Jump to content
Калькуляторы

Найти атакующую точку доступа средствами контроллера Cisco-5508

Добрый день.

Работаю в большом офисном центре, у многих клиентов стоит свой вай-фай в офисах. Мой контроллер Циско 5508 стал ругаться на то что какие-то точки доступа атакуют мои точки атаками вида Disassociation flood и Deauthentication flood.

По другому это называется режим containment, то есть кто-то давит мои точки, не давая клиентам моих точек работать.

При этом в большинстве случаев я не вижу мак-адресов атакующих точек в списке обнаруженных Rougue-точек, словно они не вещают никаких SSID, а специально установлены для атаки моих точек.

 

Как можно локализовать местонахождение вражеских точек?

Share this post


Link to post
Share on other sites

У вас же логи идут, по ним можно определить на каких именно точках проблема, а далее уже по месту их установки слушать эфир что бы определить откуда идут подобные запросы. Такое бывает, когда весь эфир забит и какие-то хитрые товарищи пытаются подобным образом прогнать с частоты.

Share this post


Link to post
Share on other sites

Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?

Share this post


Link to post
Share on other sites

а специально установлены для атаки моих точек.

 

а почему не наоборот, может ты кому-то мешаешь.

Там я думаю принцип, кто раньше встал, того и тапки.

Share this post


Link to post
Share on other sites

Нет, я представитель владельца здания, никто не может душить мою служебную сеть. Любителя контейнмента надо найти и обругать.

Кстати вопрос: другие вендоры кроме Циски тоже умеют делать на своём вай-фае подавлялку?

У Cisco подавление называется Containment, а у прочих как?

Edited by Korvet_068

Share this post


Link to post
Share on other sites

Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?

 

Далее вам нужен микротик, любой с радиоинтерфейсом на нужную частоту, лучше всего с направленной антенной, например Lite2 если это 2ггц частота. Определяете помещение где ловите эти помехи. Микротиком сканируете эфир и находите другие точки, далее слушаете эфир снифером или снупером, по нему определяете блокирующий трафик для вашей сети. Далее по этим же инструментам по уровню сигналов смотрите направление на источник излучений. Находите и проводите профилактические беседы.

 

Аналогично, если у вас есть какой-то другой инструмент, например вайфай адаптер со сканером на линуксе - можно использовать и его. Но он должен уметь пакеты ловить и показывать сигналы.

Share this post


Link to post
Share on other sites

aruba (HP) умеет вроде,

 

Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?

 

я так понимаю при использовании подавления идет спуфинг src mac, то есть вы увидите только маки своих точек, не более.

 

тут интересный тред есть с предложениями по поиску -

 

причина оказалась в кривых руках :)

Share this post


Link to post
Share on other sites

Поставь утилиту на телефон и походи посмотри эфир. Мы сейчас строим объект на мотороле, так очень помогает. Так выявил железку на демостенде которая жутко давит в эфир. А еще с частотниками ходили, им пара точек не понравилась. Софт позволяет по уровням идентифицировать зоопарк в сети.

Софтов много, я поставил от Арубы...

 

ЗЫ Телефон желательно 2.4 и 5 должен видеть

Edited by f.tagir

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.