求助 - 宿網被限制但不知是房客搗亂或isp業者行為

[b90220208]

您好,感謝各位,

以下是我用 wireshark 擷取資料中的 D-LINKin_df:9e:c2 根本不是區網中的真正 gateway(分享器)
,其冒用了 192.168.0.1 的 IP,並回覆我錯誤 MAC 位址來影響我的 ARP TABLE ...
我擷取了約 1 個多小時不斷重複這些 request/reply 動作...還是說我自己中毒了呢?

===============================================

No. Time Source Destination Protocol Length Info
8 0.000562000 D-LinkIn_df:9e:c2 AsustekC_50:60:e9 ARP 60 192.168.0.1 is at 78:54:2e:df:9e:c2

Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Interface id: 0 (\Device\NPF_{8C870860-41BC-4FFE-9EFF-F23B18E4B432})
Encapsulation type: Ethernet (1)
Arrival Time: Sep 20, 2015 21:56:52.253064000 台北標準時間
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1442757412.253064000 seconds
[Time delta from previous captured frame: 0.000131000 seconds]
[Time delta from previous displayed frame: 0.000131000 seconds]
[Time since reference or first frame: 0.000562000 seconds]
Frame Number: 8
Frame Length: 60 bytes (480 bits)
Capture Length: 60 bytes (480 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:arp]
[Coloring Rule Name: ARP]
[Coloring Rule String: arp]
Ethernet II, Src: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2), Dst: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
Destination: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
Address: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
Address: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: ARP (0x0806)
Padding: 000000000000000000000000000000000000
[Duplicate IP address detected for 192.168.0.1 (78:54:2e:df:9e:c2) - also in use by bc:14:01:96:11:e1 (frame 3)]
[Frame showing earlier use of IP address: 3]
[Expert Info (Warn/Sequence): Duplicate IP address configured (192.168.0.1)]
[Duplicate IP address configured (192.168.0.1)]
[Severity level: Warn]
[Group: Sequence]
[Seconds since earlier frame seen: 0]
Address Resolution Protocol (reply)
Hardware type: Ethernet (1)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: reply (2)
Sender MAC address: D-LinkIn_df:9e:c2 (78:54:2e:df:9e:c2)
Sender IP address: 192.168.0.1 (192.168.0.1)
Target MAC address: AsustekC_50:60:e9 (00:1d:60:50:60:e9)
Target IP address: 192.168.0.23 (192.168.0.23)

[getter]

如果說網路方面無法驗證 ... 或是房東提供的 ... 找房東處理

感覺好像是 IP 分享器的自動配發「區域網路的 IP」數量有備限
制 ... 變成「區域網路的 IP」大家搶 ... 搶到的就可以上網。

另一種狀況，這一台 hitron CCR-30364 有 Wifi 的機能，
通常 AP 的「區域網路的 IP」是不會區分那些 IP 是有線網路
還是使用 Wifi。可有不是房客的人利用 Wifi搶 IP ...

不管是哪種狀況，最終網路方面、IP 分享器 的部份還是要房東或是
這個網路提供的所有人解決，不然會有某方面的問題或是疑慮。IP
分享器的設定都是要重新啟動 IP 分享器才會有效。IP 分享器的 Wifi
一定要加密，最好是以密碼 + MAC 清單管制。這樣比較好避免 Wifi
的部份被偷用。


若懷疑自己的電腦有中毒可能，要先自行掃毒排除。

[b90220208]

感謝!!

我得先確定的是:
1. 是有惡鄰在攻擊(能憑上文 wireshark 的擷取資料認定有第三者在搗亂)
OR
2. 是我自己中毒,結果我才是攻擊者...這樣攤牌時多不好意思..(但先前用 avira free 掃過一遍了)

...可做定論嗎?

[getter]

掃毒的話有時後還需要使用多個一兩家的手動掃毒工具
比方說 Dr.Web CureIt!® 大蜘蛛免安裝手動掃毒工具 (下載同意頁面
或是 直接下載點)、McAfee Stinger 惡意程式掃瞄/刪除工具
、AVZ Antiviral Toolkit 卡巴斯基的惡意程式清除工具 ... 之類。
有時還要看看「控制台/新增移除程式」這裡面有沒有怪東西 ...

通常自己的電腦掃毒檢測的排除比較好做，網路方面要看實際狀況了
迪西也會簡的的網路檢測 ... 要看別人怎麼說了

[b90220208]

不好意思,
我為了 wireshark 一窺 arp 攻擊的封包模式而安裝了 netcut 竟導致我每一次重開機 ARP cache 皆有一筆靜態(static)的 gateway ip/mac ,但其 mac 卻是錯誤的.....我不確定是不是與 netcut 有關(現已移除),但因為該比對照資料是"靜態"的應該與區網的人無關吧?...是否表示我中毒? 是要檢查 regedit(vista) 中的 run 機碼嗎?... 若中毒可以解的了嗎? (已用好幾套掃過都說沒事)