Jestem bardzo paranoikiem na temat połączeń bezprzewodowych i kogoś, kto kradnie moje łącze szerokopasmowe, co może prowadzić do gorszych rzeczy.
Moje pytanie brzmi: jak mogę wykryć, czy moja szerokopasmowa przepustowość jest kradziona?
Mam router bezprzewodowy Belkin SURF + N300.
Idealnie byłoby fajnie, gdybym był powiadamiany automatycznie, ale jeśli nie jest to możliwe, proces ręczny byłby w porządku.
Odpowiedzi:
Mam dla ciebie trzy pomysły. Wszystkie mają swoją złożoność i możesz mieszać i dopasowywać według własnego uznania. Pierwsza jest prawdopodobnie najłatwiejsza, ale najmniej niezawodna (sama w sobie).
1. Pasywne wykrywanie MAC
Standardowym sposobem byłoby śledzenie adresów MAC, które żądają adresów DHCP od routera. Większość routerów ma ekran w stylu „Attached Devices”, który informuje, kto się łączy.
Nie jest to automatyczne, ale możesz (dość łatwo) napisać skrypt Bash / Python, aby ściągnąć stronę routera, przeanalizować adresy MAC i porównać je z listą znanych / dozwolonych adresów MAC.
Problem w tym, że nic nie jest natychmiastowe. Musisz polegać na tym, że router aktualizuje swoją stronę i musisz często sondować. Niektórym routerom to się nie spodoba. Mam kiepski router Edimax, który ulega awarii, jeśli załadujesz więcej niż 10 stron na minutę (żałosne!), Więc to może nie działać.
Adresy MAC są również godne pożałowania.
macchanger
na przykład pozwoli ci sfałszować swój adres MAC za pomocą jednego polecenia. Myślę, że nawet Network Manager pozwoli ci to zrobić. Jeśli ktoś nie chce zostać wykryty, będzie monitorować ruch sieciowy i sfałszować jedno z prawidłowych (znanych) urządzeń.2. Aktywne wąchanie
W tym miejscu zrywamy koła i kopiemy. Będziesz potrzebować zapasowego bezprzewodowego urządzenia w miejscu, które może przechwytywać ruch do / z routera (najlepiej całkiem blisko niego).
Krótko mówiąc, łączysz się
airodump-ng
i obserwujesz osoby podłączone do Twojej sieci. Powinno być możliwe wykonanie skryptu tego wyjścia, więc gdy pojawi się nowe urządzenie i zacznie korzystać z sieci, możesz natychmiast coś zrobić .Pomysł polegałby na tym, że uruchamiasz to podczas rozruchu (jako root):
Zamień BSSID na swój punkt dostępu.
Spowoduje to zapisanie pliku automatycznie zwiększającego wartość, który można regularnie analizować. W powyższej wersji napisz plik wartości oddzielony przecinkami, który jest dość prosty, ale jeśli jesteś zadowolony z XML (Python może to zrobić bardzo prosto), możesz spojrzeć na
netxml
format wyjściowy airodump.Tak czy inaczej, daje to regularne informacje o tym, które urządzenia korzystają z sieci (oraz o natężeniu ruchu, jaki wysyłają). Nadal jest tak samo zawodny jak przy użyciu tablicy ARP routera, ale działa na żywo.
Podczas gdy jesteś w trybie rozwiązanym, jeśli twój skrypt wybiera klienta, który jego zdaniem nie powinien znajdować się w sieci, możesz użyć
tcpdump
do przeszukania pakietów i zarejestrowania wymiany zainteresowań (żądania HTTP itp.). To więcej programowania, ale da się to zrobić.3. Odcisk palca za pomocą
nmap
Inną metodą jest zamiatanie sieci w poszukiwaniu klientów
nmap
. Zwykle może się wydawać, że nie pomogłoby to zbytnio, jeśli ktoś blokuje pingi, może się nie pojawić.Sugeruję użycie tego w połączeniu z jedną z dwóch pozostałych metod.
1
poda ci adres IP, dzięki czemu możesz bezpośrednio nmapować.2
nie da ci adresu IP, ale da ci znać, ilu klientównmap
powinno się spodziewać w tym właśnie momencie. Upewnij się, że wszystkie twoje urządzenia są pingowane.Podczas
nmap
uruchamiania (np.sudo nmap -O 192.168.1.1/24
) Spróbuje znaleźć hosty, a następnie wykona skanowanie portów, aby ustalić, jakie są. Twoja lista kontrolna powinna zawierać odpowiedź na każde Twoje urządzenienmap
.Jeśli chcesz pójść o krok dalej, możesz uruchomić prosty serwer na każdym ze swoich komputerów. Po prostu coś, co zaakceptowało połączenie, a następnie je porzuciło. W skrócie: Czegoś
nmap
szukać. Jeśli okaże się, że jest otwarty, prawdopodobnie jest to twój komputer.4. Zabezpiecz swoją sieć lepiej
Powinieneś zrobić to najpierw, jeśli się martwisz. Użyj WPA2 / AES. Nigdy nie używaj WEP (pęknięcia w ciągu około pięciu minut).
Jeśli nadal się martwisz, ktoś może znaleźć klucz ( złamanie WPA2 zajmuje dużo danych i czasu obliczeniowego), przejdź do modelu RADIUS. Jest to struktura uwierzytelniania, która konfiguruje klucz jednorazowy dla każdego użytkownika. PITA jednak założyć.
Ale co zrobić ..?
Gdybym nie był zadowolony z rzeczy, prawdopodobnie ręcznie obejrzałbym zrzut z lotniska. Gdybym nadal nie był szczęśliwy, zacząłem pobierać odciski palców rzeczy, które widziałem. Skrypt jest jednak nieco trudny (bynajmniej niemożliwy).
Najłatwiejszym do napisania skryptem będzie skrobanie routera za pomocą odcisku palca
nmap
. Krótkie i proste.źródło
Moja sugestia, Oli's 1.
Jeśli Twój „atakujący” uzyska dostęp bez konieczności fałszowania swojego adresu MAC, przyjmie, że nie ma możliwości monitorowania adresów MAC.
Użyj własnego dhcpd ze zdarzeniem, aby w razie potrzeby wyzwolić wiadomość e-mail.
Będę musiał przeprowadzić jakieś badania, ale gdyby to był ja, uruchomiłbym własny dhcpd na urządzeniu z linuksem podłączonym do routera (lub użyłem openwrt), a następnie wysłałbym go e-mailem, jeśli Macaddress poprosi o adres Czego nie ma na białej liście.
EDYCJA: http://linux.die.net/man/5/dhcpd.conf ma wszystkie zasoby potrzebne do wykonania tego. Po prostu utwórz zdarzenie, aby wykonać skrypt, który sprawdzi na białej liście, jeśli adres MAC nie znajduje się na białej liście, poproś o wysłanie e-maila. Zobacz także http://ubuntuforums.org/showthread.php?t=1328967
źródło
dhcpd
. To nieco komplikuje konfigurację sieci, ale proszę bardzo.