SOCORRO PESSOAL SENT DEAUTH MK V4.10

[naldo2008]

Bom dia pessoal estou com um problema de ataque em minha rede e ja vi varios topicos sobre o assunto aqui mesmo no forum sobre ataques que se trata de uma falha no padrao 802.11 mais que tem como inunizar..mais ja procurei achei um topico que o Sergio estava falando que e so mudar de 20 mhz para 10 ou 5 mais quando vou mudar na interface wireless da erro quando aplico desde ja muito obrigado TOP
https://under-linux.org/f143/evitar-...gundos-110114/ mais como posso fazer isso pois nao estou conseguindo sou iniciante ajuda por favor

[ediekes]

rapaz no cartao vc adiciona os clientes na acess list,? mas eu ja li sobre isso e este ataque de Deauth é um problema sério e uma falha, sem correção, do protocolo 802.11. acess list nao resolve nem usar criptografia tbm nao, esse é um problema serio so se vc começa a usar clocking, que são aquelas conf de 10 ou 5 mhz do Mikrotik, por exemplo. Varios sistemas, que utilizam atheros dão suporte ao mesmo, variando o nome apenas. Desta forma basta apenas o AP e cliente suportarem essa conf.

ativa o "Periodic Calibration" ou desative-o pra ver..

aqui eu fiz isso e "amenizo" BEM o Deauth.
ou vc usa sua rede em 5.8ghz

abraço

[granlabor]

Bom dia pessoal estou com um problema de ataque em minha rede e ja vi varios topicos sobre o assunto aqui mesmo no forum sobre ataques que se trata de uma falha no padrao 802.11 mais que tem como inunizar..mais ja procurei achei um topico que o Sergio estava falando que e so mudar de 20 mhz para 10 ou 5 mais quando vou mudar na interface wireless da erro quando aplico desde ja muito obrigado TOP
https://under-linux.org/f143/evitar-...gundos-110114/ mais como posso fazer isso pois nao estou conseguindo sou iniciante ajuda por favor

O log de deauth também aparece quando o sinal fica fraco demais...

Os MAC que estão aparecendo lá no log realmente são desconhecidos ou são dos seus APs?

Até onde sei, apenas o AP manda pacote de desassociação.
Como está o log na outra ponta?

Pro hacker mandar pacote de desassociação ele tem que fazer um MITM (homem do meio). Caso isso ocorra, não aparece um MAC totalmente desconhecido. Lá no seu log tem 3 diferentes, tenta descobrir se eles pertencem a algum cliente.



Presta atenção neste "causo":

Estava atendendo um cliente remotamente para solucionar problema de desconexão de um PTP em 5.8 GHz.

Apenas um enlace apresentava problema. Os outros funcionavam corretamente... Como não foi possível resolver remotamente, ele pagou passagem de avião pra eu ir ao local caçar o hacker...

Cheguei ao local, fui fazer vistoria visual do enlace e no meio do caminho havia um morro com árvores encobrindo parcialmente a outra ponta.

O pior de tudo, é que eu havia perguntado se a visada estava desobstruída e o cliente respondeu: "Claro que está, não sou burro !!!"

Antena relocada para contornar a visada parcialmente encoberta e o "hacker" nunca mais atrapalhou aquele enlace.

São causos da vida wireless... às vezes uma coisa simples dá um efeito tão grande que a pessoa fica paranóica e procura a solução no lugar errado.

Antes de procurar o hacker, verifique se a visada está realmente desobstruída e certifique-se que ninguém está poluindo a frequência.

Att,

ZéAlves

[ediekes]

é mesmo ze alves questao de hacker na rede é um dos problemas, e questao de sinal ruim tbm nos clientes é outra...

blz

[sergio]

O Mikrotik implementou proteção contra sent deauth tem um tempo. Mas só vale se ambos os lados possuírem suporte a esta implementação, que por sinal é pública. Só verificar o parâmetro Managment Protection no perfil (profile) de segurança.


Realmente tens que verificar se é ataque ou simplesmente um problema de equipamento em sua rede, conforme citado.

Ataque de deuth não tem homem do meio não. É bem simples, configura-se uma ferramenta para enviar um pacote de deauth com o(s) MAC(s) pretendidos. Para descobrir os MACs usa-se um airodump da vida e depois para enviar um ataque usa-se um aireplay ou congenere. Muito simples e se não possuir proteção... já era.

[ediekes]

So que la a pessoa marca qual opçao aqui no parâmetro Managment Protection no perfil (profile) de segurança. qual marca???

ai se eu fizer isso minha redevai ter colocar criptografia nela ai o problema é os clientes, que sem senha elas ja num conectam e com senha pronto..

vlw pelo post

abraço

[sergio]

Então não tem solução, conforme já viu em outros tópicos. Mas procure descobrir se isso é ataque mesmo; pode ser apenas problema específico de algum equipamento.

