Actualmente estoy trabajando en un WIPS y me gustaría saber cómo obtener la dirección MAC de ataque cuando lanza un ataque por aire con nep.
En Wirehark, si el atacante transmite el ataque, aparece como la dirección de origen de mi enrutador y la dirección de destino. Si el atacante lanza el ataque a una víctima específica, aparece como dirección de origen en mi enrutador y destino la dirección MAC de las víctimas.
¿Hay alguna forma de obtener el atacante MAC?
Los ataques Deauth requieren que el atacante falsifique la dirección MAC. Lo que estás pidiendo es obtener de alguna manera la dirección MAC del atacante, incluso si está falsificada.
Esto no es posible desde la captura de paquetes.
Hay un potencial que si el atacante se queda el tiempo suficiente y envía paquetes desde el MAC real en la red, entonces podría poder correlacionar ese tráfico con El tráfico deauth y concluye que el MAC es el atacante. Pero hay muchas cosas que deberían ocurrir para que esto sea posible.
Lea otras preguntas en las etiquetas mac-address ids aircrack-ng deauth-attack