[Korvet_068]

Добрый день.

Работаю в большом офисном центре, у многих клиентов стоит свой вай-фай в офисах. Мой контроллер Циско 5508 стал ругаться на то что какие-то точки доступа атакуют мои точки атаками вида Disassociation flood и Deauthentication flood.

По другому это называется режим containment, то есть кто-то давит мои точки, не давая клиентам моих точек работать.

При этом в большинстве случаев я не вижу мак-адресов атакующих точек в списке обнаруженных Rougue-точек, словно они не вещают никаких SSID, а специально установлены для атаки моих точек.

 

Как можно локализовать местонахождение вражеских точек?

[Saab95]

У вас же логи идут, по ним можно определить на каких именно точках проблема, а далее уже по месту их установки слушать эфир что бы определить откуда идут подобные запросы. Такое бывает, когда весь эфир забит и какие-то хитрые товарищи пытаются подобным образом прогнать с частоты.

[Korvet_068]

Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?

[sokrat]

а специально установлены для атаки моих точек.

 

а почему не наоборот, может ты кому-то мешаешь.

Там я думаю принцип, кто раньше встал, того и тапки.

[Korvet_068]

Нет, я представитель владельца здания, никто не может душить мою служебную сеть. Любителя контейнмента надо найти и обругать.

Кстати вопрос: другие вендоры кроме Циски тоже умеют делать на своём вай-фае подавлялку?

У Cisco подавление называется Containment, а у прочих как?

Изменено 10 января, 2017 пользователем Korvet_068

[Saab95]

Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?

 

Далее вам нужен микротик, любой с радиоинтерфейсом на нужную частоту, лучше всего с направленной антенной, например Lite2 если это 2ггц частота. Определяете помещение где ловите эти помехи. Микротиком сканируете эфир и находите другие точки, далее слушаете эфир снифером или снупером, по нему определяете блокирующий трафик для вашей сети. Далее по этим же инструментам по уровню сигналов смотрите направление на источник излучений. Находите и проводите профилактические беседы.

 

Аналогично, если у вас есть какой-то другой инструмент, например вайфай адаптер со сканером на линуксе - можно использовать и его. Но он должен уметь пакеты ловить и показывать сигналы.

[mikezzzz]

aruba (HP) умеет вроде,

 

Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?

 

я так понимаю при использовании подавления идет спуфинг src mac, то есть вы увидите только маки своих точек, не более.

 

тут интересный тред есть с предложениями по поиску -

 

причина оказалась в кривых руках :)

[Korvet_068]

Имею програму CommView, она поможет? Пока с ней не разбирался толком.

[f.tagir]

Поставь утилиту на телефон и походи посмотри эфир. Мы сейчас строим объект на мотороле, так очень помогает. Так выявил железку на демостенде которая жутко давит в эфир. А еще с частотниками ходили, им пара точек не понравилась. Софт позволяет по уровням идентифицировать зоопарк в сети.

Софтов много, я поставил от Арубы...

 

ЗЫ Телефон желательно 2.4 и 5 должен видеть

Изменено 18 января, 2017 пользователем f.tagir