abbiamo diversi utenti autorizzati sul nostro WiFi (scuola). sembra che uno di loro abbia un programma per negare il servizio agli altri. conosci qualcuno di questi programmi e cosa si può fare per impedirlo?
Ci sono diversi modi in cui un utente malintenzionato può negare l'accesso di persone a Internet.
Ad esempio SYN flood o MitM.
MitM è più probabile e molto più efficiente, tuttavia, l'app popolare WifiKill utilizza questo principio ( fa sì che i dispositivi pensino che si tratta del router e quindi rilascia tutti i pacchetti)
Suggerisco:
Analisi:
Annota l'indirizzo MAC e l'indirizzo locale del tuo router.
Digita "arp" nella casella del filtro Wireshark per vedere i pacchetti ARP
Se vedi qualcosa come 192.168.0.1 is 01:23:45:67:89:ab
dove 192.168.0.1 è l'indirizzo locale del tuo router ma 01: 23: 45: 67: 89: ab è non il suo indirizzo MAC, stai vedendo un attacco MitM basato sullo spoofing ARP (che è quello che usa WifiKill)
Puoi usare arp -a
(su Linux) per vedere gli indirizzi locali / MAC.
Penso che vedrete un indirizzo MAC due volte se un attacco è in esecuzione (e ovviamente il MAC del router non sarà il valore che avete annotato)
La cosa veramente bella è che i pacchetti ARP in Wireshark sono molto facili da capire anche per persone non molto tecniche.
Vedrai una conversazione del tipo:
Who has 10.0.0.6? Tell 10.0.0.138
10.0.0.6 is at 00:17:f2:20:e6:bf
E SYN flood è ovviamente un'enorme quantità di pacchetti SYN a velocità estremamente elevata.
Difesa:
Puoi bloccare il loro indirizzo MAC sul router, ma tieni presente che possono cambiarlo.
apparently one of them has hacked in and is denying service to others.
Assicurati di utilizzare WPA2 senza WPS. È possibile aggiungere il filtro MAC, ma si noti che è facile da ignorare. Tuttavia, se l'utente malintenzionato ha ottenuto la password wifi da una macchina legittima, potrebbe non essere in grado di evitare di essere filtrata tramite MAC. Utilizza sempre più livelli di sicurezza.
L'attacco è molto probabilmente basato sullo spoofing ARP, che può essere facilmente rilevato se si dispone di un campione di cattura dei pacchetti.
Per assicurarti che ciò non accada di nuovo, proteggi la rete il più possibile .
bobhum, tu affermi "abbiamo diversi utenti autorizzati sulla nostra rete WiFi (scuola): sembra che uno di loro abbia un programma per negare il servizio agli altri, conosci qualcuno di questi programmi e cosa può essere fatto per prevenire questo ? "
Dato che si sta svolgendo in una scuola, dovresti avere un reparto IT. che puoi esprimere le tue preoccupazioni e amp; problemi da ri questo argomento. Non iniziare a eseguire wireshark o altri programmi simili senza una corretta autorizzazione o potresti essere altrettanto responsabile quanto il sospettato colpevole.
Inoltre dal momento che solo "sembra che uno di loro abbia un programma", ma non è stato colto in flagrante, potrebbe non esserci in realtà qualcuno che fa qualcosa di malvagio. La persona o le persone che hanno problemi di accesso possono provare un altro dispositivo per accedere alla rete ma verranno registrati con le stesse credenziali. Se l'interruzione non si verifica più, guarderei il dispositivo più da vicino per crapware / malware, hardware obsoleto, problemi di driver ... anche qualcosa come i conflitti IP. Questo problema sta succedendo a tutti gli altri allo stesso tempo? C'è un forno a microonde o un telefono cordless vicino al router?
Se sei in una scuola che non ha un reparto IT. che porta a molte domande .... chiedi al tuo insegnante di andare a capo della scuola & spiega cosa sta succedendo.
Leggi altre domande sui tag windows