информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Какие-то странные MAC адреса на точке доступа. 01.02.11 18:25   [HandleX]
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Есть ADSL роутер с беспроводным интерфейсом ASUS DSL N-13.

Если зайти на его веб-морду, то в разделе Wireless-Station info можно посмотреть список associated wireless stations, в виде их MAC адресов. Насколько я понимаю, это список присоединённых к этой точке доступа беспроводных устройств.
Вот они:
1) 00:1E:4C:01:49:6A
2) 50:3A:00:00:07:40
3) 48:5D:60:35:D0:80
4) 33:3A:00:00:06:40
--------------------
А вот они же через 5 секунд (примерно, пока копипастил туда-сюда)
1) 00:1E:4C:01:49:6A
2) 63:3A:00:00:07:40
3) 48:5D:60:35:D0:80
4) 46:3A:00:00:06:40

Видим, что MAC адреса во второй и последней позиции изменились... Если жать в браузере Refresh, то видно, что старший байт этих "изменчивых" маков увеличивается на единицу каждую секунду (примерно), как только доходит до FF, то увеличивается более младший байт на единицу, и т.д. -- этакий счётчик.

Вопрос: что это — это так надо, нас не пытаются поломать? Включена защита WPA2 PSK. Заранее всем спасибо за ответы!
В тему. Очень похоже на атаку перебором. Ну а почему... 01.02.11 23:07  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Вопрос: что это — это так надо, нас не пытаются поломать?
> Включена защита WPA2 PSK. Заранее всем спасибо за ответы!

В тему. Очень похоже на атаку перебором. Ну а почему перебирают "сверху" - чтоб антиперебиралка не догадалась. Действительно слышал про такие приемы.
Странно то, что все-таки пытаются сломать, хотя правильно настроенный вайфай сломать невозможно. Правильно - это WPA/WPA2, сменить пароль администратора, смнить заводской SSID, отключить управление от интернета, использовать сложный ключ. Отключать вещание SSID и фильтровать МАК адреса имеет мало смысла.
Все равно можно спать спокойно. WPA подключение проходит за несколько этапов. Один из них первоначальных - это простая ассоциация, но чтоб подключение было полноценным необходимо пройти все этапы до конца.

Лирическое отступление, для общего сведения. Во первых, в фрейме 802.11 могут использоваться до трех МАК адресов: передатчик, сама точка доступа и приемник. Во вторых, сами точки доступа в своем промышленном исполнении часто имеют несколько групп по два-три МАК адреса: группа может состоять из двух-трех адресов для каждого радиоинтерфейса, а количество групп равно количеству SSID, обслуживаемых точкой доступа.
Script kiddies наверное лезут на кактус ;) 02.02.11 08:54  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 02.02.11 09:19  Количество правок: 5
<"чистая" ссылка>
> Очень похоже на атаку перебором. Ну а почему перебирают "сверху" - чтоб
> антиперебиралка не догадалась. Действительно слышал про такие приемы.
> Странно то, что все-таки пытаются сломать, хотя правильно настроенный вайфай
> сломать невозможно. Правильно - это WPA/WPA2, сменить пароль администратора,
> смнить заводской SSID, отключить управление от интернета, использовать сложный
> ключ.
Всё это есть, да. А по сабжу -- Wi-Fi бывает ломают в лоб, ибо некоторые особо одарённые товаристчи ставят ключ короткий -- а чо, запомнить легче ;)
Ну, ладно, пусть помучаются -)))))))))))

> фильтровать МАК адреса имеет мало смысла
Бывает имеет, когда конечные пользователи ламеры, и делясь ключом безопасности с "корифаном", не додумается отдать и MAC своей карты. Ну а если не ламер, то тогда и будет понимать про все трудности деления одного мака на двоих и проблемы использования сети при таком раскладе ;)
Управлени точно отключено от интернетовского интерфейса? 02.02.11 23:32  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 02.02.11 23:32  Количество правок: 1
<"чистая" ссылка>
> Всё это есть, да. А по сабжу -- Wi-Fi бывает ломают в лоб,

Управлени точно отключено от интернетовского интерфейса?

> ибо некоторые особо одарённые товаристчи ставят ключ
> короткий -- а чо, запомнить легче ;)
> Ну, ладно, пусть помучаются -)))))))))))

Я еще забыл добавить следующее. Если МАК не изменен, то по нему определяется вендор и примерно оборудование (указано ранее). Затем определяется, есть ли какие баги в старых прошивках и прочее. Если прошивка не свежая, исправленная, то могут ломануть.

> > фильтровать МАК адреса имеет мало смысла
> Бывает имеет, когда конечные пользователи ламеры, и делясь
> ключом безопасности с "корифаном", не додумается отдать и
> MAC своей карты. Ну а если не ламер, то тогда и будет
> понимать про все трудности деления одного мака на двоих и
> проблемы использования сети при таком раскладе ;)

К стати, возможна комбинация взлома подбором ключа со сменой МАК адреса. Адрес меняется, чтобы не сработала IDS, как будто это не один подбирает, а разные пытаются сконнектится.
Да, отключено, и пароль хороший на вход в админку. 03.02.11 11:48  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Если все продолжается до сих пор, то вас ломают целенаправленно. 03.02.11 19:10  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Причем лошары какие-то. Или надеются на то, что ключ -... 03.02.11 22:36  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 03.02.11 22:37  Количество правок: 1
<"чистая" ссылка>
Причем лошары какие-то. Или надеются на то, что ключ - словарное слово, или не могут прикинуть сколько милионов лет потребуется для полного перебора.
Всё, не видать их больше... Ну и гуд, всем стало спокойнее -)) 04.02.11 20:39  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Иногда полезно просто обозначить на публике, что знаешь, что... 11.02.11 09:12  
Автор: lazy_anty Статус: Member
<"чистая" ссылка>
Иногда полезно просто обозначить на публике, что знаешь, что тебя долбят. ))
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach