[GTER] Tentativa de Ivasão Wirelles

victordantas at netlinepb.com.br victordantas at netlinepb.com.br
Wed Feb 26 10:22:36 -03 2014 

Certo dia precisei combater um ataque destes, não ficou a coisa mais 
linda, o que importa é que funcionou.

O ataque por deauth também afeta redes com criptografia, mesmo as fortes.

Criei dois virtuais aps em cada cartão da torre atacada, usando os 
mesmos ssid que o master.

Em wireless access-list tripliquei a entrada de cada mac de cliente, 
deixando um registro para cada cartão e seus respectivos virtuais aps, 
para manter o controle do cliente só conectar pelo mesmo cartão. Se 
preferir pode setar todos os macs em access-list para interface all, mas 
perderá a amarração de cliente por cartão.

Ocorre que quando o cartão recebe um deauth do atacante, o pacote deauth 
vem com o mac de origem e destino especificado, então a conexão do 
cliente cai e imediatamente o cliente se conecta em outro ssid mas com 
mac diferente (virtual ap), o tempo de convergência é mínimo em torno de 
1segundo, o cliente nem percebe, logo o ataque morre até que o atacante 
mude o seu ataque para o mac do novo ap virtual, isso vira um ciclo, 
sempre terá duas opções de conexão para o mesmo ssid para o cliente se 
conectar, então o atacante terá que criar um bot para ficar detectando 
automaticamente em qual cartão o cliente se conectou obter o seu mac e 
etc, isso inviabilizará sua investida, e foi o que me rendeu muita 
tranquilidade.

Victor Dantas
Netline Telecom




Em 26/02/2014 07:59, Adriano Struck escreveu:
> Bom dia
>
> Certa vez tivemos este problema de ataque de deauth... Achei que era um concorrente quando na verdade era um rapaz que fazia Eng. Telecom e se achava o esperto. O que fizemos? Foi trabalhoso, mas desativados o ssid da torre e com uma antena yagi na mão e uma rb no carro, corremos pelo bairro de onde vinha o ataque, até que achamos uma casa que não era cliente com uma grade 2.4ghz no telhado... Na frente dessa casa eu desconectei a yagi da rb e o ataque ainda batia, o que comprovou a origem. No dia seguinte, nosso advogado bateu lá pra dar um gelo... Nunca mais tivemos problemas.
>
> Obs: nada resolve o problema (wpa, wpa2, por cliente), só o cara parando mesmo.
>
> Att.
>
> Adriano Struck
>
> Enviado do meu smartphone Sony Xperia™
>
> ---- Robson mendes de souza escreveu ----
>
>> o que posso, fazer para que isso não acontença?
>>
>>
>> Em 25 de fevereiro de 2014 22:28, Noilson Caio <caiogore at gmail.com>escreveu:
>>
>>> Q: Vc sabe o q gera isso?
>>>
>>> Provavelmente o cara roda um aireplay-ng --deauth X -a MAC -c MAC ssid.
>>>
>>> Use a ferramenta de sniffer do MK, selecione a interface atacada, aumente o
>>> armazenamento da coleta, depois vá em busca do mac src e dst com o type
>>> deauthentication. Você encontrará a origem do ataque, provavelmente. tente
>>> direcionar os ataques para um virtual ap. Tem um tempo que não trabalho com
>>> MK, mas eu acho que o caminho seja por aí.
>>>
>>>
>>> 2014-02-25 22:11 GMT-03:00 Robson mendes de souza <robsonzmendes at gmail.com
>>>> :
>>>> Eu sei quem está fazendo isso, e um ex-Funcionario, mas o foda e que não
>>>> tenho prova para incriminar o cara.
>>>>
>>>>
>>>> Em 25 de fevereiro de 2014 21:57, Lucas Willian Bocchi <
>>>> lucas.bocchi at gmail.com> escreveu:
>>>>
>>>>> Use wpa2 com chav por cliente
>>>>> Em 25/02/2014 21:43, "Noilson Caio" <caiogore at gmail.com> escreveu:
>>>>>
>>>>>> tem relatos de pessoas que convivem com o problema. farejam,
>>>> identificam
>>>>> as
>>>>>> células maliciosas, criam um virtual ap e associam os malicioso nela.
>>>>>>
>>>>>>
>>>>>> 2014-02-25 19:46 GMT-03:00 Leonardo Cavallari Militelli <
>>>>>> leonardocavallari at gmail.com>:
>>>>>>
>>>>>>> Opa.
>>>>>>> Sim. Alguns ataques utilizam desta técnica para possibilitar a
>>>> captura
>>>>>> dos
>>>>>>> pacotes durante a associação e autenticação, os quais permitem a um
>>>>>>> atacante quebrar a senha ou a descobrir a chave de sessão utilizada
>>>>> para
>>>>>>> encriptar o dados.
>>>>>>>
>>>>>>> Essa técnica de desassociação também é usada para causar a
>>>>>>> indisponibilidade do serviço wifi (negação do serviço). Se o
>>> atacante
>>>>>> forja
>>>>>>> pacotes de desassociação broadcast continuamente, o rede fica
>>>>>> inutilizável.
>>>>>>> Abs
>>>>>>> Leo Militelli
>>>>>>> www.ibliss.com.br
>>>>>>>
>>>>>>> Em terça-feira, 25 de fevereiro de 2014, Robson mendes de souza <
>>>>>>> robsonzmendes at gmail.com> escreveu:
>>>>>>>
>>>>>>>> Alguém já viu alguma coisa parecida com isso, que faz desconectar
>>>>> todos
>>>>>>> os
>>>>>>>> clientes.
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>> http://uploaddeimagens.com.br/imagens/captura_de_tela_de_2014-02-25_17_32_22-png
>>>>>>>> --
>>>>>>>> Robson Mendes de Souza
>>>>>>>> Administrador de Redes | Inovanet Telecom
>>>>>>>> (38)999980369 | robsonzmendes at gmail.com <javascript:;>
>>>>>>>> AS263453
>>>>>>>> --
>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Noilson Caio Teixeira de Araújo
>>>>>> https://ncaio.wordpress
>>>>>> <http://ncaio.ithub.com.br>.com<http://ncaio.ithub.com.br>
>>>>>> https://br.linkedin.com/in/ncaio <http://br.linkedin.com/in/ncaio>
>>>>>> https://twitter.com/noilsoncaio
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>
>>>>
>>>> --
>>>> Robson Mendes de Souza
>>>> Administrador de Redes | Inovanet Telecom
>>>> (38)999980369 | robsonzmendes at gmail.com
>>>> AS263453
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>>
>>> --
>>> Noilson Caio Teixeira de Araújo
>>> https://ncaio.wordpress
>>> <http://ncaio.ithub.com.br>.com<http://ncaio.ithub.com.br>
>>> https://br.linkedin.com/in/ncaio <http://br.linkedin.com/in/ncaio>
>>> https://twitter.com/noilsoncaio
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>> -- 
>> Robson Mendes de Souza
>> Administrador de Redes | Inovanet Telecom
>> (38)999980369 | robsonzmendes at gmail.com
>> AS263453
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list