Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Provavel Ataque DOS

    Montei Uma estação "Licenciada", onde ao lado já tem uma torre " sem licença ", ele só atendia o poder publico e eu entrei na cidade para atender os usuarios residenciais e comerciais, e por minha empresa ter licença SCM fomos procurados para prestar serviço para a Prefeitura, então comecei a ter problemas, meus clientes caem toda hora e quando olho no log encontro o seguinte:

    21:14:44 wireless,info 00:F0:1F:0F:32:[email protected]: disconnected, received deauth: class 3 frame received (7)

    e isso é o tempo todo com varios radios da rede, e pesquisando encontrei o seguinte material:

    http://www.unibratec.com.br/jornadac...io/UFPEAGL.pdf

    onde diz:

    Negação de Serviço (DoS – Deny of Service) - é possível forjar pacotes do tipo De-Authetication (i.e. que

    invalidam o cliente da rede) e enviá-los em
    broadcast ou diretamente para um cliente específico usando o

    seu endereço MAC associado. Ferramentas de domínio público como o void116 e aircrack7 implementam

    este tipo de ataque. O efeito deste ataque é praticamente instantâneo.

    Então o que posso fazer para evitar esse ataque ? Tem como ?

    por padrão utilizo chave wep 64 bits.

    RB532-A / Mini-Pci SENAO NMP 8602 / Router OS 3.18 / SETORIAL Hyperlink 14 Dbi 90º / FONTE PC 12V 15 Ah.

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Se for o ataque demonstrado no paper, não tem como. Como diria o sábio: "senta e chora".

    Esta é uma falha do 802.11, então para ficar livre disto, pare de usar 802.11 (se todos os clientes forem Mikrotik, por exemplo, poderia usar a modulação em 5 ou 10 MHz, pois desta forma um cliente comum não poderia enviar o deauth).



  3. #3

    Padrão Caramba em... to frito...

    Mas vou pedir para a Tia ANA visitar ele, pelo menos dou uma ferradinha nele. agora que sistema posso implantar para evitar isso ?

    Citação Postado originalmente por sergio Ver Post
    Se for o ataque demonstrado no paper, não tem como. Como diria o sábio: "senta e chora".

    Esta é uma falha do 802.11, então para ficar livre disto, pare de usar 802.11 (se todos os clientes forem Mikrotik, por exemplo, poderia usar a modulação em 5 ou 10 MHz, pois desta forma um cliente comum não poderia enviar o deauth).

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por pabloferretti Ver Post
    Mas vou pedir para a Tia ANA visitar ele, pelo menos dou uma ferradinha nele. agora que sistema posso implantar para evitar isso ?
    Se usa 802.11 não existe sistema algum que evita isso.. conforme mencionei acima.



  5. #5

  6. #6

    Padrão

    Se vc usar WPA2 não resolve?



  7. #7

    Padrão .

    usa pppoe, se continuar é um cliente seu te sacaneando

  8. #8

    Padrão WPA e WPA2

    Testei os 2 e não resolveu.

    Citação Postado originalmente por lipeiori Ver Post
    Se vc usar WPA2 não resolve?



  9. #9

    Padrão Ja uso

    O problema não é esse, é o seguinte ele fica enviando um frame de desassociação para o AP, então o ap para de comunicar com o cliente até que ele peça a associação novamente, ai é quando o infeliz envia novamente o frame de desassociação.

    Citação Postado originalmente por fernandofiorentinn Ver Post
    usa pppoe, se continuar é um cliente seu te sacaneando

  10. #10

    Padrão virus

    eu ja tive problema semelhante aqui, mas era virus no cliente



  11. #11

    Padrão

    amara o ip dos clientes no acess list
    que ele nao vai ter mais acesso ao ap
    soh c ele clonar o mac de algum cliente seu
    c nao babau..........
    e uma coisa mesmo
    esse cara nao tem o que fazer da vida mesmo

  12. #12

    Padrão

    Citação Postado originalmente por Pupa Ver Post
    amara o ip dos clientes no acess list
    que ele nao vai ter mais acesso ao ap
    soh c ele clonar o mac de algum cliente seu
    c nao babau..........
    e uma coisa mesmo
    esse cara nao tem o que fazer da vida mesmo
    Vocês não entenderam? Não é um cliente esculhambando nem uma máquina mal-configurada, é uma falha do protocolo. Uma pessoa com uma antena e uma placa PCI apontada pra sua torre, mesmo sem ser cliente, pode fazer esse ataque.



  13. #13

    Padrão Possivel Solução

    Seguinte, eu descobri como o ataque funciona e teoricamente como defender, é um pouco chato porque pode derrubar a conexão do cliente por alguns segundos ( pppoe ) mas se o cliente tiver IP-FIXO, ele acaba nem sentindo o problema, bom o ATACANTE envia um FRAME de DESASSOCIAÇÂO para o AP com o MAC do cliente, assim caso o cliente esteja utilizando a conexão o seu rádio é obrigado a re-associar novamente, isso de segundo em segundo, mas o ATACANTE não fica o dia todo em frente ao PC fazendo isso, ele seleciono o MAC do cliente e envia para o AP repetitivamente, eu descobri que se trocar o MAC do AP o ATACANTE vai ter que escanear a rede novamente porque o destino do ataque não é o cliente e sim o AP, é possível criar um script no MK para trocar o MAC do AP de tempos em tempos, mas isso derruba algumas conexões em PPPOE principalmente se tiver com trafego no cliente no momento da troca, mas é uma maneira de desmotivar o ATACANTE, tendo em vista o trabalho que ele vai ter de ficar a todo momento trocando o destino do ataque, bom espero que isso sirva de ajuda para quem passar por esse problema, bom mas isso não funciona com todos os rádios "principalmente o zinwell" funciona bem com radios usando o FIRMWARE da aprouter.