[naldo2008]

Bom dia pessoal me desculpe pela demora mais meu problema acho que nao seja equipamento pois ja troquei o cartao a antena RB tudo ja fui em todos os clientes e tudo normal quando estou tendo estes ataques todos os mac listado sao de meus cliente cadastrados no meu acess list mais como penso que seja ataque pois ate o mac do meu PC e do meu notbook esta dando essa msm mesmo ambos desligados e os clientes que nao cai da rede fica muito lento a navegação e so melhora quando mudo o canal...como posso configurar MANAGEMENT PROTECTION em allowed ou requerid pois quando coloco em requerid ninguem entra na rede?

[naldo2008]

devo colocar a mesma senha no acess list pois com ou sem ela os cliente conecta mais quando coloco em requerid dentro de Security profiles ai ninguem entra na rede da uma olhada acho que estou fazendo e besteira galera e como faço para mudar minha rede para 10 ou 5 mhz pois meu cartao e chip atheros e nao estou conseguindo devo mudar conforme esta nas fotos? da uma msm de erro que nao sei como resolver desde ja muito obrigado...

[ediekes]

esse erro que da é do seu data rates coloca o data rates default, olha o que ta setado la...
se tiver setado seta default
pq axo que ele deve ta setado de acordo com o tx power...
ds uma olhada aii

blz

abraço...

[granlabor]

Bom dia pessoal me desculpe pela demora mais meu problema acho que nao seja equipamento pois ja troquei o cartao a antena RB tudo ja fui em todos os clientes e tudo normal quando estou tendo estes ataques todos os mac listado sao de meus cliente cadastrados no meu acess list mais como penso que seja ataque pois ate o mac do meu PC e do meu notbook esta dando essa msm mesmo ambos desligados e os clientes que nao cai da rede fica muito lento a navegação e so melhora quando mudo o canal...como posso configurar MANAGEMENT PROTECTION em allowed ou requerid pois quando coloco em requerid ninguem entra na rede?

Naldo,

Se melhora quando muda o canal e logo depois volta a ficar ruim, PODE SER que realmente exista um espírito de porco por aí.

Você terá que obter dados para fundamentar sua suspeita. Até o momento, trata-se apenas de sinal ruim...

Faz o seguinte teste verificar se realmente é ataque:
a) Mude o canal e logo depois anote a intensidade de sinal de todos os seus clientes. Anote a intensidade no MK e também no rádio do cliente.

b) Mude novamente o canal e confirme a intensidade do sinal.
É importante fazer esta confirmação para ter certeza que vc está lendo a verdadeira intensidade de sinal do seu cliente e não a do hacker.

c) Quando a performance do cliente cair, confirme a intensidade de sinal dele.
Quando o hacker entra junto, ele ainda não estabeleceu o MITM, mas já está com tudo pronto pra concretizar o ataque. A indicação disso é variação da intensidade do sinal (para mais ou para menos).

Enquanto ele não possuir sua senha de criptografia, ele não escalona o ataque, mas prejudica a performance do cliente "forjado".

d) No mikrotik você pode ajustar access list e connect list para só aceitar conexão do cliente dentro de uma determinada faixa de intensidade de sinal. Exemplo: Se o seu cliente se conecta com -65 dBm, você estabelece a faixa de conexão entre -60 e -70.

Att,

ZéAlves

[naldo2008]

Ola Ediekes bom dia era o que vc falou la no da mesmo no date rates consegui aplicar a configuração para 2 Ghz 5 ou 10mhz mais ninguem conectou por que?tem alguma outra coisa que presciso fazer obrigado

[naldo2008]

Ola Granlabor bom dia como tinha falado meus cliente começa a cair e quando olho o log tem umas 10 x o mesmo mac querendo logar em apenas 1 segundo e por sinal esse mac e do meu notbook que esta desligado e isso acontece com todos os mac da minha rede...

[granlabor]

Ola Granlabor bom dia como tinha falado meus cliente começa a cair e quando olho o log tem umas 10 x o mesmo mac querendo logar em apenas 1 segundo e por sinal esse mac e do meu notbook que esta desligado e isso acontece com todos os mac da minha rede...

Cada nova informação que você passa, realmente caracteriza intrusão... O fato de um MAC inativo estar acessando a rede é no mínimo questionável. Infelizmente o cara já mapeou sua rede toda e ele sabe quem está inativo pra navegar no lugar deste cliente inativo.

Agora você terá que identificar como este cara conseguiu esses dados, terá que descobrir se ele é intruso interno ou externo?

Como é a estrutura de segurança da sua rede atualmente?
Qual a criptografia?
Está usando PPPoE?
Se já usa criptografia na rede, o cliente tem acesso ao rádio dele?
Se você usa placa PCI no PC do cliente, a sua senha de criptografia está lá pra quem sabe obter.
Passe mais informações importantes.

