[GTER] Tentativa de Ivasão Wirelles
victordantas at netlinepb.com.br
victordantas at netlinepb.com.br
Thu Feb 27 11:11:09 -03 2014
É como o Urlan disse, criptografia não resolve o problema de deauth,
então tive que me virar, e no meu caso funcionou muito bem, logo o
garoto do script desistiu e eu voltei as configurações habituais.
Victor Dantas
Netline Telecom
Em 26/02/2014 10:22, victordantas at netlinepb.com.br escreveu:
> Certo dia precisei combater um ataque destes, não ficou a coisa mais
> linda, o que importa é que funcionou.
>
> O ataque por deauth também afeta redes com criptografia, mesmo as fortes.
>
> Criei dois virtuais aps em cada cartão da torre atacada, usando os
> mesmos ssid que o master.
>
> Em wireless access-list tripliquei a entrada de cada mac de cliente,
> deixando um registro para cada cartão e seus respectivos virtuais aps,
> para manter o controle do cliente só conectar pelo mesmo cartão. Se
> preferir pode setar todos os macs em access-list para interface all,
> mas perderá a amarração de cliente por cartão.
>
> Ocorre que quando o cartão recebe um deauth do atacante, o pacote
> deauth vem com o mac de origem e destino especificado, então a conexão
> do cliente cai e imediatamente o cliente se conecta em outro ssid mas
> com mac diferente (virtual ap), o tempo de convergência é mínimo em
> torno de 1segundo, o cliente nem percebe, logo o ataque morre até que
> o atacante mude o seu ataque para o mac do novo ap virtual, isso vira
> um ciclo, sempre terá duas opções de conexão para o mesmo ssid para o
> cliente se conectar, então o atacante terá que criar um bot para ficar
> detectando automaticamente em qual cartão o cliente se conectou obter
> o seu mac e etc, isso inviabilizará sua investida, e foi o que me
> rendeu muita tranquilidade.
>
> Victor Dantas
> Netline Telecom
>
>
>
>
> Em 26/02/2014 07:59, Adriano Struck escreveu:
>> Bom dia
>>
>> Certa vez tivemos este problema de ataque de deauth... Achei que era
>> um concorrente quando na verdade era um rapaz que fazia Eng. Telecom
>> e se achava o esperto. O que fizemos? Foi trabalhoso, mas desativados
>> o ssid da torre e com uma antena yagi na mão e uma rb no carro,
>> corremos pelo bairro de onde vinha o ataque, até que achamos uma casa
>> que não era cliente com uma grade 2.4ghz no telhado... Na frente
>> dessa casa eu desconectei a yagi da rb e o ataque ainda batia, o que
>> comprovou a origem. No dia seguinte, nosso advogado bateu lá pra dar
>> um gelo... Nunca mais tivemos problemas.
>>
>> Obs: nada resolve o problema (wpa, wpa2, por cliente), só o cara
>> parando mesmo.
>>
>> Att.
>>
>> Adriano Struck
>>
>> Enviado do meu smartphone Sony Xperia™
>>
>> ---- Robson mendes de souza escreveu ----
>>
>>> o que posso, fazer para que isso não acontença?
>>>
>>>
>>> Em 25 de fevereiro de 2014 22:28, Noilson Caio
>>> <caiogore at gmail.com>escreveu:
>>>
>>>> Q: Vc sabe o q gera isso?
>>>>
>>>> Provavelmente o cara roda um aireplay-ng --deauth X -a MAC -c MAC
>>>> ssid.
>>>>
>>>> Use a ferramenta de sniffer do MK, selecione a interface atacada,
>>>> aumente o
>>>> armazenamento da coleta, depois vá em busca do mac src e dst com o
>>>> type
>>>> deauthentication. Você encontrará a origem do ataque,
>>>> provavelmente. tente
>>>> direcionar os ataques para um virtual ap. Tem um tempo que não
>>>> trabalho com
>>>> MK, mas eu acho que o caminho seja por aí.