    " Talves uma solução a nivel de SISTEMA, seria o DESENVOLVEDOR colocar um código para ignorar o frame de desassociação vindo do cliente, e desconectalo apenas por falta de comunicação assim nosso PROTOCOLO 802.11b/g ficaria um puco mais robusto"
    Última edição por pabloferretti; 31-03-2009 às 18:51.

  14. #14
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por pabloferretti Ver Post
    Seguinte, eu descobri como o ataque funciona e teoricamente como defender, é um pouco chato porque pode derrubar a conexão do cliente por alguns segundos ( pppoe ) mas se o cliente tiver IP-FIXO, ele acaba nem sentindo o problema, bom o ATACANTE envia um FRAME de DESASSOCIAÇÂO para o AP com o MAC do cliente, assim caso o cliente esteja utilizando a conexão o seu rádio é obrigado a re-associar novamente, isso de segundo em segundo, mas o ATACANTE não fica o dia todo em frente ao PC fazendo isso, ele seleciono o MAC do cliente e envia para o AP repetitivamente, eu descobri que se trocar o MAC do AP o ATACANTE vai ter que escanear a rede novamente porque o destino do ataque não é o cliente e sim o AP, é possível criar um script no MK para trocar o MAC do AP de tempos em tempos, mas isso derruba algumas conexões em PPPOE principalmente se tiver com trafego no cliente no momento da troca, mas é uma maneira de desmotivar o ATACANTE, tendo em vista o trabalho que ele vai ter de ficar a todo momento trocando o destino do ataque, bom espero que isso sirva de ajuda para quem passar por esse problema, bom mas isso não funciona com todos os rádios "principalmente o zinwell" funciona bem com radios usando o FIRMWARE da aprouter.
    Sim, e eu tenho um script que faz o contrário do seu... procura os MACs dos clientes e APs, cadastra em um arquivo txt e fica o dia todo pentelhando... é assim que funciona cara, ninguém perde tempo na frente de PC.


    Citação Postado originalmente por pabloferretti Ver Post
    " Talves uma solução a nivel de SISTEMA, seria o DESENVOLVEDOR colocar um código para ignorar o frame de desassociação vindo do cliente, e desconectalo apenas por falta de comunicação assim nosso PROTOCOLO 802.11b/g ficaria um puco mais robusto"
    Isso já foi solucionado e implementado em vários sistemas como Mikrotik, Cisco, 3com, entre outros. Falta agora esses xing link implementarem também, pois desta forma os clientes poderão utilizar o método.



  15. #15

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Sim, e eu tenho um script que faz o contrário do seu... procura os MACs dos clientes e APs, cadastra em um arquivo txt e fica o dia todo pentelhando... é assim que funciona cara, ninguém perde tempo na frente de PC.




    Isso já foi solucionado e implementado em vários sistemas como Mikrotik, Cisco, 3com, entre outros. Falta agora esses xing link implementarem também, pois desta forma os clientes poderão utilizar o método.
    Bom então me diz a versão do MK que foi implementado isso a nivel de AP, porque já usei varias e não solucionou, e quanto ao script seu, é legal mas ainda bem que o atacante não é tão inteligente ele faz tudo manual ou usa algum programa meio lento, bem na hora que estava escrevendo o primeiro post, eu estava sendo atacado e foi quando tentei outra solução e até agora resolvel, criei alguns aps virtuais com o mesmo NOME mas com MAC's diferentes assim quando ele manda desconectar de um automaticamente conecta no outro, assim fazendo ele mudar o ataque para o outro mac, e isso é meio demorado, essa foi a melhor solução que consegui até agora!

    Abraços...

  16. #16
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por pabloferretti Ver Post
    Bom então me diz a versão do MK que foi implementado isso a nivel de AP, porque já usei varias e não solucionou, e quanto ao script seu, é legal mas ainda bem que o atacante não é tão inteligente ele faz tudo manual ou usa algum programa meio lento, bem na hora que estava escrevendo o primeiro post, eu estava sendo atacado e foi quando tentei outra solução e até agora resolvel, criei alguns aps virtuais com o mesmo NOME mas com MAC's diferentes assim quando ele manda desconectar de um automaticamente conecta no outro, assim fazendo ele mudar o ataque para o outro mac, e isso é meio demorado, essa foi a melhor solução que consegui até agora!

    Abraços...

    Mas será o benedito!!!! Leia o que escrevi... foi implementado em vários sistemas, como Mikrotik, Cisco serie Aironet, 3com, etc, etc. Não foi implementado em clientes meia boca que usam xing ling, então esqueça... agora se quer usar Mikrotik com Mikrotik, use a 3.22 que funcionará sem problemas. Quer usar com Cisco Aironet e seus clients (adaptadores), funciona sem problemas.

    Pesquise que encontrará as informações.



  17. #17

    Padrão ataca...

    ataca ele tambem...assim talvez ele desista de atacar vc...

  18. #18

    Padrão

    Citação Postado originalmente por terencerocha Ver Post
    ataca ele tambem...assim talvez ele desista de atacar vc...
    Ai começa o quebrar pau.



  19. #19

  20. #20

    Padrão

    Ele não tem mais nenhum AP, agora ele fica da casa dele com uma antena apontada para a minha torre fazendo graça, mas como eu tinha falado antes, depois que criei os APS virtuais com o mesmo SSID e MAC diferente, diminuiu bem o problema.

    Citação Postado originalmente por terencerocha Ver Post
    ataca ele tambem...assim talvez ele desista de atacar vc...