Korvet_068 Posted January 9, 2017 · Report post Добрый день. Работаю в большом офисном центре, у многих клиентов стоит свой вай-фай в офисах. Мой контроллер Циско 5508 стал ругаться на то что какие-то точки доступа атакуют мои точки атаками вида Disassociation flood и Deauthentication flood. По другому это называется режим containment, то есть кто-то давит мои точки, не давая клиентам моих точек работать. При этом в большинстве случаев я не вижу мак-адресов атакующих точек в списке обнаруженных Rougue-точек, словно они не вещают никаких SSID, а специально установлены для атаки моих точек. Как можно локализовать местонахождение вражеских точек? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 9, 2017 · Report post У вас же логи идут, по ним можно определить на каких именно точках проблема, а далее уже по месту их установки слушать эфир что бы определить откуда идут подобные запросы. Такое бывает, когда весь эфир забит и какие-то хитрые товарищи пытаются подобным образом прогнать с частоты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted January 9, 2017 · Report post Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sokrat Posted January 9, 2017 · Report post а специально установлены для атаки моих точек. а почему не наоборот, может ты кому-то мешаешь. Там я думаю принцип, кто раньше встал, того и тапки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted January 10, 2017 (edited) · Report post Нет, я представитель владельца здания, никто не может душить мою служебную сеть. Любителя контейнмента надо найти и обругать. Кстати вопрос: другие вендоры кроме Циски тоже умеют делать на своём вай-фае подавлялку? У Cisco подавление называется Containment, а у прочих как? Edited January 10, 2017 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 10, 2017 · Report post Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? Далее вам нужен микротик, любой с радиоинтерфейсом на нужную частоту, лучше всего с направленной антенной, например Lite2 если это 2ггц частота. Определяете помещение где ловите эти помехи. Микротиком сканируете эфир и находите другие точки, далее слушаете эфир снифером или снупером, по нему определяете блокирующий трафик для вашей сети. Далее по этим же инструментам по уровню сигналов смотрите направление на источник излучений. Находите и проводите профилактические беседы. Аналогично, если у вас есть какой-то другой инструмент, например вайфай адаптер со сканером на линуксе - можно использовать и его. Но он должен уметь пакеты ловить и показывать сигналы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted January 10, 2017 · Report post aruba (HP) умеет вроде, Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? я так понимаю при использовании подавления идет спуфинг src mac, то есть вы увидите только маки своих точек, не более. тут интересный тред есть с предложениями по поиску - причина оказалась в кривых руках :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted January 10, 2017 · Report post Имею програму CommView, она поможет? Пока с ней не разбирался толком. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
f.tagir Posted January 18, 2017 (edited) · Report post Поставь утилиту на телефон и походи посмотри эфир. Мы сейчас строим объект на мотороле, так очень помогает. Так выявил железку на демостенде которая жутко давит в эфир. А еще с частотниками ходили, им пара точек не понравилась. Софт позволяет по уровням идентифицировать зоопарк в сети. Софтов много, я поставил от Арубы... ЗЫ Телефон желательно 2.4 и 5 должен видеть Edited January 18, 2017 by f.tagir Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...