ใครดูโปรแกรม wireshark เป็นบ้างครับ มีเรื่องรบกวนหน่อยครับ

fullmoonpatry · 08 สิงหาคม 2011, 09:05:22

ตามหัวข้อเลยนะครับ พอดีตอนนี้เดือดร้อนมากครับ ผมอยู่หอ แล้วสงสัยว่าที่หอมีคนโหลดบิทครับ เปิดเว็บทำงานไม่ได้เลยครับ

icenobu · 08 สิงหาคม 2011, 09:44:58

เวอร์ชั่นเต็ม: TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic
teerasil 2008-6-25 11:09

TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic
หลายๆคนถามว่าจะดูยังไงว่า คนไหนเล่น netcut หรือ bit torrent ผมมีตัวอย่างจากหอผมให้ดูครับ ยิ้ม

โดยตัวอย่างนี้ผมได้มาจากโปรแกรม wireshark ซึ่งเป็น network sniffer ตัวที่ผมใช้ประจำ

download ฟรีได้จาก http://www.wireshark.org

วิธีการใช้งาน

เปิด wireshark ขึ้นมา
- ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
- กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ

การแปลผลลัพธ์

1. Netcut

หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ

ในกรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน

วิธีป้องกัน

start -> run -> cmd
ใช้คำสั่ง arp -s <ip> <mac adress> , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all

2. Bit Torrent
หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน

ในส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน

เมื่อคุณรู้ห้องแล้ว คุณก็เดินไปบอกเจ้าของหอ พร้อมทั้งหลักฐานให้เขาเพื่อดำเนินการต่อไป ง่ายๆก็บอกให้เขาไปดึงสายไอ้ห้องนั้นออก จากนั้นก็รอพลคนเล่นเน็ตในหอไปจัดการมัน
หน้า: [1]
เวอร์ชั่นเต็ม: TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic | ภาษาไทยโดย CazDesign
Powered by Discuz! Archiver 6.0.0 ? 2001-2006 Comsenz Inc.
ภาษาไทยโดย CazDesign

คงใช้ได้น่ะค่ะ สู้ๆ

samabois · 08 สิงหาคม 2011, 10:04:30

เป็นของฟรีแวร์ที่ใช้แล้ว รู้สึกได้ว่า ดีจริงๆ

fullmoonpatry · 08 สิงหาคม 2011, 10:05:20

อ้างถึงจาก: icenobu ใน 08 สิงหาคม 2011, 09:44:58
เวอร์ชั่นเต็ม: TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic
teerasil 2008-6-25 11:09

TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic
หลายๆคนถามว่าจะดูยังไงว่า คนไหนเล่น netcut หรือ bit torrent ผมมีตัวอย่างจากหอผมให้ดูครับ ยิ้ม

โดยตัวอย่างนี้ผมได้มาจากโปรแกรม wireshark ซึ่งเป็น network sniffer ตัวที่ผมใช้ประจำ

download ฟรีได้จาก http://www.wireshark.org

วิธีการใช้งาน

เปิด wireshark ขึ้นมา
- ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
- กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ

การแปลผลลัพธ์

1. Netcut

หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ

ในกรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน

วิธีป้องกัน

start -> run -> cmd
ใช้คำสั่ง arp -s <ip> <mac adress> , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all

2. Bit Torrent
หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน

ในส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน

เมื่อคุณรู้ห้องแล้ว คุณก็เดินไปบอกเจ้าของหอ พร้อมทั้งหลักฐานให้เขาเพื่อดำเนินการต่อไป ง่ายๆก็บอกให้เขาไปดึงสายไอ้ห้องนั้นออก จากนั้นก็รอพลคนเล่นเน็ตในหอไปจัดการมัน
หน้า: [1]
เวอร์ชั่นเต็ม: TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic | ภาษาไทยโดย CazDesign
Powered by Discuz! Archiver 6.0.0 ? 2001-2006 Comsenz Inc.
ภาษาไทยโดย CazDesign

