Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #21

    Padrão

    ah e mudar o seu ssid e ocultar também.......já fez isso ?

  2. #22

    Padrão

    sim amigo, foi justamente isto que eu fiz.

  3. #23

    Thumbs down veja isso

    Faz o q o perigoso falou.
    O que ele deve ta fazendo é colocar um outro ap com mesmo nome e canal que o seu em e ai aponta pro seu radio, e se o dele tiver amplificador ja era. Não deve sr sofft n.

  4. #24

    Padrão

    Amigo vc já fez este teste para ver se isto realmente funciona.

    Eu tenho quase certeza que não é rádio porque a rede é o meu SSID, mas, a rede é AD-HOC

    Agora são três pontos diferentes, já medi com o notebook, e para ser rádio seria complicado para mudar o MAC.

    A cada ataque ele muda o MAC, macs malucos mesmo, tipo aa:ee:ac:a1:aa:a6

    acredito que possa está utilizando um aplificador para cobrir minha rede, mas, o que me impressiona é meu rádio sumir mesmo, como se estivesse desligado.

    as vezes ficam até 10 minutos consecutivos fora do ar, sem aparecer nada no scan.

    Estou tomando algumas providências aqui para ver se consigo combater este ataque, mas, fico na espectativa que me ajudem a descobrir.
    Última edição por hqvnet; 01-11-2007 às 22:09.

  5. #25

    Unhappy

    Citação Postado originalmente por hqvnet Ver Post
    Amigo vc já fez este teste para ver se isto realmente funciona.

    Eu tenho quase certeza que não é rádio porque a rede é o meu SSID, mas, a rede é AD-HOC

    Agora são três pontos diferentes, já medi com o notebook, e para ser rádio seria complicado para mudar o MAC.

    A cada ataque ele muda o MAC, macs malucos mesmo, tipo aa:ee:ac:a1:aa:a6

    acredito que possa está utilizando um aplificador para cobrir minha rede, mas, o que me impressiona é meu rádio sumir mesmo, como se estivesse desligado.

    as vezes ficam até 10 minutos consecutivos fora do ar, sem aparecer nada no scan.

    Estou tomando algumas providências aqui para ver se consigo combater este ataque, mas, fico na espectativa que me ajudem a descobrir.
    Fiz, funciona, mas o mac fica o do radio amplificado q aponta pra o seu. E não muda como no seu caso.
    Mas ele pode fazer isso na opção clone de mac (nunca fiz isso) mas assim ele pode colocar qualquer mac e apontar pra seu AP e ai pode ta fazendo isso.
    Vc ja ocultou seu SSID?

  6. #26

    Padrão

    já sim, já alterei o ssid e já coloquei a criptografia e ssid oculto também.

  7. #27

    Padrão

    Citação Postado originalmente por hqvnet Ver Post
    já sim, já alterei o ssid e já coloquei a criptografia e ssid oculto também.
    já tentou trocar de ap com outro mac address ?

    Lee

  8. #28

    Padrão

    Amigo essa é uma das três providências que estou tomando para combater o ataque,estou colocando outro ap de marca diferente, com criptografica, controle de mac, ssid oculto para ver se eles conseguem derrubar também.

    Mas, quando ele ataca meu rádio para totalmente.
    Última edição por hqvnet; 02-11-2007 às 10:28.

  9. #29

    Padrão

    HOje ele realizou um ataque sem utilização de soft, simplesmente o rádio some, para mesmo, acredito que seja algo com amplificador, pois o rádio para, como se rebootasse

  10. #30

    Padrão

    Habilitei o log no rádio e tô vendo que o rádio reboota depois do ataque.

  11. #31

    Padrão

    humm. eu nao tenho calma .... chamava ele para um papo,

    passo 2: faria uma ocorrencia policial contra ele

    passo3: faria de tudo pra pegar ele no pulo e sentava o cacete nele...

  12. #32

    Padrão

    aqui se faz, aqui se paga, ele parou de atacar, e o rádio dele está dando bastante problema, caindo direto, o cara é tão sínico que não consegue resolver o problema dos equipamentos dele e além de tentar derrubar o meu sinal, quando o dele tá dando problema quer jogar a culpa pra cima de mim, para se justificar com os clientes dele. Mas, ele tá tendo o que merece, os clientes todos reclamando, o melhor de tudo, não precisei entrar nesse jogo sujo e desleal dele. A justiça se fez por si só.

    Vou aguardar pra ver o desenrolar daqui para a frente.

