[GTER] Tentativa de Ivasão Wirelles

victordantas at netlinepb.com.br victordantas at netlinepb.com.br
Thu Feb 27 11:11:09 -03 2014


É como o Urlan disse, criptografia não resolve o problema de deauth, 
então tive que me virar, e no meu caso funcionou muito bem, logo o 
garoto do script desistiu e eu voltei as configurações habituais.

Victor Dantas
Netline Telecom

Em 26/02/2014 10:22, victordantas at netlinepb.com.br escreveu:
> Certo dia precisei combater um ataque destes, não ficou a coisa mais 
> linda, o que importa é que funcionou.
>
> O ataque por deauth também afeta redes com criptografia, mesmo as fortes.
>
> Criei dois virtuais aps em cada cartão da torre atacada, usando os 
> mesmos ssid que o master.
>
> Em wireless access-list tripliquei a entrada de cada mac de cliente, 
> deixando um registro para cada cartão e seus respectivos virtuais aps, 
> para manter o controle do cliente só conectar pelo mesmo cartão. Se 
> preferir pode setar todos os macs em access-list para interface all, 
> mas perderá a amarração de cliente por cartão.
>
> Ocorre que quando o cartão recebe um deauth do atacante, o pacote 
> deauth vem com o mac de origem e destino especificado, então a conexão 
> do cliente cai e imediatamente o cliente se conecta em outro ssid mas 
> com mac diferente (virtual ap), o tempo de convergência é mínimo em 
> torno de 1segundo, o cliente nem percebe, logo o ataque morre até que 
> o atacante mude o seu ataque para o mac do novo ap virtual, isso vira 
> um ciclo, sempre terá duas opções de conexão para o mesmo ssid para o 
> cliente se conectar, então o atacante terá que criar um bot para ficar 
> detectando automaticamente em qual cartão o cliente se conectou obter 
> o seu mac e etc, isso inviabilizará sua investida, e foi o que me 
> rendeu muita tranquilidade.
>
> Victor Dantas
> Netline Telecom
>
>
>
>
> Em 26/02/2014 07:59, Adriano Struck escreveu:
>> Bom dia
>>
>> Certa vez tivemos este problema de ataque de deauth... Achei que era 
>> um concorrente quando na verdade era um rapaz que fazia Eng. Telecom 
>> e se achava o esperto. O que fizemos? Foi trabalhoso, mas desativados 
>> o ssid da torre e com uma antena yagi na mão e uma rb no carro, 
>> corremos pelo bairro de onde vinha o ataque, até que achamos uma casa 
>> que não era cliente com uma grade 2.4ghz no telhado... Na frente 
>> dessa casa eu desconectei a yagi da rb e o ataque ainda batia, o que 
>> comprovou a origem. No dia seguinte, nosso advogado bateu lá pra dar 
>> um gelo... Nunca mais tivemos problemas.
>>
>> Obs: nada resolve o problema (wpa, wpa2, por cliente), só o cara 
>> parando mesmo.
>>
>> Att.
>>
>> Adriano Struck
>>
>> Enviado do meu smartphone Sony Xperia™
>>
>> ---- Robson mendes de souza escreveu ----
>>
>>> o que posso, fazer para que isso não acontença?
>>>
>>>
>>> Em 25 de fevereiro de 2014 22:28, Noilson Caio 
>>> <caiogore at gmail.com>escreveu:
>>>
>>>> Q: Vc sabe o q gera isso?
>>>>
>>>> Provavelmente o cara roda um aireplay-ng --deauth X -a MAC -c MAC 
>>>> ssid.
>>>>
>>>> Use a ferramenta de sniffer do MK, selecione a interface atacada, 
>>>> aumente o
>>>> armazenamento da coleta, depois vá em busca do mac src e dst com o 
>>>> type
>>>> deauthentication. Você encontrará a origem do ataque, 
>>>> provavelmente. tente
>>>> direcionar os ataques para um virtual ap. Tem um tempo que não 
>>>> trabalho com
