RSSI del dispositivo wifi rilevamento MITM

Per trovare chi lo sta facendo, puoi usare una cantenna (più precisa e mobile per questo che una yagi - una cantenna non fa altro che intrappolare un gruppo di onde nel barattolo, che rimbalzano intorno fino a quando non colpiscono il feedpoint. è direzionale solo nel senso che le onde entrano nell'estremità aperta e tu le punti alle onde che vuoi ricevere).

Usa un programma come kismet / airodump-ng / kismac che ha la modalità RFMON e può vedere la qualità rx / tx dai peer di rete. Quindi scansiona in tutte le direzioni.

Una volta che hai qualche idea sulla direzione, spostati all'esterno e confermala. I segnali Wifi rimbalzano molto. Alla fine trovi il punto in cui il segnale è più strong. Questo non prova niente a nessuno - tranne te - comunque.

Mi aspetto che tu possa eseguire la scansione RFMON con un telefono Android con root, ma non l'ho fatto.

Se l'attaccante e l'AP valido stanno trasmettendo pacchetti con RSSI significativamente diverso (ad esempio, si trovano in prossimità del client, o trasmettono effettivamente con diversi livelli di potenza, o c'è un ostacolo tra uno), allora è possibile fire-up t-shark o wireshark filtrano i pacchetti che provengono da AP con un dato indirizzo MAC (sia valido che dannoso) e memorizzano il campo di forza del segnale. Quindi conduci l'analisi statistica nel tempo (ad es., Mediana o meglio qualcosa di più complesso) e osserva se la misura si discosta significativamente dalla normalità. Questo potrebbe essere un'indicazione di qualcosa di sbagliato, ad es. presenza di un AP falso, incluso il MITM che attacca un Evil Twin ecc.

Detto questo, se provi a replicare un simile esperimento, noterai immediatamente che l'RSSI fluttua significativamente anche se i parametri dell'esperimento relativi alla posizione dei dispositivi sono invariati. Avrai sicuramente bisogno di applicare tutte le tue conoscenze statistiche / ML per distinguere il traffico normale da quello anormale.