Korvet_068 Опубликовано 9 января, 2017 · Жалоба Добрый день. Работаю в большом офисном центре, у многих клиентов стоит свой вай-фай в офисах. Мой контроллер Циско 5508 стал ругаться на то что какие-то точки доступа атакуют мои точки атаками вида Disassociation flood и Deauthentication flood. По другому это называется режим containment, то есть кто-то давит мои точки, не давая клиентам моих точек работать. При этом в большинстве случаев я не вижу мак-адресов атакующих точек в списке обнаруженных Rougue-точек, словно они не вещают никаких SSID, а специально установлены для атаки моих точек. Как можно локализовать местонахождение вражеских точек? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2017 · Жалоба У вас же логи идут, по ним можно определить на каких именно точках проблема, а далее уже по месту их установки слушать эфир что бы определить откуда идут подобные запросы. Такое бывает, когда весь эфир забит и какие-то хитрые товарищи пытаются подобным образом прогнать с частоты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 9 января, 2017 · Жалоба Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sokrat Опубликовано 9 января, 2017 · Жалоба а специально установлены для атаки моих точек. а почему не наоборот, может ты кому-то мешаешь. Там я думаю принцип, кто раньше встал, того и тапки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 10 января, 2017 (изменено) · Жалоба Нет, я представитель владельца здания, никто не может душить мою служебную сеть. Любителя контейнмента надо найти и обругать. Кстати вопрос: другие вендоры кроме Циски тоже умеют делать на своём вай-фае подавлялку? У Cisco подавление называется Containment, а у прочих как? Изменено 10 января, 2017 пользователем Korvet_068 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 января, 2017 · Жалоба Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? Далее вам нужен микротик, любой с радиоинтерфейсом на нужную частоту, лучше всего с направленной антенной, например Lite2 если это 2ггц частота. Определяете помещение где ловите эти помехи. Микротиком сканируете эфир и находите другие точки, далее слушаете эфир снифером или снупером, по нему определяете блокирующий трафик для вашей сети. Далее по этим же инструментам по уровню сигналов смотрите направление на источник излучений. Находите и проводите профилактические беседы. Аналогично, если у вас есть какой-то другой инструмент, например вайфай адаптер со сканером на линуксе - можно использовать и его. Но он должен уметь пакеты ловить и показывать сигналы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 10 января, 2017 · Жалоба aruba (HP) умеет вроде, Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом? я так понимаю при использовании подавления идет спуфинг src mac, то есть вы увидите только маки своих точек, не более. тут интересный тред есть с предложениями по поиску - причина оказалась в кривых руках :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 10 января, 2017 · Жалоба Имею програму CommView, она поможет? Пока с ней не разбирался толком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f.tagir Опубликовано 18 января, 2017 (изменено) · Жалоба Поставь утилиту на телефон и походи посмотри эфир. Мы сейчас строим объект на мотороле, так очень помогает. Так выявил железку на демостенде которая жутко давит в эфир. А еще с частотниками ходили, им пара точек не понравилась. Софт позволяет по уровням идентифицировать зоопарк в сети. Софтов много, я поставил от Арубы... ЗЫ Телефон желательно 2.4 и 5 должен видеть Изменено 18 января, 2017 пользователем f.tagir Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...