Provavel Ataque DOS

[pabloferretti]

Montei Uma estação "Licenciada", onde ao lado já tem uma torre " sem licença ", ele só atendia o poder publico e eu entrei na cidade para atender os usuarios residenciais e comerciais, e por minha empresa ter licença SCM fomos procurados para prestar serviço para a Prefeitura, então comecei a ter problemas, meus clientes caem toda hora e quando olho no log encontro o seguinte:

21:14:44 wireless,info 00:F0:1F:0F:32:0E@AP-SJB-2: disconnected, received deauth: class 3 frame received (7)

e isso é o tempo todo com varios radios da rede, e pesquisando encontrei o seguinte material:

http://www.unibratec.com.br/jornadac...io/UFPEAGL.pdf

onde diz:

Negação de Serviço (DoS – Deny of Service) - é possível forjar pacotes do tipo De-Authetication (i.e. que

invalidam o cliente da rede) e enviá-los em

broadcast ou diretamente para um cliente específico usando o

seu endereço MAC associado. Ferramentas de domínio público como o void116 e aircrack7 implementam

este tipo de ataque. O efeito deste ataque é praticamente instantâneo.

Então o que posso fazer para evitar esse ataque ? Tem como ?

por padrão utilizo chave wep 64 bits.

RB532-A / Mini-Pci SENAO NMP 8602 / Router OS 3.18 / SETORIAL Hyperlink 14 Dbi 90º / FONTE PC 12V 15 Ah.

[sergio]

Se for o ataque demonstrado no paper, não tem como. Como diria o sábio: "senta e chora".

Esta é uma falha do 802.11, então para ficar livre disto, pare de usar 802.11 (se todos os clientes forem Mikrotik, por exemplo, poderia usar a modulação em 5 ou 10 MHz, pois desta forma um cliente comum não poderia enviar o deauth).

[pabloferretti]

Mas vou pedir para a Tia ANA visitar ele, pelo menos dou uma ferradinha nele. agora que sistema posso implantar para evitar isso ?

Se for o ataque demonstrado no paper, não tem como. Como diria o sábio: "senta e chora".

Esta é uma falha do 802.11, então para ficar livre disto, pare de usar 802.11 (se todos os clientes forem Mikrotik, por exemplo, poderia usar a modulação em 5 ou 10 MHz, pois desta forma um cliente comum não poderia enviar o deauth).

[sergio]

Mas vou pedir para a Tia ANA visitar ele, pelo menos dou uma ferradinha nele. agora que sistema posso implantar para evitar isso ?

Se usa 802.11 não existe sistema algum que evita isso.. conforme mencionei acima.

[fernandofiorentinn]

apaga esse post, senão tamos fritos

[lipeiori]

Se vc usar WPA2 não resolve?

[fernandofiorentinn]

usa pppoe, se continuar é um cliente seu te sacaneando

[pabloferretti]

Testei os 2 e não resolveu.

Se vc usar WPA2 não resolve?

[pabloferretti]

O problema não é esse, é o seguinte ele fica enviando um frame de desassociação para o AP, então o ap para de comunicar com o cliente até que ele peça a associação novamente, ai é quando o infeliz envia novamente o frame de desassociação.

usa pppoe, se continuar é um cliente seu te sacaneando

[fernandofiorentinn]

eu ja tive problema semelhante aqui, mas era virus no cliente

[Pupa]

amara o ip dos clientes no acess list
que ele nao vai ter mais acesso ao ap
soh c ele clonar o mac de algum cliente seu
c nao babau..........
e uma coisa mesmo
esse cara nao tem o que fazer da vida mesmo

[jpjust]

amara o ip dos clientes no acess list
que ele nao vai ter mais acesso ao ap
soh c ele clonar o mac de algum cliente seu
c nao babau..........
e uma coisa mesmo
esse cara nao tem o que fazer da vida mesmo

Vocês não entenderam? Não é um cliente esculhambando nem uma máquina mal-configurada, é uma falha do protocolo. Uma pessoa com uma antena e uma placa PCI apontada pra sua torre, mesmo sem ser cliente, pode fazer esse ataque.

[pabloferretti]

Seguinte, eu descobri como o ataque funciona e teoricamente como defender, é um pouco chato porque pode derrubar a conexão do cliente por alguns segundos ( pppoe ) mas se o cliente tiver IP-FIXO, ele acaba nem sentindo o problema, bom o ATACANTE envia um FRAME de DESASSOCIAÇÂO para o AP com o MAC do cliente, assim caso o cliente esteja utilizando a conexão o seu rádio é obrigado a re-associar novamente, isso de segundo em segundo, mas o ATACANTE não fica o dia todo em frente ao PC fazendo isso, ele seleciono o MAC do cliente e envia para o AP repetitivamente, eu descobri que se trocar o MAC do AP o ATACANTE vai ter que escanear a rede novamente porque o destino do ataque não é o cliente e sim o AP, é possível criar um script no MK para trocar o MAC do AP de tempos em tempos, mas isso derruba algumas conexões em PPPOE principalmente se tiver com trafego no cliente no momento da troca, mas é uma maneira de desmotivar o ATACANTE, tendo em vista o trabalho que ele vai ter de ficar a todo momento trocando o destino do ataque, bom espero que isso sirva de ajuda para quem passar por esse problema, bom mas isso não funciona com todos os rádios "principalmente o zinwell" funciona bem com radios usando o FIRMWARE da aprouter.

