tenemos varios usuarios autorizados en nuestro WiFi (escuela). parece que uno de ellos tiene un programa para negar el servicio a otros. ¿Conoces alguno de estos programas y qué se puede hacer para prevenir esto?
Hay varias formas en que un atacante puede negar el acceso de las personas a Internet.
Por ejemplo SYN flood o MitM.
MitM es más probable y mucho más eficiente, sin embargo, la popular aplicación WifiKill utiliza este principio ( hace que el (los) dispositivo (s) piensen que es el enrutador y luego suelta todos sus paquetes)
sugiero:
Análisis:
Escriba la dirección MAC y la dirección local de su enrutador.
Escriba "arp" en el cuadro de filtro de Wireshark para ver los paquetes ARP
Si ves algo como 192.168.0.1 is 01:23:45:67:89:ab
donde 192.168.0.1 es la dirección local de su enrutador, pero 01: 23: 45: 67: 89: ab es no su dirección MAC, está viendo un ataque MitM basado en la falsificación ARP (que es lo que utiliza WifiKill)
Puede usar arp -a
(en Linux) para ver las direcciones locales / MAC.
Creo que verá una dirección MAC dos veces si se está ejecutando un ataque (y, por supuesto, la MAC del enrutador no tendrá el valor que ha anotado)
Lo que es realmente bueno es que los paquetes ARP en Wireshark son muy fáciles de entender, incluso para una persona no muy técnica.
Verás una conversación como:
Who has 10.0.0.6? Tell 10.0.0.138
10.0.0.6 is at 00:17:f2:20:e6:bf
Y la inundación SYN es obviamente una enorme cantidad de paquetes SYN a una velocidad extremadamente rápida.
Defensa:
Puede bloquear su dirección MAC en el enrutador, pero tenga en cuenta que pueden cambiarla.
al parecer, uno de ellos ha pirateado y está negando el servicio a los demás.
Asegúrese de utilizar WPA2 sin WPS. Puede agregar el filtrado de MAC, pero tenga en cuenta que es fácil de omitir. Sin embargo, si el atacante obtuvo la contraseña de wifi de una máquina legítima, es posible que no puedan evitar ser filtrados por MAC. Siempre use múltiples capas de seguridad.
Lo más probable es que el ataque se base en la falsificación ARP, que puede detectarse fácilmente si tienes una muestra de captura de paquetes.
Para asegurarse de que esto no vuelva a suceder, asegure su red lo más posible .
bobhum, usted declara que "tenemos varios usuarios autorizados en nuestro WiFi (escuela). Parece que uno de ellos tiene un programa para negar el servicio a otros. ¿Conoce alguno de estos programas y qué se puede hacer para evitarlo?" ? "
Como ocurre en una escuela, deberías tener un departamento de TI. que puede expresar sus preocupaciones y amp; Problemas para re. este asunto. No comience a utilizar Wirehark u otros programas similares sin la debida autorización o puede ser tan responsable como el sospechoso culpable.
Además, dado que solo "parece que uno de ellos tiene un programa", pero no se ha visto atrapado en el acto, es posible que no haya nadie que haga algo malicioso. La persona o personas que tengan problemas de acceso podrían intentar otro dispositivo para acceder a la red, pero se registrarán con las mismas credenciales. Si la interrupción ya no se produce, analizaré el dispositivo más detenidamente en busca de programas maliciosos / malware, hardware obsoleto, problemas con los controladores ... incluso algo como conflictos de IP. ¿Este problema le está pasando a todos los demás al mismo tiempo? ¿Hay un microondas o un teléfono inalámbrico cerca del enrutador?
Si estás en una escuela que no tiene un departamento de TI. lo que lleva a muchas preguntas ... haga que su maestro vaya al director de la escuela & explica lo que está pasando.
Lea otras preguntas en las etiquetas windows