Digamos que hay alguien que realiza alguna actividad maliciosa en su red y que desea rastrear la intensidad de la señal del paquete para atrapar al atacante.
¿Es esta teoría plausible?
Para saber quién lo está haciendo, puedes usar una cantenna (más precisa y móvil para esto que una yagi; una cantenna no hace nada excepto atrapar un montón de olas en la lata, que rebotan hasta que llegan al punto de alimentación. es direccional solo en el sentido de que las ondas entran en el extremo abierto, y usted señala que en las ondas que desea recibir).
Utilice un programa como kismet / airodump-ng / kismac que tiene el modo RFMON, y puede ver la calidad de rx / tx de los interlocutores de la red. Luego escanea en todas las direcciones.
Una vez que tenga algunas ideas de la dirección, muévase hacia afuera y confírmela. Las señales wifi rebotan mucho. Finalmente, encuentras el punto donde la señal es más fuerte. Sin embargo, esto no prueba nada a nadie, excepto a usted.
Espero que puedas hacer un escaneo RFMON con un teléfono Android rooteado, pero no lo has hecho.
Si el atacante y el AP válido están transmitiendo paquetes con un RSSI significativamente diferente (por ejemplo, están en una proximidad diferente del cliente, o en realidad están transmitiendo con diferentes niveles de potencia, o si hay un obstáculo entre uno y otro), entonces es posible el tiburón t o el tiburón de alambre filtran los paquetes que provienen de puntos de acceso con una dirección MAC determinada (tanto válidos como maliciosos) y almacenan el campo de intensidad de la señal. Luego realice un análisis estadístico a lo largo del tiempo (por ejemplo, mediana o mejor, algo más complejo) y observe si la medida se desvía significativamente de la normalidad. Esto PUEDE ser una indicación de que algo está mal, por ejemplo. presencia de un AP falso, incluido el MITM que ataca a un Evil Twin, etc.
Dicho esto, si intenta replicar un experimento de este tipo, notará inmediatamente que el RSSI fluctúa significativamente incluso si la ubicación relativa de los dispositivos de los parámetros del experimento no se modifica. Definitivamente, deberá aplicar todo su conocimiento estadístico / ML para distinguir el tráfico normal del anormal.