" Talves uma solução a nivel de SISTEMA, seria o DESENVOLVEDOR colocar um código para ignorar o frame de desassociação vindo do cliente, e desconectalo apenas por falta de comunicação assim nosso PROTOCOLO 802.11b/g ficaria um puco mais robusto"

[sergio]

Seguinte, eu descobri como o ataque funciona e teoricamente como defender, é um pouco chato porque pode derrubar a conexão do cliente por alguns segundos ( pppoe ) mas se o cliente tiver IP-FIXO, ele acaba nem sentindo o problema, bom o ATACANTE envia um FRAME de DESASSOCIAÇÂO para o AP com o MAC do cliente, assim caso o cliente esteja utilizando a conexão o seu rádio é obrigado a re-associar novamente, isso de segundo em segundo, mas o ATACANTE não fica o dia todo em frente ao PC fazendo isso, ele seleciono o MAC do cliente e envia para o AP repetitivamente, eu descobri que se trocar o MAC do AP o ATACANTE vai ter que escanear a rede novamente porque o destino do ataque não é o cliente e sim o AP, é possível criar um script no MK para trocar o MAC do AP de tempos em tempos, mas isso derruba algumas conexões em PPPOE principalmente se tiver com trafego no cliente no momento da troca, mas é uma maneira de desmotivar o ATACANTE, tendo em vista o trabalho que ele vai ter de ficar a todo momento trocando o destino do ataque, bom espero que isso sirva de ajuda para quem passar por esse problema, bom mas isso não funciona com todos os rádios "principalmente o zinwell" funciona bem com radios usando o FIRMWARE da aprouter.

Sim, e eu tenho um script que faz o contrário do seu... procura os MACs dos clientes e APs, cadastra em um arquivo txt e fica o dia todo pentelhando... é assim que funciona cara, ninguém perde tempo na frente de PC.

" Talves uma solução a nivel de SISTEMA, seria o DESENVOLVEDOR colocar um código para ignorar o frame de desassociação vindo do cliente, e desconectalo apenas por falta de comunicação assim nosso PROTOCOLO 802.11b/g ficaria um puco mais robusto"

Isso já foi solucionado e implementado em vários sistemas como Mikrotik, Cisco, 3com, entre outros. Falta agora esses xing link implementarem também, pois desta forma os clientes poderão utilizar o método.

[pabloferretti]

Sim, e eu tenho um script que faz o contrário do seu... procura os MACs dos clientes e APs, cadastra em um arquivo txt e fica o dia todo pentelhando... é assim que funciona cara, ninguém perde tempo na frente de PC.




Isso já foi solucionado e implementado em vários sistemas como Mikrotik, Cisco, 3com, entre outros. Falta agora esses xing link implementarem também, pois desta forma os clientes poderão utilizar o método.

Bom então me diz a versão do MK que foi implementado isso a nivel de AP, porque já usei varias e não solucionou, e quanto ao script seu, é legal mas ainda bem que o atacante não é tão inteligente ele faz tudo manual ou usa algum programa meio lento, bem na hora que estava escrevendo o primeiro post, eu estava sendo atacado e foi quando tentei outra solução e até agora resolvel, criei alguns aps virtuais com o mesmo NOME mas com MAC's diferentes assim quando ele manda desconectar de um automaticamente conecta no outro, assim fazendo ele mudar o ataque para o outro mac, e isso é meio demorado, essa foi a melhor solução que consegui até agora!

Abraços...

[sergio]

Bom então me diz a versão do MK que foi implementado isso a nivel de AP, porque já usei varias e não solucionou, e quanto ao script seu, é legal mas ainda bem que o atacante não é tão inteligente ele faz tudo manual ou usa algum programa meio lento, bem na hora que estava escrevendo o primeiro post, eu estava sendo atacado e foi quando tentei outra solução e até agora resolvel, criei alguns aps virtuais com o mesmo NOME mas com MAC's diferentes assim quando ele manda desconectar de um automaticamente conecta no outro, assim fazendo ele mudar o ataque para o outro mac, e isso é meio demorado, essa foi a melhor solução que consegui até agora!

Abraços...

Mas será o benedito!!!! Leia o que escrevi... foi implementado em vários sistemas, como Mikrotik, Cisco serie Aironet, 3com, etc, etc. Não foi implementado em clientes meia boca que usam xing ling, então esqueça... agora se quer usar Mikrotik com Mikrotik, use a 3.22 que funcionará sem problemas. Quer usar com Cisco Aironet e seus clients (adaptadores), funciona sem problemas.

Pesquise que encontrará as informações.

[terencerocha]

ataca ele tambem...assim talvez ele desista de atacar vc...

[cordeirog3]

ataca ele tambem...assim talvez ele desista de atacar vc...

Ai começa o quebrar pau.

[multlink]

E como disse o Sergio senta e chora!!

[pabloferretti]

Ele não tem mais nenhum AP, agora ele fica da casa dele com uma antena apontada para a minha torre fazendo graça, mas como eu tinha falado antes, depois que criei os APS virtuais com o mesmo SSID e MAC diferente, diminuiu bem o problema.

ataca ele tambem...assim talvez ele desista de atacar vc...