Jak wykryć, czy ktoś kradnie moje łącze szerokopasmowe?

23

Jestem bardzo paranoikiem na temat połączeń bezprzewodowych i kogoś, kto kradnie moje łącze szerokopasmowe, co może prowadzić do gorszych rzeczy.

Moje pytanie brzmi: jak mogę wykryć, czy moja szerokopasmowa przepustowość jest kradziona?

Mam router bezprzewodowy Belkin SURF + N300.

Idealnie byłoby fajnie, gdybym był powiadamiany automatycznie, ale jeśli nie jest to możliwe, proces ręczny byłby w porządku.

oshirowanen
źródło
2
Jeśli chodzi o flagi nie na temat, wyobraź sobie, że pytanie brzmi: „Jak wykryć złodzieje przepustowości za pomocą Ubuntu?”. Odpowiedzi na to dla różnych systemów operacyjnych będą się znacznie różnić. Ponieważ zostało to tutaj zamieszczone, kontynuujmy dzięki rozwiązaniom opartym na Ubuntu.
Oli
4
Gdybym korzystał z systemu Windows i istniało okno Askwindows, napisałbym tam, ale ponieważ używam Ubuntu, Askubuntu musi być najlepszym miejscem do zadawania takich pytań.
oshirowanen

Odpowiedzi:

19

Mam dla ciebie trzy pomysły. Wszystkie mają swoją złożoność i możesz mieszać i dopasowywać według własnego uznania. Pierwsza jest prawdopodobnie najłatwiejsza, ale najmniej niezawodna (sama w sobie).

1. Pasywne wykrywanie MAC

Standardowym sposobem byłoby śledzenie adresów MAC, które żądają adresów DHCP od routera. Większość routerów ma ekran w stylu „Attached Devices”, który informuje, kto się łączy.

Nie jest to automatyczne, ale możesz (dość łatwo) napisać skrypt Bash / Python, aby ściągnąć stronę routera, przeanalizować adresy MAC i porównać je z listą znanych / dozwolonych adresów MAC.

Problem w tym, że nic nie jest natychmiastowe. Musisz polegać na tym, że router aktualizuje swoją stronę i musisz często sondować. Niektórym routerom to się nie spodoba. Mam kiepski router Edimax, który ulega awarii, jeśli załadujesz więcej niż 10 stron na minutę (żałosne!), Więc to może nie działać.

Adresy MAC są również godne pożałowania. macchangerna przykład pozwoli ci sfałszować swój adres MAC za pomocą jednego polecenia. Myślę, że nawet Network Manager pozwoli ci to zrobić. Jeśli ktoś nie chce zostać wykryty, będzie monitorować ruch sieciowy i sfałszować jedno z prawidłowych (znanych) urządzeń.

2. Aktywne wąchanie

W tym miejscu zrywamy koła i kopiemy. Będziesz potrzebować zapasowego bezprzewodowego urządzenia w miejscu, które może przechwytywać ruch do / z routera (najlepiej całkiem blisko niego).

Krótko mówiąc, łączysz się airodump-ngi obserwujesz osoby podłączone do Twojej sieci. Powinno być możliwe wykonanie skryptu tego wyjścia, więc gdy pojawi się nowe urządzenie i zacznie korzystać z sieci, możesz natychmiast coś zrobić .

Pomysł polegałby na tym, że uruchamiasz to podczas rozruchu (jako root):

airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0

Zamień BSSID na swój punkt dostępu.

Spowoduje to zapisanie pliku automatycznie zwiększającego wartość, który można regularnie analizować. W powyższej wersji napisz plik wartości oddzielony przecinkami, który jest dość prosty, ale jeśli jesteś zadowolony z XML (Python może to zrobić bardzo prosto), możesz spojrzeć na netxmlformat wyjściowy airodump.

Tak czy inaczej, daje to regularne informacje o tym, które urządzenia korzystają z sieci (oraz o natężeniu ruchu, jaki wysyłają). Nadal jest tak samo zawodny jak przy użyciu tablicy ARP routera, ale działa na żywo.

Podczas gdy jesteś w trybie rozwiązanym, jeśli twój skrypt wybiera klienta, który jego zdaniem nie powinien znajdować się w sieci, możesz użyć tcpdumpdo przeszukania pakietów i zarejestrowania wymiany zainteresowań (żądania HTTP itp.). To więcej programowania, ale da się to zrobić.

