Ataque hacker no meu MK

[Gabriel123]

Pessoal estou com um problema.... estou sendo floodado por um CAT-NET ...

Todo dia a noite la pelas 18Hrs o cara comessa a derruba meus MK ...

O que ele faz é o seguinte : Clona MAC e IP de algum usuario meu e comessa a derruba o MK...
No inicio ele derruba todo o provedor... Pq meus MKs estavam apenas como bridged e o gateway ficava em um servidor no provedor...

Ai eu isolei a ap que ele conectava com um outro MK servindo como gateway ...
Conseguindo isola o ataque dele a 1 ponto de acesso ...

Mas o mais estranho eh q nao aparece trafego anormal na ETH e nem trafego na wireless...
Me falaram que esse ataque pode ser em trafego nao ip ...

Nesse MK tenho 3 redes ...

Wireless-4
Wireless-5
Wireless-17

Eu corto a rede 4 os pings voltao ao normal por uns 60 segundos ai volta a cai de novo...
Ai eu corto a rede 5 e coloco no ar a rede 4 e volta ao normal...

E ele fica clonando MAC de um lado e do outro....

Eu dexo a rede do ataque liberada e vo desativando os clientes ... ai chego em 1 cliente q eh o mac q ele usa... Ai eu bloqueio esse mac e ele clona outro...

NAO E PROBLEMA DE CONFIGURACAO... Pois eu sei quem esta fazendo isso...

Alguem ja passou por isso?? Que tipo de ataque ele esta usando?? Tem como bloquear isso??


Obrigado ai pessoal ... estou contando com a ajuda de voces

[wala]

coloca wpa2 na sua rede e o melhor jeito

[Gabriel123]

Cara...

so uma pergunta simples: Porque? vantagens?

editado:
Pq eh facil facil o cara pega a senha na casa de um cliente... e continuar com a festa...

[MorpheusX]

To passando por isso... Meu 2 semanas de dor de cabeça, mas ja estou resolvendo isso, como eu usava o APs ECB-3500 da SENAO EnGenius foi ae que descobri o caso todo, toda vez aparecia um MAC FAKE ou seja um espaço vaziu na tela com o sinal -97 a -100, o cara conseguia deixa o provedor totalmente lento e sem duvida nenhuma sem conexao na torre que ele conectava, entao coloquei os MKs para cima 4 rb33 cada uma com 2 cartoes... um cartao SENAO e outrao R52n... Mas infelizmente no MK nao aparecia o mac clonado e nem dava pra saber quem era o infeliz... Voltei tudo para os APs mesmo e comecei a ver que o MAC clonado era de um cliente muito estranho, que resentemente tinha feito a inscrição dele, ate blz, travei o MAC dele e pronto... Parou a bagunça, logicamente vejo que pode piorar a sintuacao em breve se o mesmo tentar pegar outro MAC, entao ja estou providenciando a mudança de tudo para WAP ou outro tipo de criptografia... infelizmente tenho muito clientes com USB e Placas PCI, mas vou lançar no proximo boleto que esteremos fazendo essa mudança para todos nossos clientes...
Outra solução que encontrei e ao longo prazo, mudar todo meu sistema para 5.8, usando no clientes radio 5.8 da Kozumi (CPE), estou esperando ficar homologado o equipamento pela anatel, assim sem duvida nenhuma eu nunca mais terei problemas tao cedo com clonagem de mac... Ja que nao e tao facil encontrar uma PCI ou USB ou ate mesmo um notebook 5.8...

Morte aos clones... Star Wars (War Clones)...

[tmelooliveira]

Use criptografia, radio nos clientes, controle de acesso nas rb, controle de acesso no servidor..
Provavelmente resolve... abraço

[AndrioPJ]

rede /30
alem de IPxMAC, tente usar usuario e senha tbm

se for rede cabeada, use algum switch com vlan
se for rede wireless, controle o acesso nos AP: use criptografia individual (wpa de preferencia), isole os clientes nos AP (para nao se enchergarem).

[edcomrocha]

USe pppoe e wpa2, acho que resolve tambem, ahh controle de acesso nos radios tambem ok

Abraços

[ultralaser]

creio q precisa rotear a sua rede no pop, outra coisa se vc sabe quem é a pessoa procure provas e denuncie pois isto é crime

[wala]

Só usar radius ai quero ver pegar senha ou se não usa chave individual atribuido ao mac no mk

[seniDEac]

perguntinha básica... como vc sabe quem é?

