Attualmente sto lavorando su un WIPS e mi piacerebbe sapere come ottenere l'indirizzo MAC di attacco quando lancia un attacco deauth aireplay-ng.
On wireshark, se l'attaccante trasmette l'attacco deauth appare come indirizzo di origine del mio router e indirizzo di destinazione trasmesso. Se l'attaccante lancia l'attacco a una vittima specifica, appare come indirizzo di origine del mio router e destinazione l'indirizzo MAC delle vittime.
C'è un modo per ottenere l'aggressore MAC?
Gli attacchi di Deauth richiedono che l'autore dell'attacco falsi l'indirizzo MAC. Quello che stai chiedendo è di ottenere in qualche modo l'indirizzo MAC dell'utente malintenzionato anche se è stato falsificato.
Questo non è possibile dalle catture di pacchetti.
C'è un potenziale che se l'attaccante si blocca abbastanza a lungo e invia pacchetti dal vero MAC sulla rete, allora potrebbe essere in grado di correlare quel traffico a il traffico deauth e concludere che il MAC è l'attaccante. Ma ci sono molte cose che dovrebbero accadere affinché ciò sia possibile.
Leggi altre domande sui tag mac-address ids aircrack-ng deauth-attack