Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão O que é este ataque?

    O que será este ataque que consegue conectar e usa porta 56? tenho como bloquear esse mac para não conectar na interface?
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         ataque.jpg
Visualizações:	293
Tamanho: 	195,8 KB
ID:      	3906  

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Não tem nada na porta 56... pelo menos não vi.

    Esse MAC (final 56) está tentando conectar e não está listado na ACCESS LIST ou então porque não tem a criptografia correta, então o sistema está chutando mesmo... ou seja, ele é banido, não conecta.



  3. #3

    Padrão

    mas como ele aparece connected em algumas linhas??

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por fernandofiorentinn Ver Post
    mas como ele aparece connected em algumas linhas??

    Porque é assim que funciona... o cara (MAC) se conecta e em seguida é chutado.



  5. #5

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Porque é assim que funciona... o cara (MAC) se conecta e em seguida é chutado.

    ENTÃO ....tava nervoso e confundi o final do mac com porta. Mas saber que fico mais tranquilo em saber que o o conected ele conecta e depois não tem a criptografia e a mk bani . Obrigado pela explicação sergio.

  6. #6

    Padrão

    o Sergio, eu testei aqui e se o cara nao tem o mac na access list, ele nao aparece no log como connected nao.



  7. #7

    Padrão

    Citação Postado originalmente por fernandofiorentinn Ver Post
    o Sergio, eu testei aqui e se o cara nao tem o mac na access list, ele nao aparece no log como connected nao.

    Como tenho criptografia , deixo sem cadastro de mac. Default authentication, então o cara poe uma senha qualquer e entra , a senha não bate e o mk bani ele. Acho que é isso.

    Mas ta dando umas loucuras aqui que quase que eu to ficando louco, erro no dhcp, e sem contar que vou no cliente meço o sinal , la ta -65 chego aqui vejo no mk ta -75. Isso ta me deixando louco.
    Última edição por FernandodeDeus; 03-04-2009 às 08:51.

  8. #8

    Padrão

    Isso se vc usar controle de MAC, access list, ele nunca vai aparecer em LOG - Conected..
    agora se vc usa criptografica, ai sim ele aparece normal, e depois aparece Desconectd... devido a senha errada...



  9. #9

    Padrão

    Citação Postado originalmente por FernandodeDeus Ver Post
    Como tenho criptografia , deixo sem cadastro de mac. Default authentication, então o cara poe uma senha qualquer e entra , a senha não bate e o mk bani ele. Acho que é isso.

    Mas ta dando umas loucuras aqui que quase que eu to ficando louco, erro no dhcp, e sem contar que vou no cliente meço o sinal , la ta -65 chego aqui vejo no mk ta -75. Isso ta me deixando louco.
    Fernando, quando voce diz que bani ele, significa isso que ele vai bloquear permanentemente aquele mac?
    Ou se ele voltar com a senha correta, aí conecta legal?

  10. #10

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    Fernando, quando voce diz que bani ele, significa isso que ele vai bloquear permanentemente aquele mac?
    Ou se ele voltar com a senha correta, aí conecta legal?

    então , ai não sei, o cara ta tentando conectar faz 3 dias e não sei se tem como bloquear este mac de conectar e ficar tentando acertar a senha.



  11. #11

    Padrão

    Respondendo a algumas questões.
    Quando se usa criptografia, ao tentar se conectar em uma rede protegida por criptografia você se conecta, porem quando o mk vê que a chave esta errada, ele expulsa o mac da rede, porem ao tentar se conectar novamente vai acontecer o mesmo processo.

    Fazendo pelo access list (É o que eu uso) ele simplesmente não deixa conectar, quando mac pede a solicitação para se conectar na rede o mk ve que esse mac nao esta cadastrado e não deixa conectar, por isso não aparece no log.

  12. #12

    Padrão

    adiciona esse mac ai na access-list e desmarca as opçoes forwarding e auth... q ele nao conecta mais..