[Gabriel123]

cara eu sei kem eh pq vieram me falar no provedor e o cara ta com 3 grade em cima da casa

[seniDEac]

aff...

nem falo nada...

olha.. eu já passei por isso...
posso te falar como foi... e... o que fiz...

mas já te aviso. vai ser fogo...

primeiro pq a lei.. é ..lenta...
mas claro.. tem que denunciar.. pq.. ninguém pode usar antenas sem ter autorização. O máximo de um AP wireless.. é uso interno... bom.. o básico seria anatel nele..

logo o que eu fiz, arrumei amizade com os policiais, e com um investigador, fiz uma denuncia e um BO de invasão e doados sendo roubados de clients do meu provedor,

os caras foram na casa do tal fulano, e filmaram tudo. Com aâmera fotográfica mesmo, levaram computadores, pra perícia, pq.. roubar banco é meio pessado.... é crime digital, pegaram os APs .. pra pericia tbem...

ou seja... limparam ele... e como esperávamos tudo foi comprovado..
ae pintou anatel na jogada... e multas pra ele...
ae eu processei ele .. e mais multas ...

fiz questão de colocar no jornal, e avisar todo mundo falando assim : "gente, crime digital é perigoso! olha esse cara.. etc etc etc"

mas eu nunca apareci.
e meu provedor nunca mais teve QUAL QUER problema....



bom.
com relação ao MKT...
1) BLOQUIEO todos pelo MAC.. direto na torre... ou seja.. se um uusário não tem seu MAC registrado nem conecta... nem "ouve" nem tem como invadir.. PQ o POP nem responde.
no WinBox essa opção fica direto na inferface de cada placa de rádio, vá na aba "wireless" e desmarque a opção "default autenticate" DETALHE, NA opção wireless do mkt, a aba "access list" tem que conter todos os liberados..

2) wep.. wpa.. todos estes ajudam, claro... mas o trabalho que dá qdo tem que fazer manutenção.. eu acho dicutível... ainda mais se vc colocar uma chave pra cada cliente... vc já fez isso? é... no mínimo... bemmm burocrático..

3) eu prefiro bloquear o MAC, na torre como eu falei.. e amarrar com o IP... .... assim eu sempre sei quem é quem... e, é suuper dificil pra neguinho invadir.. pq ele pensa.. "nao conecta.. esse provedor é uma droga.." nem vou continuar... devo estar longe.. ou minha antena com defeito.."

espero ter judado...

[]s

[danilosceu]

cara eu sei kem eh pq vieram me falar no provedor e o cara ta com 3 grade em cima da casa

muda sua rede pra b/g
ja passei por isso.
ele deve ta usando algum sniffer, muda pra bg ou ve se tem algum usando algum ip na faixa 0, 10.12.12.16
se sim me fala que te ajudo a bloquear o danado.

[Gabriel123]

cara coloquei criptografia wep ... uma chave por cliente... aguento o lazarento por uma semana... ateh ele kebra a wep ... ou pedi pros amigo dele...

eu ja tenho bloqueio de mac na torre... devido a problemas antigos q eu ja infrentei...
ja estou sem o default autentication...
o estranho eh q nao aparece o cara conectado nas minhas apes... deve clona mac ...

=============

o que eu ganho mudando a minha rede pra B+G ?? os clientes nao vao terproblemas em se conectar?
e essa de usa ip na faixa 0 ?? so me explica o qq tem isso haver?? eu uso as classes 192.168.xx.xx..

[seniDEac]

GABRIEL...

como vc bloqueia MAC na torre? é mkt?
vc impede que os clientes "se vejam" ? pq ae.. ele nao teria como escanear MACs.. sacas?

AGORA:
tem uma coisa.. Bem legal.. se o cara quebra tudo...
mas dá um trabalho..

Você poderia colocar um AP. do lado da casa dele.. com TODAS as características.. da sua torre.. navegando inclusive!!

esperar ele conectar...
AE. é SÓ escanear ele todo...
macs... ips... monitorar o que ele faz... tcp dump é básico...

ter informação... ver de quem ele clona mac.. mas teria que ser um pop ..exatamente como o seu!
pra monitorar ele...
se tiver hotspot ver de quem ele usa senha...
entende?

trabalho de espião mesmo.
dica.. não pode ser um POP muito potente... senão outras pessoas vão se conectar também...
um note ..com uma antena pequena já já resolveria..

[]s Sena

[Gabriel123]

CORRETO... e a parte de muda a red epra B+G??


cara qnt tempo demoro pra atenderem sua denuncia??
como vc comprovou pra policia q era ele estava cometendo um crime??