3. Odcisk palca za pomocą nmap

Inną metodą jest zamiatanie sieci w poszukiwaniu klientów nmap. Zwykle może się wydawać, że nie pomogłoby to zbytnio, jeśli ktoś blokuje pingi, może się nie pojawić.

Sugeruję użycie tego w połączeniu z jedną z dwóch pozostałych metod. 1poda ci adres IP, dzięki czemu możesz bezpośrednio nmapować. 2nie da ci adresu IP, ale da ci znać, ilu klientów nmappowinno się spodziewać w tym właśnie momencie. Upewnij się, że wszystkie twoje urządzenia są pingowane.

Podczas nmapuruchamiania (np. sudo nmap -O 192.168.1.1/24) Spróbuje znaleźć hosty, a następnie wykona skanowanie portów, aby ustalić, jakie są. Twoja lista kontrolna powinna zawierać odpowiedź na każde Twoje urządzenie nmap.

Jeśli chcesz pójść o krok dalej, możesz uruchomić prosty serwer na każdym ze swoich komputerów. Po prostu coś, co zaakceptowało połączenie, a następnie je porzuciło. W skrócie: Czegoś nmapszukać. Jeśli okaże się, że jest otwarty, prawdopodobnie jest to twój komputer.

4. Zabezpiecz swoją sieć lepiej

Powinieneś zrobić to najpierw, jeśli się martwisz. Użyj WPA2 / AES. Nigdy nie używaj WEP (pęknięcia w ciągu około pięciu minut).

Jeśli nadal się martwisz, ktoś może znaleźć klucz ( złamanie WPA2 zajmuje dużo danych i czasu obliczeniowego), przejdź do modelu RADIUS. Jest to struktura uwierzytelniania, która konfiguruje klucz jednorazowy dla każdego użytkownika. PITA jednak założyć.

Ale co zrobić ..?

Gdybym nie był zadowolony z rzeczy, prawdopodobnie ręcznie obejrzałbym zrzut z lotniska. Gdybym nadal nie był szczęśliwy, zacząłem pobierać odciski palców rzeczy, które widziałem. Skrypt jest jednak nieco trudny (bynajmniej niemożliwy).

Najłatwiejszym do napisania skryptem będzie skrobanie routera za pomocą odcisku palca nmap. Krótkie i proste.

Oli
źródło
5

Moja sugestia, Oli's 1.

Jeśli Twój „atakujący” uzyska dostęp bez konieczności fałszowania swojego adresu MAC, przyjmie, że nie ma możliwości monitorowania adresów MAC.

Użyj własnego dhcpd ze zdarzeniem, aby w razie potrzeby wyzwolić wiadomość e-mail.

Będę musiał przeprowadzić jakieś badania, ale gdyby to był ja, uruchomiłbym własny dhcpd na urządzeniu z linuksem podłączonym do routera (lub użyłem openwrt), a następnie wysłałbym go e-mailem, jeśli Macaddress poprosi o adres Czego nie ma na białej liście.

EDYCJA: http://linux.die.net/man/5/dhcpd.conf ma wszystkie zasoby potrzebne do wykonania tego. Po prostu utwórz zdarzenie, aby wykonać skrypt, który sprawdzi na białej liście, jeśli adres MAC nie znajduje się na białej liście, poproś o wysłanie e-maila. Zobacz także http://ubuntuforums.org/showthread.php?t=1328967

użytkownik606723
źródło
2
Pytanie dotyczy Wifi. Polecenie użytkownikowi, aby nie korzystał z Wi-Fi, nie jest przydatne w tej sytuacji.
Thomas Ward
1
Podoba mi się pomysł prowadzenia własnego dhcpd. To nieco komplikuje konfigurację sieci, ale proszę bardzo.
Oli
1
Tak, lekko. Ale instalacja zajmie tylko 10 minut. Szczerze mówiąc, zamiast tego użyłbym openwrt. „N3000” to naprawdę niejasny opis routera, ale myślę, że jego uruchomi się openwrt. W ten sposób sieć nie „spadłaby”, gdyby zrobiło to pudełko z dhcpd.
user606723,