Strani pacchetti provenienti da wireless, alla ricerca di indizi

Naviga le tue risposte
3

Durante l'esecuzione di airodump-ng in città , ho notato un tipo insolito di AP o pseudo-AP. C'è un flusso costante di frame di radiofaro in arrivo sul canale 6. I frame sono validi, ma hanno diverse caratteristiche dispari:

  • Viene trasmesso il MAC di destinazione ( FF : FF : FF : FF : FF : FF ) mentre il BSSID e il MAC di origine vengono azzerati ( 00 : 00 : 00 : 00 : 00 :. 00 )
  • Non esiste ESSID
  • La potenza del segnale è relativamente stabile ed è alla pari con le reti vicine, il che mi porta a credere che si tratti di un dispositivo in un edificio vicino.
  • La velocità con cui questi frame entrano è dispari. Mentre la maggior parte delle reti vicine inviano segnali a una velocità costante di 10 pacchetti al secondo, questo triplica tale frequenza, arrivando a circa 30 pacchetti al secondo.

Qualcuno si è imbattuto in questo prima? Pensi che sia probabilmente un driver difettoso o si tratta di un comportamento noto di alcuni dispositivi?

(Se vuoi vedere un esempio di un pacchetto, controlla questo dump di un minuto, filtrato da BSSID .)

    
posta hololeap 05.10.2013 - 17:53
fonte

1 risposta

1

Quando un dispositivo di rete utilizza un valore 00: 00: 00: 00: 00: 00 come indirizzo MAC, viene utilizzato come indirizzo multicast, tuttavia la richiesta verrà eseguita da tutti i dispositivi che lo riceveranno (quindi le macchine nel gruppo multicast).

La tua descrizione non fornisce dettagli sufficienti per inferire altrimenti ciò che potrebbe accadere, tuttavia possiamo indovinare restrizioni ragionevoli.

Probabilmente non è un attacco poiché:

  1. un dizionario attivo che crea un attacco su WEP sarebbe ovvio attraverso la generazione di traffico artificiale e non apparirebbe come multicast

  2. Un attacco attivo per iniettare il traffico da una stazione mobile non autorizzata utilizza il proprio MAC o esca un altro MAC legittimo anziché multicast

  3. Un attacco attivo per decrittografare il traffico che punta al tuo punto di accesso non userebbe una trasmissione, ma miri al tuo punto di accesso e vedresti un aumento del traffico in uscita dal tuo punto di accesso (l'obiettivo è vederlo provare a avviare le connessioni abbastanza volte per decifrare la chiave WEP)

  4. Un attacco passivo sarebbe silenzioso, quindi non essere rilevato.

Anche se c'è troppo poco per dedurre esattamente cosa sta succedendo, un'ipotesi plausibile potrebbe essere l'errata configurazione del punto di accesso. Puoi dirci se questo comportamento è nuovo, intermittente o cosa? (E sì, il pacchetto cattura un po 'di questo se puoi e lo condivido)

    
risposta data 29.11.2013 - 06:00
fonte

Leggi altre domande sui tag

Sito Esecuzione di caratteri di controllo nel tag title Test suite per un fuzzer a scatola bianca