種掃描檢測工具，處理。嚴重的話，某些
系統檔案損毀無法修復之下，只有系統 Reset。

網路卡驅動程式，在以前個時期中好像是 XP 與 Vista 的交替時期有發生過，某個
網路晶片會因為當時的驅動程式導致 PPPoE 之類的通訊協定容易斷線。也是等新版
本的驅動程式之後就好了。當時也可以利用 AP/IP 分享器來克服這問題，某些情況
嚴重的時候一樣無法解決。如電腦病毒，造成系統檔案異常，就會變成要系統 Reset。

網路卡的電源管理設定，某些網路上的搜尋資料指出，這部份的設定會有機會影響到
網路的連線狀態，也就是突然斷線的狀況。當然也就是有人會，也有人不會，有建議
是說停用網路卡的電源管理設定。有兩個地方可以調整，通常選一個調整就可以了。
一個是電源管理的進階設定，另一個是從裝置管理員點選網路卡把內部的電源管理停用。

下圖是網路上抓來的，原文 win7網路一直斷線正解

[b90220208]

您好,感謝各位,

以下是我用 wireshark 擷取資料中的 D-LINKin_df:9e:c2 根本不是區網中的真正 gateway(分享器)
,其冒用了 192.168.0.1 的 IP,並回覆我錯誤 MAC 位址來影響我的 ARP TABLE ...
我擷取了約 1 個多小時不斷重複這些 request/reply 動作...還是說我自己中毒了呢?

===============================================

No. Time Source Destination Protocol Length Info
8 0.000562000 D-LinkIn_df:9e:c2 AsustekC_50:60:e9 ARP 60 192.168.0.1 is at 78:54:2e:df:9e:c2

Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Interface id: 0 (\Device\NPF_{8C870860-41BC-4FFE-9EFF-F23B18E4B432})
Encapsulation type: Ethernet (1)
Arrival Time: Sep 20, 2015 21:56:52.253064000 台北標準時間
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1442757412.253064000 seconds
[Time delta from previous captured frame: 0.000131000 seconds]
[Time delta from previous displayed frame: 0.000131000 seconds]
[Time since reference or first frame: 0.000562000 seconds]
Frame Number: 8
Frame Length: 60 bytes (480 bits)
Capture Length: 60 bytes (480 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:arp]
[Coloring Rule Name: ARP]
[Coloring Rule String: arp]
Ethernet II, Src: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2), Dst: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
Destination: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
Address: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
Address: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: ARP (0x0806)
Padding: 000000000000000000000000000000000000
[Duplicate IP address detected for 192.168.0.1 (78:54:2e:df:9e:c2) - also in use by bc:14:01:96:11:e1 (frame 3)]
[Frame showing earlier use of IP address: 3]
[Expert Info (Warn/Sequence): Duplicate IP address configured (192.168.0.1)]
[Duplicate IP address configured (192.168.0.1)]
[Severity level: Warn]
[Group: Sequence]
[Seconds since earlier frame seen: 0]
Address Resolution Protocol (reply)
Hardware type: Ethernet (1)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: reply (2)
Sender MAC address: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
Sender IP address: 192.168.0.1 (192.168.0.1)
Target MAC address: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
Target IP address: 192.168.0.23 (192.168.0.23)

[getter]

如果說網路方面無法驗證 ... 或是房東提供的 ... 找房東處理

感覺好像是 IP 分享器的自動配發「區域網路的 IP」數量有備限
制 ... 變成「區域網路的 IP」大家搶 ... 搶到的就可以上網。

另一種狀況，這一台 hitron CCR-30364 有 Wifi 的機能，
通常 AP 的「區域網路的 IP」是不會區分那些 IP 是有線網路
還是使用 Wifi。可有不是房客的人利用 Wifi搶 IP ...

不管是哪種狀況，最終網路方面、IP 分享器 的部份還是要房東或是
這個網路提供的所有人解決，不然會有某方面的問題或是疑慮。IP
分享器的設定都是要重新啟動 IP 分享器才會有效。IP 分享器的 Wifi
一定要加密，最好是以密碼 + MAC 清單管制。這樣比較好避免 Wifi
的部份被偷用。


若懷疑自己的電腦有中毒可能，要先自行掃毒排除。

[b90220208]

感謝!!

我得先確定的是:
1. 是有惡鄰在攻擊(能憑上文 wireshark 的擷取資料認定有第三者在搗亂)
OR
2. 是我自己中毒,結果我才是攻擊者...這樣攤牌時多不好意思..(但先前用 avira free 掃過一遍了)

...可做定論嗎?