Korvet_068 Posted January 9, 2017 Posted January 9, 2017 Добрый день. Работаю в большом офисном центре, у многих клиентов стоит свой вай-фай в офисах. Мой контроллер Циско 5508 стал ругаться на то что какие-то точки доступа атакуют мои точки атаками вида Disassociation flood и Deauthentication flood. По другому это называется режим containment, то есть кто-то давит мои точки, не давая клиентам моих точек работать. При этом в большинстве случаев я не вижу мак-адресов атакующих точек в списке обнаруженных Rougue-точек, словно они не вещают никаких SSID, а специально установлены для атаки моих точек. Как можно локализовать местонахождение вражеских точек? Вставить ник Quote
Saab95 Posted January 9, 2017 Posted January 9, 2017 У вас же логи идут, по ним можно определить на каких именно точках проблема, а далее уже по месту их установки слушать эфир что бы определить откуда идут подобные запросы. Такое бывает, когда весь эфир забит и какие-то хитрые товарищи пытаются подобным образом прогнать с частоты. Вставить ник Quote
Korvet_068 Posted January 9, 2017 Author Posted January 9, 2017 Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? Вставить ник Quote
sokrat Posted January 9, 2017 Posted January 9, 2017 а специально установлены для атаки моих точек. а почему не наоборот, может ты кому-то мешаешь. Там я думаю принцип, кто раньше встал, того и тапки. Вставить ник Quote
Korvet_068 Posted January 10, 2017 Author Posted January 10, 2017 (edited) Нет, я представитель владельца здания, никто не может душить мою служебную сеть. Любителя контейнмента надо найти и обругать. Кстати вопрос: другие вендоры кроме Циски тоже умеют делать на своём вай-фае подавлялку? У Cisco подавление называется Containment, а у прочих как? Edited January 10, 2017 by Korvet_068 Вставить ник Quote
Saab95 Posted January 10, 2017 Posted January 10, 2017 Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? Далее вам нужен микротик, любой с радиоинтерфейсом на нужную частоту, лучше всего с направленной антенной, например Lite2 если это 2ггц частота. Определяете помещение где ловите эти помехи. Микротиком сканируете эфир и находите другие точки, далее слушаете эфир снифером или снупером, по нему определяете блокирующий трафик для вашей сети. Далее по этим же инструментам по уровню сигналов смотрите направление на источник излучений. Находите и проводите профилактические беседы. Аналогично, если у вас есть какой-то другой инструмент, например вайфай адаптер со сканером на линуксе - можно использовать и его. Но он должен уметь пакеты ловить и показывать сигналы. Вставить ник Quote
mikezzzz Posted January 10, 2017 Posted January 10, 2017 aruba (HP) умеет вроде, Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? я так понимаю при использовании подавления идет спуфинг src mac, то есть вы увидите только маки своих точек, не более. тут интересный тред есть с предложениями по поиску - причина оказалась в кривых руках :) Вставить ник Quote
Korvet_068 Posted January 10, 2017 Author Posted January 10, 2017 Имею програму CommView, она поможет? Пока с ней не разбирался толком. Вставить ник Quote
f.tagir Posted January 18, 2017 Posted January 18, 2017 (edited) Поставь утилиту на телефон и походи посмотри эфир. Мы сейчас строим объект на мотороле, так очень помогает. Так выявил железку на демостенде которая жутко давит в эфир. А еще с частотниками ходили, им пара точек не понравилась. Софт позволяет по уровням идентифицировать зоопарк в сети. Софтов много, я поставил от Арубы... ЗЫ Телефон желательно 2.4 и 5 должен видеть Edited January 18, 2017 by f.tagir Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.