  13. #33

    Padrão

    Amigos consegui descobrir o que o ataque dele faz no meu rádio.
    Vejam o LOG, e me ajudem a corrigir esta falha no ap.

    192.168.6.100, é o ip do AP, depois disso o AP reinicia, já sei que ele clonou algum cliente para passar pelo controle de MAC.

    Me ajudem a corrigir esta falha.

    -03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r0 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r1 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r2 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r3 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r4 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r5 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r6 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r7 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*g j=12773
    11-03-2007 17:11:43 Kernel.Info 192.168.6.100 kernel: HTB init, kernel part version 3.6
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r0 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r1 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r2 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r3 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r4 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r5 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r6 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r7 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*g j=12765
    11-03-2007 17:11:43 Kernel.Info 192.168.6.100 kernel: HTB init, kernel part version 3.6
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r0 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r1 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r2 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r3 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r4 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r5 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r6 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r7 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*g j=12756
    11-03-2007 17:11:43 Kernel.Info 192.168.6.100 kernel: HTB init, kernel part version 3.6
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*c10050 m=2 t=239674 c=78408 pq=0 df=60000000 ql=0 pa=0 f:
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*c10050 m=2 t=671088 c=204734 pq=0 df=60000000 ql=0 pa=0 f:
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*c10051 m=2 t=671088 c=204734 pq=0 df=60000000 ql=0 pa=0 f:
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r0 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r1 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r2 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r3 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r4 m=0
    11-03-2007 17:11:43 Kernel.Debug 192.168.6.100 kernel: htb*r5 m=

  14. #34

    Padrão

    teu log ai ta apresentando HTB (Controle de Banda) ta ativado? vc ta usando o AP para gerenciar banda?, pra mim isso ta mais parecendo erro de software do seu radio do que ataque de concorrente neste momento

  15. #35

    Padrão

    Acredito que ele tava fazendo um ataque Denial of Service, porque não tenho controle de banda ativo no AP, mas, agora restringi o total de Kbits da Interface Wan, para ver se é realmente isso, e ele ainda consegue derrubar, pois a cada ataque o AP reseta.

    Caso continue vou fazer um controle de banda no ap também, para diminuir a possibilidade de um ataque DOS.

  16. #36
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por hqvnet Ver Post
    Acredito que ele tava fazendo um ataque Denial of Service, porque não tenho controle de banda ativo no AP, mas, agora restringi o total de Kbits da Interface Wan, para ver se é realmente isso, e ele ainda consegue derrubar, pois a cada ataque o AP reseta.

    Caso continue vou fazer um controle de banda no ap também, para diminuir a possibilidade de um ataque DOS.
    Se o ataque for DEAUTH, estará com sérios problemas. Para se informar sobre isto, procure no google por aireplay, airodump, aircrack.

  17. #37

    Padrão

    O ataque é DOS porque reinicia o AP, um ataque de negação, fiz uma restrição de controle de banda, para diminuir a possibilidade de sobrecarregar a banda do AP.

  18. #38

    Padrão

    Vou ativar outro AP diferente na torre, porque se for uma falha apenas neste modelo de AP, resolvo o meu problema, vou instalar outro de marca diferente, para testar se o ataque é eficaz da mesma forma com outro ap.

    Informo a vocês os resultados.

  19. #39

    Padrão

    Se for um ataque que sobrecarregue o AP, um ataque de negação vou montar um AP MIkrotik com CPU Intel Dual Core e 1gb de ram que ai quero ver derrubar com ataque de negação para sobrecarregar o processador causando o reboot.

    Estou perto de descobrir o que ele faz, ele me aguarde, que o dele está guardado.

    Ele não está mais usando o softAP, o único ataque que ele realiza e ainda é o mais eficaz dele, é o de conseguir reiniciar o meu AP, causando a desconexão de todos os clientes.

    Amanhã vou bloquear o acesso remoto a ele. Vou deixar apenas o HTTP.

    Vou implementar um controle de banda no ap, por IP, que dessa forma consigo reduzir o tráfego de um possível DOS, mesmo que ele clone um MAC, ou também esteja tentando um DDOS.

    A ocorrência dos ataques diminuiu, pois, estou bem perto de descobrir.
    Última edição por hqvnet; 03-11-2007 às 21:07.

  20. #40

    Padrão

    Se for um ataque DOS ele sabe o ip do seu AP, logo jogue o seu ap numa classe totalmente diferente dos clientes, deve resolver.