Minha solução para alguns logs de send deauth no Mikrotik

[flaviomreis]

Bom dia pessoal!

Passei um bom tempo tendo que aturar informações de send deauth na minha torre, sendo que alguns deles causavam até latência no ping do referido cartão em intervalos regulares. Pois bem, como vi que alguns destes logs os MACs estavam relacionados a rádios Greatek, troquei dois deles e diminui um pouco a latência e a quantidade de informações de send deauth. Mas ainda continuava aparecendo informações de send deauth relacionados a MACs totalmente desconhecidos e eu não conseguia barrar de forma alguma, foi então que reparei, meio que sem querer, que estes logs de send deauth com MACs desconhecidos passavam a ocorrer depois que certos clientes, justamente com rádios Greatek WR3454 conectavam-se.
Procurei por atualização de firmware no site Greatek, mas não existe nada novo lá, o mais recente é de 09/2007.
O interessante é que um dia destes dei de mão em um rádio Greatek que possuia um firmware mais recente do que o disponível no site e consegui baixá-lo alterando a URL informando a dada deste firmware mais novo.
Passei a utilizar meus rádios Greatek WR3454 com este firmware recente e diminuiu consistentemente a ocorrência de send deauth na torre e também a latência ocasionada por eles em certos momentos.
Assim que terminar de atualizar todos vou reparar se finalmente estes send deauth vão sumir de vez ou não.
Aproveito para passar como deve ficar o final da URL para que baixem este firmware para quem estiver interessado.
http://www.greatek.com.br/.../wr3454g_firm_up (2008-05-04).zip

Um grande abraço

[airtonveiga]

olá amigo blz.
eu tinha muito log de erro com sent deauth coloquei essa regra funcionou pra min testa ai ..

/ip firewall filter
add chain=input action=tarpit protocol=tcp connection-limit=3,32 src-address-list=blocked-addr comment="bloqueio de sent deauth " disabled=no



espero ter ajudado T+

[superxandaoce]

olá amigo blz.
eu tinha muito log de erro com sent deauth coloquei essa regra funcionou pra min testa ai ..

/ip firewall filter
add chain=input action=tarpit protocol=tcp connection-limit=3,32 src-address-list=blocked-addr comment="bloqueio de sent deauth " disabled=no



espero ter ajudado T+

Amigo, vlw pela dica, ainda nao testei, mas tbm tenho esse tipo de problema... essa regra coloca as mac.. ou os IP em uma lista para depois agente poder saber ? o que ela faz na verdade, me dá uma explicadinha, sou leigo em regras de firewall

[Roberto21]

olá amigo blz.
eu tinha muito log de erro com sent deauth coloquei essa regra funcionou pra min testa ai ..

/ip firewall filter
add chain=input action=tarpit protocol=tcp connection-limit=3,32 src-address-list=blocked-addr comment="bloqueio de sent deauth " disabled=no



espero ter ajudado T+

Amigo eu estou com uma dúvida tremenda aqui...você pode explicar com um pouco mais de detalhes o que exatamente essa regra faz, e onde eu encontro um artigo que explique o que é o sent deauth ?

[airtonveiga]

ola amigos

essa regra e so copiar e colar no NEW TERMINAL e pronto , nao sei exatamente o que e sentdeauth sei que essa regra funcionou pra min espero que funcioene pra vcs tbm,.

eu acho que sent deauth deve ser algum tipo de trojan ou worm, pois me parece que ele tenta autenticar no mk.
blz valew t+.

[Roberto21]

Bom, eu agradeço a sua atenção mas assim não serve pra mim!

Vou procurar mais detalhes sobre o assunto, e ao descobrir eu vou postar aqui para todos.

Obrigado