[seniDEac]

cara qnt tempo demoro pra atenderem sua denuncia??
como vc comprovou pra policia q era ele estava cometendo um crime??

essa pergunta foi pra mim?
bom.. essa parte ae de cima .. onde eu dei uma de espião.. eu monitorei o cara... vi de onde ele pegava senhas. ou seja dos 3 amigos dele onde ele "emprestava" senha de hot spot... e como ele snifava a rede.. pra ter MACs..

ae. espulsei os amigos dele.. (com uma conversinha amigavel....)
depois coloquei uma antena direcional, sólida, com amplificador de 1W, a duas casas de distância da casa dele...
com os essid que usava na minha torre. A antena sólida não deixa vazar sinal... logo eu só afeto ele.
tudo escondido. pra não dar na cara de jeito nenhum

agora eu sei que ele não tem mais como usar net a rádio de ninguém.

OUTRA:
no outro post que coloquei.. eu expliquei lá..
chamei a policia... avizei que o cara tinha roubava conta... e que já tinha visto ele usar vários bancos de uam vez.. que PODERIA ser hacher roubando senha...

dei um BO.. e entreguei tudo pro tal investigador...
que por sua vez baixou lá com tudo!! levaram micro, antenas roteador.... telefones.. tudo..

qdo eles fazem isso, fazem uma perícia no micro do cara... descobrem tudo....
que por sinal tinha "culpa no cartório!"

ae eu processei ele.. e chamei a anatel..
e coloquei várias noticias no jornal "roubar net é crime!" olha esse cara !!

[]sSena
ps: o cara.. tinha umas coisas bemmmm suspeitas na máquina dele sim...
e se estrepou por isso. e ficou comprovado que ele roubava contas pra acessar a net tbem

[Gabriel123]

hum..... gostei da acusacao...

se duvidar o meu "amiguinho hacker" tem varias coisas suspeitas tmb... e mesmo q nao tenha nada ele é metido a tecnico... concerteza tem cds pirata... oq ja ferra bastante com ele...

vou colocar uma antena numa rb com cartao de 1W ... a uns 50 metros da casa dele....

e esperar o cara me derrubar ....

so um detalhe: quanto tempo levou pra atenderem sua denuncia??

[seniDEac]

entao meu

bastou eu falar pro investigador que o tal fulano, estava hackeando contas corrente que os olhos dele brilharam!!
ELE FOI ATRAS RAPIDÁO..

mas antes eu fui falando com ele.. fiz amizade... com uns policiais... pedi indicacoes..

MAIS UMA COISA:
MEU.. fica na moita ... nao aparece.. mesmo pq nao precisa..

qdo colocar a rb no ar.. deixe tudo funcionando pra poder colher provas.. inclusive com net...pra ele nao suseitar
tcpdump na veia...
veja que IPs ele usa.. MACs.. senhas...
grava tudo...

derruba ele... bloqueia os MACs que ele usou... veja como ele se move. e como volta a invadir..

se ele [e esperto em roubar vc.. vc [e mais inteligente em pegar ele

sena

[standart]

Bom amigo, como ja foi citado por alguns colegas acima, utilização da WPA2 especialmente com uma chave para cada cliente, te ajudaria bastante. No entanto, você ainda assim fica vulneravel a ataques na camada 2, que pelo que me parece se ele estava derrurando alem dessa base as outras tb, ele deveria estar usando ataque de arpspoofing. Leia esse material apresentado no MUM 2009 pelo Maia:

http://mum.mikrotik.com/presentation...mada2_Maia.pdf

Os videos estão disponiveis em:

Tiktube
Tiktube

Espero te-lo ajudado

Abraços

entao meu

bastou eu falar pro investigador que o tal fulano, estava hackeando contas corrente que os olhos dele brilharam!!
ELE FOI ATRAS RAPIDÁO..

mas antes eu fui falando com ele.. fiz amizade... com uns policiais... pedi indicacoes..

MAIS UMA COISA:
MEU.. fica na moita ... nao aparece.. mesmo pq nao precisa..

qdo colocar a rb no ar.. deixe tudo funcionando pra poder colher provas.. inclusive com net...pra ele nao suseitar
tcpdump na veia...
veja que IPs ele usa.. MACs.. senhas...
grava tudo...

derruba ele... bloqueia os MACs que ele usou... veja como ele se move. e como volta a invadir..

se ele [e esperto em roubar vc.. vc [e mais inteligente em pegar ele

sena