Trojan disparando contra Ap Mikrotik

**JHONNE** · 03-07-2008, 19:55

Olha só pessoal,

Derrepente clientes de uma torre começaram a reclamar de lentidão, fui ao winbox e percebi que o tráfego estava 2 mb no rx do ap, quando olhei no hotspot um cliente sozinho tava enviando, quase, os dois megas, verifique pelo torch e descobri que na verdade não estava sendo destinado este trafego para a internet, na verdade era um ataque icmp ao Ap, que embora não gerasse trafego no link de internet, acaba com a perfomance da rede, nenhuma regra de firewall ajudou, mesmo bloqueando tudo, ele continua disparando, tive que ir até o cliente e pegar a maquina dele pra arrumar.

O nome do danado é netsh o mesmo daquela famos aplicativo de procurar vunerabilidade na rede.

se alguem sabe de alguma coisa por favor comente.

**brenovale** · 03-07-2008, 20:21

Amigo, pode explicar melhor "mesmo bloqueando tudo" não funcionou?

**sergio** · 03-07-2008, 21:52

Postado originalmente por brenovale

Amigo, pode explicar melhor "mesmo bloqueando tudo" não funcionou?

Normal, se vc bloqueia tudo, na camada 3 (IP) o ataque tem que chegar na interface para poder ser bloqueado... este é o problema.

JHONNE, não tem remédio para isto, infelizmente. O que é pior, isto ai era um cliente, imagina quando é um sacana clonando MAC e acessando sua rede (neste caso tem remédio, cripto e autenticação).

O que poderia ser feito (estou trabalhando nisto) é um script que verifica qual o IP que está gerando este tráfego demoniaco, joga numa Address List por um determinado período, consulta na tabela ARP o MAC e na Access List desabilita o mesmo (não deixa ele conectar via wireless). Essa Address List tem que funcionar por estágios, tipo quem está no estágio 1 fica bloqueado por alguns minutos, no estágio 2 por uma meia hora e no estágio 2 só ligando para o suporte (hehehehe).

Esta idéia ocorreu em conversa com um aluno e com outro trainer no curso Mikrotik que ministramos em João Pessoa, já tem 1 mês, mas até agora não deu para colocar em prática (correria d+).

**JHONNE** · 04-07-2008, 00:46

Me ocorreu o seguinte,

mais uma vantagem em usar nano station, como ele tem controle de trafego no sistema, este tipo de ataque por exemplo ficaria limitado no nano sem prejudicar a torre.

**sergio** · 04-07-2008, 08:20

Postado originalmente por JHONNE

Me ocorreu o seguinte,

mais uma vantagem em usar nano station, como ele tem controle de trafego no sistema, este tipo de ataque por exemplo ficaria limitado no nano sem prejudicar a torre.

Não só o NS, qq radinho de plástico que o firmware tenha limitação de banda.

**kryseck** · 04-07-2008, 13:41

Então basta implementar nesse script, q o sergio está desenvolvendo, as opção de "AP Tx Limit" e "Client Tx Limit" na regra de access do "indivíduo" q está provocando este ataque. Assim, coloca um limite de banda baixo ou faz em estágio como tmb o sergio falou.

**JHONNE** · 04-07-2008, 17:31

Postado originalmente por kryseck

Então basta implementar nesse script, q o sergio está desenvolvendo, as opção de "AP Tx Limit" e "Client Tx Limit" na regra de access do "indivíduo" q está provocando este ataque. Assim, coloca um limite de banda baixo ou faz em estágio como tmb o sergio falou.

regras de limitação de banda no ap não adianta, o que o sérgio ta tentando fazer é uma espécie de regra que retire o cliente que bloquei o cliente no access list caso o problema seja identificado na maquina dele,

lembrando cliente TX limite funciona, mas RX limit só quando se recebe de outro sistema mikrotik.

**bnet** · 04-07-2008, 19:25

Postado originalmente por JHONNE

Olha só pessoal,

Derrepente clientes de uma torre começaram a reclamar de lentidão, fui ao winbox e percebi que o tráfego estava 2 mb no rx do ap, quando olhei no hotspot um cliente sozinho tava enviando, quase, os dois megas, verifique pelo torch e descobri que na verdade não estava sendo destinado este trafego para a internet, na verdade era um ataque icmp ao Ap, que embora não gerasse trafego no link de internet, acaba com a perfomance da rede, nenhuma regra de firewall ajudou, mesmo bloqueando tudo, ele continua disparando, tive que ir até o cliente e pegar a maquina dele pra arrumar.

O nome do danado é netsh o mesmo daquela famos aplicativo de procurar vunerabilidade na rede.

se alguem sabe de alguma coisa por favor comente.

Mas não to conseguindo identificar o cliente..

da uma olhada neste meu post.

https://under-linux.org/forums/mikro...uito-alta.html

qualquer luz seria bem vinda...

**JHONNE** · 04-07-2008, 19:39

Postado originalmente por bnet

Mas não to conseguindo identificar o cliente..

da uma olhada neste meu post.

https://under-linux.org/forums/mikro...uito-alta.html

qualquer luz seria bem vinda...

Cara eu não sei se seu problema eh igual ao meu, no entanto, o meu não gera consumo no link, há apenas disparo de icmp ao ap, não há como bloquear como o sérgio postou aki mesmo neste tópico, o que podemos fazer é identificar o cliente, no entanto mesmo que le não esteja logado (caso do hotspot) ele continua disparando, então identifique o ip com torch, verifique o mac e bloqueie no access list, se for cliente vai ligar reclamando. se ataque, ela vai trocar o mac e continuar fazendo a mesma coisa.

O que pode minimizar o problema é criptografia, no entanto, ainda fica passivo de ataque desde que se conheça a chave.

To fazendo de tudo para conseguir comprar Nano Station por um preco em conta, porque ai posso resolver quase todos os meu problemas:

-Vou controlar a banda também no nano, evitando esse tipo de ataque.

vantagens:
-Não há perdas com cabo;
-O cliente não pode trocar o mac;
-A criptografia é mais eficiente;
-5.8 é menos poluido;
-O throughput é muito maior;

To mudando...

Trojan disparando contra Ap Mikrotik

Ferramentas de Tópicos

Trojan disparando contra Ap Mikrotik

Acho que to com o mesmo problema....