+ Responder ao Tópico



  1. #1

    Padrão Trojan disparando contra Ap Mikrotik

    Olha só pessoal,


    Derrepente clientes de uma torre começaram a reclamar de lentidão, fui ao winbox e percebi que o tráfego estava 2 mb no rx do ap, quando olhei no hotspot um cliente sozinho tava enviando, quase, os dois megas, verifique pelo torch e descobri que na verdade não estava sendo destinado este trafego para a internet, na verdade era um ataque icmp ao Ap, que embora não gerasse trafego no link de internet, acaba com a perfomance da rede, nenhuma regra de firewall ajudou, mesmo bloqueando tudo, ele continua disparando, tive que ir até o cliente e pegar a maquina dele pra arrumar.

    O nome do danado é netsh o mesmo daquela famos aplicativo de procurar vunerabilidade na rede.

    se alguem sabe de alguma coisa por favor comente.

  2. #2

    Padrão

    Amigo, pode explicar melhor "mesmo bloqueando tudo" não funcionou?



  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por brenovale Ver Post
    Amigo, pode explicar melhor "mesmo bloqueando tudo" não funcionou?
    Normal, se vc bloqueia tudo, na camada 3 (IP) o ataque tem que chegar na interface para poder ser bloqueado... este é o problema.

    JHONNE, não tem remédio para isto, infelizmente. O que é pior, isto ai era um cliente, imagina quando é um sacana clonando MAC e acessando sua rede (neste caso tem remédio, cripto e autenticação).

    O que poderia ser feito (estou trabalhando nisto) é um script que verifica qual o IP que está gerando este tráfego demoniaco, joga numa Address List por um determinado período, consulta na tabela ARP o MAC e na Access List desabilita o mesmo (não deixa ele conectar via wireless). Essa Address List tem que funcionar por estágios, tipo quem está no estágio 1 fica bloqueado por alguns minutos, no estágio 2 por uma meia hora e no estágio 2 só ligando para o suporte (hehehehe).

    Esta idéia ocorreu em conversa com um aluno e com outro trainer no curso Mikrotik que ministramos em João Pessoa, já tem 1 mês, mas até agora não deu para colocar em prática (correria d+).

  4. #4

    Padrão

    Me ocorreu o seguinte,

    mais uma vantagem em usar nano station, como ele tem controle de trafego no sistema, este tipo de ataque por exemplo ficaria limitado no nano sem prejudicar a torre.



  5. #5
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por JHONNE Ver Post
    Me ocorreu o seguinte,

    mais uma vantagem em usar nano station, como ele tem controle de trafego no sistema, este tipo de ataque por exemplo ficaria limitado no nano sem prejudicar a torre.
    Não só o NS, qq radinho de plástico que o firmware tenha limitação de banda.

  6. #6

    Padrão

    Então basta implementar nesse script, q o sergio está desenvolvendo, as opção de "AP Tx Limit" e "Client Tx Limit" na regra de access do "indivíduo" q está provocando este ataque. Assim, coloca um limite de banda baixo ou faz em estágio como tmb o sergio falou.



  7. #7

    Padrão

    Citação Postado originalmente por kryseck Ver Post
    Então basta implementar nesse script, q o sergio está desenvolvendo, as opção de "AP Tx Limit" e "Client Tx Limit" na regra de access do "indivíduo" q está provocando este ataque. Assim, coloca um limite de banda baixo ou faz em estágio como tmb o sergio falou.
    regras de limitação de banda no ap não adianta, o que o sérgio ta tentando fazer é uma espécie de regra que retire o cliente que bloquei o cliente no access list caso o problema seja identificado na maquina dele,

    lembrando cliente TX limite funciona, mas RX limit só quando se recebe de outro sistema mikrotik.

  8. #8

    Padrão Acho que to com o mesmo problema....

    Citação Postado originalmente por JHONNE Ver Post
    Olha só pessoal,


    Derrepente clientes de uma torre começaram a reclamar de lentidão, fui ao winbox e percebi que o tráfego estava 2 mb no rx do ap, quando olhei no hotspot um cliente sozinho tava enviando, quase, os dois megas, verifique pelo torch e descobri que na verdade não estava sendo destinado este trafego para a internet, na verdade era um ataque icmp ao Ap, que embora não gerasse trafego no link de internet, acaba com a perfomance da rede, nenhuma regra de firewall ajudou, mesmo bloqueando tudo, ele continua disparando, tive que ir até o cliente e pegar a maquina dele pra arrumar.

    O nome do danado é netsh o mesmo daquela famos aplicativo de procurar vunerabilidade na rede.

    se alguem sabe de alguma coisa por favor comente.
    Mas não to conseguindo identificar o cliente..

    da uma olhada neste meu post.

    https://under-linux.org/forums/mikro...uito-alta.html

    qualquer luz seria bem vinda...



  9. #9

    Padrão

    Citação Postado originalmente por bnet Ver Post
    Mas não to conseguindo identificar o cliente..

    da uma olhada neste meu post.

    https://under-linux.org/forums/mikro...uito-alta.html

    qualquer luz seria bem vinda...

    Cara eu não sei se seu problema eh igual ao meu, no entanto, o meu não gera consumo no link, há apenas disparo de icmp ao ap, não há como bloquear como o sérgio postou aki mesmo neste tópico, o que podemos fazer é identificar o cliente, no entanto mesmo que le não esteja logado (caso do hotspot) ele continua disparando, então identifique o ip com torch, verifique o mac e bloqueie no access list, se for cliente vai ligar reclamando. se ataque, ela vai trocar o mac e continuar fazendo a mesma coisa.

    O que pode minimizar o problema é criptografia, no entanto, ainda fica passivo de ataque desde que se conheça a chave.

    To fazendo de tudo para conseguir comprar Nano Station por um preco em conta, porque ai posso resolver quase todos os meu problemas:

    -Vou controlar a banda também no nano, evitando esse tipo de ataque.

    vantagens:
    -Não há perdas com cabo;
    -O cliente não pode trocar o mac;
    -A criptografia é mais eficiente;
    -5.8 é menos poluido;
    -O throughput é muito maior;

    To mudando...