>>>>
>>>>
>>>> 2014-02-25 22:11 GMT-03:00 Robson mendes de souza
>>>> <robsonzmendes at gmail.com
>>>>> :
>>>>> Eu sei quem está fazendo isso, e um ex-Funcionario, mas o foda e
>>>>> que não
>>>>> tenho prova para incriminar o cara.
>>>>>
>>>>>
>>>>> Em 25 de fevereiro de 2014 21:57, Lucas Willian Bocchi <
>>>>> lucas.bocchi at gmail.com> escreveu:
>>>>>
>>>>>> Use wpa2 com chav por cliente
>>>>>> Em 25/02/2014 21:43, "Noilson Caio" <caiogore at gmail.com> escreveu:
>>>>>>
>>>>>>> tem relatos de pessoas que convivem com o problema. farejam,
>>>>> identificam
>>>>>> as
>>>>>>> células maliciosas, criam um virtual ap e associam os malicioso
>>>>>>> nela.
>>>>>>>
>>>>>>>
>>>>>>> 2014-02-25 19:46 GMT-03:00 Leonardo Cavallari Militelli <
>>>>>>> leonardocavallari at gmail.com>:
>>>>>>>
>>>>>>>> Opa.
>>>>>>>> Sim. Alguns ataques utilizam desta técnica para possibilitar a
>>>>> captura
>>>>>>> dos
>>>>>>>> pacotes durante a associação e autenticação, os quais permitem
>>>>>>>> a um
>>>>>>>> atacante quebrar a senha ou a descobrir a chave de sessão
>>>>>>>> utilizada
>>>>>> para
>>>>>>>> encriptar o dados.
>>>>>>>>
>>>>>>>> Essa técnica de desassociação também é usada para causar a
>>>>>>>> indisponibilidade do serviço wifi (negação do serviço). Se o
>>>> atacante
>>>>>>> forja
>>>>>>>> pacotes de desassociação broadcast continuamente, o rede fica
>>>>>>> inutilizável.
>>>>>>>> Abs
>>>>>>>> Leo Militelli
>>>>>>>> www.ibliss.com.br
>>>>>>>>
>>>>>>>> Em terça-feira, 25 de fevereiro de 2014, Robson mendes de souza <
>>>>>>>> robsonzmendes at gmail.com> escreveu:
>>>>>>>>
>>>>>>>>> Alguém já viu alguma coisa parecida com isso, que faz desconectar
>>>>>> todos
>>>>>>>> os
>>>>>>>>> clientes.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>> http://uploaddeimagens.com.br/imagens/captura_de_tela_de_2014-02-25_17_32_22-png
>>>>
>>>>>>>>> --
>>>>>>>>> Robson Mendes de Souza
>>>>>>>>> Administrador de Redes | Inovanet Telecom
>>>>>>>>> (38)999980369 | robsonzmendes at gmail.com <javascript:;>
>>>>>>>>> AS263453
>>>>>>>>> --
>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>
>>>>>>>> --
>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> Noilson Caio Teixeira de Araújo
>>>>>>> https://ncaio.wordpress
>>>>>>> <http://ncaio.ithub.com.br>.com<http://ncaio.ithub.com.br>
>>>>>>> https://br.linkedin.com/in/ncaio <http://br.linkedin.com/in/ncaio>
>>>>>>> https://twitter.com/noilsoncaio
>>>>>>> --
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Robson Mendes de Souza
>>>>> Administrador de Redes | Inovanet Telecom
>>>>> (38)999980369 | robsonzmendes at gmail.com
>>>>> AS263453
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>
>>>>
>>>> --
>>>> Noilson Caio Teixeira de Araújo
>>>> https://ncaio.wordpress
>>>> <http://ncaio.ithub.com.br>.com<http://ncaio.ithub.com.br>
>>>> https://br.linkedin.com/in/ncaio <http://br.linkedin.com/in/ncaio>
>>>> https://twitter.com/noilsoncaio
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>>
>>> --
>>> Robson Mendes de Souza
>>> Administrador de Redes | Inovanet Telecom
>>> (38)999980369 | robsonzmendes at gmail.com
>>> AS263453
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list