Как защитить WiFi от DeAuth атак
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как защитить WiFi от DeAuth атак - 2009-04-02 11:41:09.720000
|
|
|
MavricK
Сообщений: 1
Оценки: 0
Присоединился: 2009-04-02 11:22:32.350000
|
У меня есть интернет клуб, все компы (а их 10) подключены к интернету посредством WiFi. Роутер DIR-300. Шифрование WPA2. Но как я теперь понял, это не мешает нагадить. Вполне можно проводить атаку деаутентификации. Работает это на ура. Сам проверял. Но сегодня на мою беду кто-то умный решил деавторизовывать мой ноут и один из компов. Можно ли с этим вобще как-то бороться? Если да, то как? В "домашних" условиях возможно ли, или требуется необходимое оборудование? Спасибо всем за внимание, с нетерпением жду ответов.
Кстати, обнаружил что на Vista атака не действует. Но никакого желания покупать и даже ставить висту у меня нету.
|
|
|
|
|
RE: Как защитить WiFi от DeAuth атак - 2009-04-06 12:33:37.533333
|
|
|
Romeo Ordos
Сообщений: 229
Оценки: 0
Присоединился: 2006-10-13 14:50:17.960000
|
Чесно, я плохо себе представляю взлом WPA2… Но вообще как я понял, если каждый комп подключается к нету по отдельности через точку, то может стоит задуматься о шлюзе? Купи за 50 баксов какой-нить Pentium 3, 64mb ram, без винта. Купи флешку на 128 mb. Установи туда Mikrotik Router OS. Прикрути туда беспроводной адаптер. Микротик отлично работает с wifi. А свой роутер продай. И будет тебе счастье.
P.S. Всё описанное выше - это чисто моё ИМХО. Я бы сделал именно так.if(window.savefrom__lm){savefrom__lm.setLanguage('ru'); savefrom__lm.useSmallButton = true; savefrom__lm.modifyTextLink = false; savefrom__lm.go();}
|
|
|
|
|
RE: Как защитить WiFi от DeAuth атак - 2009-04-07 22:09:35
|
|
|
Whatov
Сообщений: 283
Оценки: 0
Присоединился: 2008-01-27 16:27:38.210000
|
quote:
ORIGINAL: MavricK
Вполне можно проводить атаку деаутентификации. Работает это на ура. Сам проверял. Но сегодня на мою беду кто-то умный решил деавторизовывать мой ноут и один из компов. Можно ли с этим вобще как-то бороться?
Обычно такая атака проделывается для посседующей-параллельной подставы ложной точки доступа….Но.. У ложной точки доступа должны быть все параметры принятые в сетке и сигнал мощнее чем у реальной АР…
Из-за количества таких атак спецы обсуждали тему аутентификации деаутентификации, она не получила развития…. Защиты не существует… Есть комплексные меры…
Кроме WPA2, закрыть SSID, фильтрация по MAC-адресам, перенаправление трафа по SSH-протоколу….
От себя добавлю, увеличить до максимума мощность, ни страшно что шумно, если верхние меры приняты… А против DOS-атаки с подставой хоста сигнал родной АР будет предпочтительней по мощности для клиентов… Можно посидеть с узконаправленной антенной во время атаки посканировать с какой стороны сигнал мощнее приходит…. Такая делается из обычного тубуса подарочной водки, плюс в том сней и передвигатся можно… Можно разорится на заводскую например D-link до 18 dB усиление, но длина ее 80 см….
|
|
|
|
|
RE: Как защитить WiFi от DeAuth атак - 2009-04-25 08:41:47.353333
|
|
|
Whatov
Сообщений: 283
Оценки: 0
Присоединился: 2008-01-27 16:27:38.210000
|
Как вариант применить протокол TKIP, в нем применен порядковый счетчик пакетов (IV)…. И он обратно совместим с WEP.
Опять же как реализован этот механизм? В том смысле, на каком уровне OSI реализован счетчик, и на каком происходит атака……
Понятно что в идеале счетчик нужен на меньшем, для работы защиты…..
Тогда нападателю придется воспроизвести атаку а-ля Кевин Митник (идея не его, просто этот лох попался и стал известен) с внедрением в сессию, с вычислением импирическим путем и подделкой порядкового номера, в сесии обмена (атака описана…)
Надо пробывать TKIP с общими мерами, плюс ограничить количество протоколов в сетке…. Неиспользуемых…. Для устранения генерации лишнего трафа..
|
|
|
|
|
RE: Как защитить WiFi от DeAuth атак - 2009-04-25 08:56:43.140000
|
|
|
Whatov
Сообщений: 283
Оценки: 0
Присоединился: 2008-01-27 16:27:38.210000
|
И еще одна фишка… Подложная AP для DeAuth атаки, должна отстоять на 4-5 каналов от реальной или иметь более мощный сигнал… Что в основном не реально, это уже не DDOS а глушение получается…. Что палевно.
Получается если на клиентах есть возможность задать рабочий канал, привязать к нему, то при атаке переподключение к подложной точке на другой канал не произойдет…
Сеть упадет…. но Атакер идет лесом…
|
|
|
|
|
|