Att,

ZéAlves

[ediekes]

bom como foi citado acima passa pra gente como esta a sua rede.

abraçoo

[naldo2008]

Boa noite pessoal uso servidor PPPoE com criptografia WPA com controle de MAC no acess list tenho alguns clientes com placas PCI de chip set ralink e outros radios com firme APROUTER o curioso e que quando mudo o mac do cartao fica bom as vezes por horas mais depois tudo volta a ficar caindo e muito lento com perda de pacotes e ping muito alto mesmo pingando dentro da rede local olha essa foto aonde esta circulado em vermelho e um mac que esta logado com sinal bom e cliente ja visitado ok e o de azul mac de uma placa de rede de que troquei de um cliente pois a mesma estava com problema mais mac nao esta mais cadastrado no acess list e ainda fica dando sent deauth em 1 segundo ele chega a tentar conectar mais de 10x com o mesmo mac e de forma automatica tenta com outro e ate o mk desconectar o cliente realmente da rede ...

[naldo2008]

Oi Galera under-linux ainda continuo com problemas de log clientes caindo e rede lenta estou usando pppoe e wpa e quero passar para hotspot o que vcs acha?sera que pode melhor pois ja estou pederdendo meus clientes....desde ja muito obrigado

[granlabor]

Naldo.

O que está te matando são essas placas PCI.

Quando você instala o rádio dentro do PC do cliente, basta o cara pegar sua senha de criptografia no registro do windows.

Quase sempre é seu próprio cliente quem passa a senha para o intruso.

Enquanto tiver plaquinha PCI na sua rede, os clientes continuarão sendo derrubados. Mesmo que você implante PPPoE o intruso continuará tendo acesso a esse tipo de informação.

Você vai precisar reestruturar sua rede para algo mais seguro. Quantos clientes possuem plaquinha PCI?

Att,

ZéAlves

[naldo2008]

bom dia galera ja uso PPPoE e gostaria de usar HOTSPOT acho que + ou - 30 mais o problema maior e que mesmo quando mudei a senha da rede que so eu mesmo sei pois acabei de mudar continuou o log sent deauth continuou da mesma forma e so parou quando mudei o canal e o mac do cartao mais isso apenas dura uns 8 minutos ai começa tudo de novo e todos os cliente bloqueados no acess list liberado apenas minha maquina para teste e da o mesmo problema com senha de rede nova e tudo mais e o detalhe maior e que se eu mudar o canal digamos uma hora da manha minha rede ficar zera ate umas 09:00hs ai começa e fica o dia todo acho que pode ser invao em minha rede pelo meu concorrente...

[granlabor]

Olha so,

Não é nada disso que vocês estão pensando.

Vamos por partes.

Um pacote Wireless/Ethernet, visto na camada de enlaçe (Camada lógica) é composto de cabeçalho e dados. Ok ? O cabeçalho é tipo aquele envelope de cartinha que tem o lugar para botar o endereço do remetente e do recebente, blz ?

Pois bem, do ponto de vista da camada física (RÁDIO, os bits que realmente vão para o ar), um pacote ethernet é um pacote inteiro, não fazendo diferença entre dados e cabeçalho.


Aqui é que está seu problema.

Como o rádio sabe que há um pacote chegando ?

Ele não tem como saber de verdade. Ele apenas mede a POTÊNCIA de sinal presente no canal, e, se passar de um determinado patamar considera isso como um pacote e o recebe e tenta interpreta-lo.

Agora imagine que exista um ruído espúrio no canal, e ai ? Pois bem, a camada de RADIO/Física acredita ter recebido um pacote, e o passa para a camada de enlaçe/lógica.

O problema é que esse pacote, que tem origem no ruído, ou em algum pacote mal-formado, colisões, etc, chega com TODAS as informações inválidas. INCLUSIVE o cabeçalho.

O que a camada de enlaçe faz ? Finje que isso foi um pacote real e envia para o endereço remetente do pacote um pedido de deauth (QUEM ESTA MANDANDO DEAUTH É SEU MIKROTIK !!!) para que este resete a conexão.

SE foi um cliente real quem mandou o pacote, ele ira receber e resetar a conexão. SE foi espúrio, então provavelmente não existe esse MAC e o pacote de DEAUTH vai para o vazio, sem ninguem recebe-lo.

Sacou ?

O que está acontecendo ai no seu provedor, por esse raciocínio e outras coisas que eu refleti vendo seu screenshot é que você tem clientes demais no mesmo rádio, o que eleva a quantidade de colisões e leva a essa situação (Lentidão + Pacotes malucos resultado de colisões + Mikrotik enlouquecendo de enviar deauth).

Agora diz que eu não sou foda

Edit : Quanto ao mecanismo de segurança, você pode implementar o MPPE, dá um pouco de trabalho, mas pra quem usa PPPoE vale a pena.

No geral creio que você precisa de uma consultoria para normalizar seu provedor. Isso eu posso proporcionar à preços módicos... (Pô, deixa eu vender meu peixe tb né ?).

Jorge Aldo,

Claro que você pode vender seu peixe!

Com sua explicação ele vai entender melhor como funciona a desconexão de clientes com sinal ruim, ou uma rede com excesso de rádios...

Isso já foi abordado lá no comecinho do post e todos que estavam ajudando focaram na possibilidade de ser interferência de RF.

O assunto tomou o rumo em que está agora (hacker) depois que ele citou o notebook dele tentando se conectar quando o mesmo estava desligado.

Com a informação que ele passou, eu ajudei até onde eu pude.

Câmbio, desligo!