Paquetes extraños que vienen de forma inalámbrica, en busca de pistas

3

Mientras ejecutaba airodump-ng en la ciudad , he notado un tipo inusual de AP o pseudo-AP. Hay un flujo constante de marcos de balizas inalámbricas que llegan al canal 6. Los marcos son válidos, pero tienen varias características extrañas:

  • El MAC de destino se transmite ( FF : FF : FF : FF : FF : FF ) mientras que el BSSID y la fuente MAC están en cero ( 00 : 00 : 00 : 00 : 00 : 00 ).
  • No hay ESSID
  • La intensidad de la señal es relativamente estable y está a la par con las redes vecinas, lo que me lleva a creer que se trata de un dispositivo en un edificio cercano.
  • La velocidad a la que entran estos cuadros es impar. Si bien la mayoría de las redes vecinas envían balizas a una velocidad constante de 10 paquetes por segundo, ésta triplica esa velocidad, llegando a unos 30 paquetes por segundo.

¿Alguien ha encontrado esto antes? ¿Crees que es más probable que los controladores sean defectuosos o es un comportamiento conocido de algún dispositivo?

(Si desea ver un ejemplo de un paquete, consulte este volcado de un minuto, filtrado por BSSID .)

    
pregunta hololeap 05.10.2013 - 17:53
fuente

1 respuesta

1

Cuando un dispositivo de red utiliza un valor 00: 00: 00: 00: 00: 00 como dirección MAC, se utiliza como dirección de multidifusión, sin embargo, la solicitud será procesada por todos los dispositivos que la recibirían (por lo tanto, las máquinas en el grupo de multidifusión).

Su descripción no proporciona detalles suficientes para inferir lo que podría estar sucediendo, sin embargo, podemos adivinar restricciones razonables.

Es probable que no sea un ataque desde:

  1. un ataque activo de construcción de diccionarios en WEP sería obvio a través de la generación de tráfico artificial y no aparecería como multidifusión

  2. Un ataque activo para inyectar tráfico desde una estación móvil no autorizada usaría su propio MAC o desviaría otro MAC legítimo en lugar de multidifusión

  3. Un ataque activo para descifrar el tráfico que se dirige a su punto de acceso no usaría una transmisión, sino a su punto de acceso, y vería un aumento del tráfico saliente desde su punto de acceso (el objetivo es verlo intentarlo iniciar conexiones suficientes veces para descifrar la clave WEP)

  4. Un ataque pasivo sería silencioso, así que no lo detectes.

Aunque hay muy poco para inferir exactamente lo que está sucediendo, una conjetura educada podría ser una mala configuración del punto de acceso. ¿Puede decirnos si este comportamiento es nuevo, intermitente o qué? (Y sí, el paquete captura algo de esto si puedes y lo compartes)

    
respondido por el user34445 29.11.2013 - 06:00
fuente

Lea otras preguntas en las etiquetas