LINUX.ORG.RU

Обнаружение атаки по WiFi

 , ,


1

2

Доброго всем времени суток!
Требуется разобраться с воздушным пространством.
Симптомы не очень оптимистичные: падение уровня сигнала, снижение скорости передачи данных, периодический разрыв соединения.
Замена рутера проблему решила не надолго.
Пологою что завелся какой-то вредитель.
Пожалуйста, посоветуйте толковые тулзы для анализа беспроводной активности, выявления атаки на рутер/пк, попытке встроиться в соединение и выявления атакующего.
И если подтвердится факт атаки, то что с этим делать?


Симптомы не очень оптимистичные: падение уровня сигнала, снижение скорости передачи данных, периодический разрыв соединения.

Перед тем как начать паниковать, я бы запустил rf-скан, вероятно на вашем канале действительно поселился «вредитель», который сам этого не осознает.

whiteout ()

Периодический разрыв соединения - это скорее всего пытаются получить хэндшейк, посылая запросы о деаутентификациию. Роутер тогда разрывает связь и просит устройство заново авторизироваться.

Защититься от этого довольно сложно. Если атакующий упорный - не поможет и скрытие SSID и белые списки MAC, но все равно стоит это попробовать.

Во время продолжительной атаки - переключитесь на другой канал.

Защита от деаутентификации стоит только на дорогих ротерах. А атакующий может одной строчкой в консоли вывести из строя вам беспроводную связь на продолжительное время.

Если это происходит уже несколько дней, то скорее всего - это ваш сосед. Пока точка не взломана - его будет сложно найти, особенно если он меняет каждый раз свой MAC. Попробуйте сопоставить время атак и появление ваших соседей дома. «Шерше ля школьник.»

Если очень сильное желание поймать - то нужно настроить ханипот со сниффером, когда он зайдет на точку и пойдет через нее по своим делам - есть большая вероятность, что это его деанонимизирует.

sandshaman ()

Если роутер адекватный, он ведет логи. Посмотри в них на предмет попыток коннекта и отказов роутера в авторизации.

Поймать его конкретно можнр будет только тогда, когда он взломает сеть и получит ип. Тогда можно попытаться получить доступ к его железу и его вычислить.

Как вариант - сними вра, оставь вер и смотри, кто влезет.

Еще не исключены помехи - мб рядом радиолюбитель какой антенну собрал передающую или дебил сикроволновку в стену направил.

Zhbert ★★★★★ ()

Переходи на AC, скорее всего соседи эфир засрали. Атаковать роутер нет никакого смысла, разве что у тебя wps включен и его пытаются брутфорсить.

KillTheCat ★★★★ ()

Возьми направленную антенну. И таким образом определи вектор атаки. Если атака идёт через направленную антенну из другого здания, то обклей фольгой находящуюся между вами стену.

Но мне кажется более вероятным то что просто каналы зашумлены. Переведи точку доступа на свободный канал и уменьши его ширину до 20 мегагерц.

Пожалуйста, посоветуйте толковые тулзы для анализа беспроводной активности, выявления атаки на рутер/пк, попытке встроиться в соединение и выявления атакующего.

Зайди в интерфейс точки доступа и посмотри список MAC адресов подключенных клиентов. А потом поищи, какой из них подозрительный.

И если подтвердится факт атаки, то что с этим делать?

Морду бить или заявление в полицию писать.

PeKar ()

Откуда и куда линк вообще? Ну, с одной стороны рутер вы меняли. Может проблемы на второй стороне?

Потому что то, что описываете, никак не похоже на хакинг, а только на плохую связь

vaddd ()
Последнее исправление: vaddd (всего исправлений: 1)
Ответ на: комментарий от Deathstalker

Спасибо всем за полезную информацию!

Рутер пользую Микротик, полоса 2GHz-B/G/N с автоматическим переключением частоты, аутентификация WPA2 PSK, привязка по MAC и WPS конечно отключен.
Рутер показывает что на мой канал да и соседние каналах почти свободны.
Как упомянул ранее, рутер пробовал менять, но ситуация повторяется, значит проблему с железом рутера отметаем.

Проблема возникает на домашем вайфае ежедневно как правило с 17.00 до утра.
Наиболее вероятно что проблема возникает по причине деятельности каких-либо РЧ устройств в непосредственной близости.
Похоже что какой-то сосед приходит домой и включает какую-то хрень.

Возможные причины и способы обнаружения:
1. Кто-то играется с вайфайными тулзами - буду пробовать анализировать при помощи waidps (спасибо Deathstalker за совет).
2. Воздействие каких либо беспроводных устройств типа радио рилеев - как обнаружить?
3. Другой сточник РЧ излучения, например микровлновка - как обнаружить?

Oxff ()

Периодический разрыв соединения - это скорее всего пытаются получить хэндшейк, посылая запросы о деаутентификациию. Роутер тогда разрывает связь и просит устройство заново авторизироваться.

подтверждаю, если на твоём канале нет соседних точек, и уровень сигнала хороший - скорее всего кто-то из соседей ловит хендшейк для последующего подбора пароля

hellcat ★★ ()