  13. #13

    Padrão

    Citação Postado originalmente por FernandodeDeus Ver Post
    Mas ta dando umas loucuras aqui que quase que eu to ficando louco, erro no dhcp, e sem contar que vou no cliente meço o sinal , la ta -65 chego aqui vejo no mk ta -75. Isso ta me deixando louco.
    Se vc tiver fazendo a leitura do sinal que está chegando na casa do cliente, e do sinal do cliente que está chegando na sua torre, está certo mesmo, são 2 coisas diferentes. Se vc rodar o netstumbler no pc do cliente e ver o sinal da sua rede lá, com certeza será diferente do sinal do seu cliente no winbox. Seria uma coincidência e nada mais que isso, se fossem os mesmos.

    Se você está checando tudo no winbox, e quando vc tá na casa do cliente bate -65 e quando sai de lá vai pra -75, aí sim, tá com variação mesmo. Acontece, pode ser fruto da interferência, mais clientes conectados no mesmo rádio quando você fez a segunda leitura, a antena do cara balançando, mil coisas. Aí é checar pra ver se é algo do qual você tenha influência ou não. Não existe regra pra isso, vai na intuição mesmo.

  14. #14
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    Fernando, quando voce diz que bani ele, significa isso que ele vai bloquear permanentemente aquele mac?
    Ou se ele voltar com a senha correta, aí conecta legal?

    Não, ele fica pentelhando o tempo todo.



  15. #15

    Padrão

    Então , o que fico pensando é no gasto de processamento desnecessario em ficar o dia inteiro conferindo senha para ver se esta correta, será que posso ter algum problema?

  16. #16

    Padrão

    Gostaria de saber se tem um manual de logs para que possamos consultar e saber do que se trata cada um......

    Lembrandoo que esses Macs são de clientes meus.....

    O que significa os logs:

    1- Not in local ACL by default acept

    2- disconected, group key exchange timeout

    3- baned (last failure - unicast key exchange timeout)

    4- Sent deauth

    Por favor me deem uma força os mais experientes.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         log1.jpg
Visualizações:	69
Tamanho: 	129,8 KB
ID:      	3958   Clique na imagem para uma versão maior

Nome:	         log2.jpg
Visualizações:	59
Tamanho: 	26,2 KB
ID:      	3959  

    Última edição por FernandodeDeus; 11-04-2009 às 09:49.



  17. #17

    Padrão

    Amigo, aposto que vc não usa cripto, talvez esteja ai a raiz de seus problemas.

    Abraços

    Jodrix

  18. #18

    Padrão

    Citação Postado originalmente por jodrix Ver Post
    Amigo, aposto que vc não usa cripto, talvez esteja ai a raiz de seus problemas.

    Abraços

    Jodrix
    uso wpa2 - tkip



  19. #19

    Padrão

    Eu uso cripto, mas acho que estes ataques vem pelo link.
    Pois eu já deixei os rádios desligados e só o servidor ligado e houve ataques deste tipo.
    Era comum aparecer por ssh. Desativei e dias atrás apareceu por ftp. Mas todos deu mensagem de " login failure".

  20. #20

    Padrão

    ..............................
    Citação Postado originalmente por FernandodeDeus Ver Post
    Gostaria de saber se tem um manual de logs para que possamos consultar e saber do que se trata cada um......

    Lembrandoo que esses Macs são de clientes meus.....

    O que significa os logs:

    1- Not in local ACL by default acept
    R: o mac nao esta na lista de acl e o padrao eh aceitar (default authenticate marcado)
    2- disconected, group key exchange timeout
    R: troca de chaves deu timeout
    3- baned (last failure - unicast key exchange timeout)
    R: banido, por excesso de tentativas;erros
    4- Sent deauth
    R: ap enviou pacote de deauth para o cleinte (forçando ele desconectar do radio)
    Por favor me deem uma força os mais experientes.