>>>> MK, mas eu acho que o caminho seja por aí.
>>>>
>>>>
>>>> 2014-02-25 22:11 GMT-03:00 Robson mendes de souza 
>>>> <robsonzmendes at gmail.com
>>>>> :
>>>>> Eu sei quem está fazendo isso, e um ex-Funcionario, mas o foda e 
>>>>> que não
>>>>> tenho prova para incriminar o cara.
>>>>>
>>>>>
>>>>> Em 25 de fevereiro de 2014 21:57, Lucas Willian Bocchi <
>>>>> lucas.bocchi at gmail.com> escreveu:
>>>>>
>>>>>> Use wpa2 com chav por cliente
>>>>>> Em 25/02/2014 21:43, "Noilson Caio" <caiogore at gmail.com> escreveu:
>>>>>>
>>>>>>> tem relatos de pessoas que convivem com o problema. farejam,
>>>>> identificam
>>>>>> as
>>>>>>> células maliciosas, criam um virtual ap e associam os malicioso 
>>>>>>> nela.
>>>>>>>
>>>>>>>
>>>>>>> 2014-02-25 19:46 GMT-03:00 Leonardo Cavallari Militelli <
>>>>>>> leonardocavallari at gmail.com>:
>>>>>>>
>>>>>>>> Opa.
>>>>>>>> Sim. Alguns ataques utilizam desta técnica para possibilitar a
>>>>> captura
>>>>>>> dos
>>>>>>>> pacotes durante a associação e autenticação, os quais permitem 
>>>>>>>> a um
>>>>>>>> atacante quebrar a senha ou a descobrir a chave de sessão 
>>>>>>>> utilizada
>>>>>> para
>>>>>>>> encriptar o dados.
>>>>>>>>
>>>>>>>> Essa técnica de desassociação também é usada para causar a
>>>>>>>> indisponibilidade do serviço wifi (negação do serviço). Se o
>>>> atacante
>>>>>>> forja
>>>>>>>> pacotes de desassociação broadcast continuamente, o rede fica
>>>>>>> inutilizável.
>>>>>>>> Abs
>>>>>>>> Leo Militelli
>>>>>>>> www.ibliss.com.br
>>>>>>>>
>>>>>>>> Em terça-feira, 25 de fevereiro de 2014, Robson mendes de souza <
>>>>>>>> robsonzmendes at gmail.com> escreveu:
>>>>>>>>
>>>>>>>>> Alguém já viu alguma coisa parecida com isso, que faz desconectar
>>>>>> todos
>>>>>>>> os
>>>>>>>>> clientes.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>> http://uploaddeimagens.com.br/imagens/captura_de_tela_de_2014-02-25_17_32_22-png 
>>>>
>>>>>>>>> -- 
>>>>>>>>> Robson Mendes de Souza
>>>>>>>>> Administrador de Redes | Inovanet Telecom
>>>>>>>>> (38)999980369 | robsonzmendes at gmail.com <javascript:;>
>>>>>>>>> AS263453
>>>>>>>>> -- 
>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>
>>>>>>>> -- 
>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> -- 
>>>>>>> Noilson Caio Teixeira de Araújo
>>>>>>> https://ncaio.wordpress
>>>>>>> <http://ncaio.ithub.com.br>.com<http://ncaio.ithub.com.br>
>>>>>>> https://br.linkedin.com/in/ncaio <http://br.linkedin.com/in/ncaio>
>>>>>>> https://twitter.com/noilsoncaio
>>>>>>> -- 
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>> -- 
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>>
>>>>> -- 
>>>>> Robson Mendes de Souza
>>>>> Administrador de Redes | Inovanet Telecom
>>>>> (38)999980369 | robsonzmendes at gmail.com
>>>>> AS263453
>>>>> -- 
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>
>>>>
>>>> -- 
>>>> Noilson Caio Teixeira de Araújo
>>>> https://ncaio.wordpress
>>>> <http://ncaio.ithub.com.br>.com<http://ncaio.ithub.com.br>
>>>> https://br.linkedin.com/in/ncaio <http://br.linkedin.com/in/ncaio>
>>>> https://twitter.com/noilsoncaio
>>>> -- 
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>>
>>> -- 
>>> Robson Mendes de Souza
>>> Administrador de Redes | Inovanet Telecom
>>> (38)999980369 | robsonzmendes at gmail.com
>>> AS263453
>>> -- 
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> -- 
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list