คงใช้ได้น่ะค่ะ สู้ๆ

ขอบคุณครับ แต่คือ ผมอยากให้ดูภาพนี้ให้หน่อยครับ

แถบสีเหลือง ip 192.168.1.48 นี่เค้าโหลด บิท ใช่มั้ยครับ

ManOFTheMatcH · 08 สิงหาคม 2011, 10:24:36

จะดักดูแพ็กเก็ตใคร

fullmoonpatry · 08 สิงหาคม 2011, 10:27:12

อ้างถึงจาก: ManOFTheMatcH ใน 08 สิงหาคม 2011, 10:24:36
จะดักดูแพ็กเก็ตใคร

พอดีผมอยู่หอครับท่าน แล้วที่หอเค้าห้ามโหลดบิทครับ แล้วนี่เค้าเล่นโหลดแบบไม่บันยะบันยัง คนในหอเปิดเว็บกันไม่ได้เลยครับ เป็นมาจะเดือนและครับ เลยอยากจะให้ช่วยดูให้หน่อยครับ พอดีเจ้าของหอก็ไม่ค่อยรู้เรื่องครับ

ผู้ชายสายปั่น · 08 สิงหาคม 2011, 10:46:40

เคยใช้ตอนอยู่หอ เอาไว้ดูว่าใครโหลดบิท หรือว่าใครใช้ netcut ตัดเน็ตเรา

O.o!! · 08 สิงหาคม 2011, 10:52:29

เทอมนี้เรียนอยู่เหมือนกัน แต่ดูไม่เป็น ดูเป็ฯแต่ source - destination

icenobu · 08 สิงหาคม 2011, 11:56:30

อ้างถึงจาก: fullmoonpatry ใน 08 สิงหาคม 2011, 10:05:20
อ้างถึงจาก: icenobu ใน 08 สิงหาคม 2011, 09:44:58
เวอร์ชั่นเต็ม: TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic
teerasil 2008-6-25 11:09

TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic
หลายๆคนถามว่าจะดูยังไงว่า คนไหนเล่น netcut หรือ bit torrent ผมมีตัวอย่างจากหอผมให้ดูครับ ยิ้ม

โดยตัวอย่างนี้ผมได้มาจากโปรแกรม wireshark ซึ่งเป็น network sniffer ตัวที่ผมใช้ประจำ

download ฟรีได้จาก http://www.wireshark.org

วิธีการใช้งา

เปิด wireshark ขึ้นมา
- ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
- กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ

การแปลผลลัพธ์

1. Netcut

หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ

ในกรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน

วิธีป้องกัน

start -> run -> cmd
ใช้คำสั่ง arp -s <ip> <mac adress> , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all

2. Bit Torrent
หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน

ในส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน

เมื่อคุณรู้ห้องแล้ว คุณก็เดินไปบอกเจ้าของหอ พร้อมทั้งหลักฐานให้เขาเพื่อดำเนินการต่อไป ง่ายๆก็บอกให้เขาไปดึงสายไอ้ห้องนั้นออก จากนั้นก็รอพลคนเล่นเน็ตในหอไปจัดการมัน
หน้า: [1]
เวอร์ชั่นเต็ม: TIP: เรียนรู้การหาคนเล่น bit และ NetCut จาก wireshark traffic | ภาษาไทยโดย CazDesign
Powered by Discuz! Archiver 6.0.0 ? 2001-2006 Comsenz Inc.
ภาษาไทยโดย CazDesign

คงใช้ได้น่ะค่ะ สู้ๆ

ขอบคุณครับ แต่คือ ผมอยากให้ดูภาพนี้ให้หน่อยครับ

แถบสีเหลือง ip 192.168.1.48 นี่เค้าโหลด บิท ใช่มั้ยครับ

ความเป็นไปได้สูงค่ะ เราก็เคยเจอที่หอน่ะ ลองเซฟภาพไปให้เจ้าของเน็ตดูอีกทีดีกว่าค่ะ

fullmoonpatry · 08 สิงหาคม 2011, 12:24:23

ครับ ขอบคุณที่ช่วยดูครับ โหลดบิทผมไม่อะไรหรอกนะครับ แต่นี่เล่นโหลดแบบดึงทั้งหอ เดือดร้อนกันไปหมดครับ

UDFC · 08 สิงหาคม 2011, 13:33:28

วิธีดู Bittorent ใน Wireshark ครับ

โค้ด เลือก

http://www.avrportal.com/forum/index.php?topic=153.0

TonHaDy · 08 สิงหาคม 2011, 13:42:15

ตามมาเก็บ ขอบคุณมากครับท่าน

goodwide · 19 กันยายน 2012, 14:14:49

อิอื หามานาน

wear428 · 19 กันยายน 2012, 14:56:05

ผมก็อยากรู้ครับ เพราะดูภาพประกอบแล้วรู้เลยว่า มันเป็นโปรแกรมขั้นสูงแน่ๆ