[Wi-Fi, BT] Задай вопрос - получи ответ!

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Alexsize, 11 Sep 2007.

Thread Status:
Not open for further replies.
  1. Natz

    Natz New Member

    Joined:
    13 Jun 2011
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Ребят, подскажите пожалуйста софт для обнаружения атак на беспроводные сети (windows платформа)
     
  2. Alexan007

    Alexan007 Elder - Старейшина

    Joined:
    29 Jan 2010
    Messages:
    52
    Likes Received:
    10
    Reputations:
    13
    для аудита беспроводных сетей в винде стоит присмотреться к CommView for WiFi, последней версии ломаной в паблике пока правда нет
     
  3. Natz

    Natz New Member

    Joined:
    13 Jun 2011
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    а именно для обнаружения атак, создания своих правил?
    слышал про omnipeek и airmagnet, но мне кажется они больше расчитаны на масштабы предприятий, а мне бы поменьше что-нибудь) да и крякнутых их фиг достанешь, большинство же других требуют адаптеры airpcap =\
     
  4. Alexan007

    Alexan007 Elder - Старейшина

    Joined:
    29 Jan 2010
    Messages:
    52
    Likes Received:
    10
    Reputations:
    13
    Крякнутые они есть, но, вопрос еще будет и в том, будут ли они те, что есть крякнутые, работать с вашим железом, про масштабы, универсальность еще никто не отменял.
     
  5. Natz

    Natz New Member

    Joined:
    13 Jun 2011
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    А нет никаких альтернатив этим программам, кроме Commview?
     
  6. Alexan007

    Alexan007 Elder - Старейшина

    Joined:
    29 Jan 2010
    Messages:
    52
    Likes Received:
    10
    Reputations:
    13
    а что вас не устраивает в тех программах? у вас какие-то специфические задачи?
     
  7. dimish

    dimish New Member

    Joined:
    29 Apr 2011
    Messages:
    25
    Likes Received:
    1
    Reputations:
    5

    Ну, раз общими словами не отделаться:
    Вот что я вижу по точке и клиенту:
    CH 6 ][ Elapsed: 5 mins ][ 2011-09-19 11:31
    BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
    1C:AF:F7:цц:цц:цц -77 81 1229 10376 19 6 54 WPA2 TKIP PSK ццццццц
    BSSID STATION PWR Rate Lost Packets Probes
    1C:AF:F7:цц:цц:цц 00:26:5E:цц:цц:цц -84 11 - 1 0 12868

    вот что происходит когда я пользую aireplay
    root@bt:~# aireplay-ng -0 10 -a 1C:AF:F7:цц:цц:цц -c 00:26:5E:цц:цц:цц mon0
    11:31:19 Waiting for beacon frame (BSSID: 1C:AF:F7:цц:цц:цц) on channel 6
    11:31:20 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|51 ACKs]
    11:31:21 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|47 ACKs]
    11:31:21 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|34 ACKs]
    11:31:22 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|49 ACKs]
    11:31:23 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|55 ACKs]
    11:31:23 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|58 ACKs]
    и т.д.

    Я так понимаю aireplay и так подставляет мак ассоциированного клиента при инъекциях, о чём ты и упоминалось в длинной английской фразе.
     
  8. Alexan007

    Alexan007 Elder - Старейшина

    Joined:
    29 Jan 2010
    Messages:
    52
    Likes Received:
    10
    Reputations:
    13

    Нет, в той фразе, написано, что если вы не сделаете аутентификацию, то у вас ничего не выйдет - точка доступа не будет принимать ваши пакеты,НО
    та фраза написана о WEP!!!
    А у вас WPA2!(поэтому надо писать что вы собираетесь ломать!!!)
    и в той фразе шла речь о необходимости фальшивой аутентификации, для последующего взлома WEP.
    У вас же WPA2, и вам нужно сделать деааутентификацию - отсоединение одного единственного вашего клиента от точки доступа(-0 10).
    В случае с WPA2 для вас важен хороший сигнал от клиента которого вы будете отсоединять,у вас написано что сигнал -84,этого мало, и тут либо направляйте антенну на клиента, либо действительно перебирайтесь к нему ближе.
    Я сомневаюсь что с таким сигналом что-то получится.

    Вторая причина может быть в железе, ранее вы проделывали подобное на этой карте?

    кроме того, дабы убедиться что клиент принял ваши пакеты на отсоединение, запустите в фоне Wireshark и посмотрите прилетают ли к вам ACK пакеты от клиента, если же нет, то он просто не получает ваших,вследствие удаленности вас от него.
     
    #3328 Alexan007, 19 Sep 2011
    Last edited: 19 Sep 2011
    2 people like this.
  9. dimish

    dimish New Member

    Joined:
    29 Apr 2011
    Messages:
    25
    Likes Received:
    1
    Reputations:
    5
    Я вас понял. Мне, почему-то, казалось, что пакеты деаутентификации посылаются точке, а не клиенту. Действительно -84 - мало. И разве не количество вернувшихся пакетов указывается первым числом перед "|" в выводе aireplay? У других оно обычно не 0. И, извините, я упоминал, что ловлю именно handshake, а значит это wpa. И да, я уже многих наловил (но не многих расшифровал, правда) и карта рабочая. Просто с подобной ситуацией ещё не сталкивался.

    Спасибо вам за подробный ответ. Machine тоже спасибо.
     
  10. Alexan007

    Alexan007 Elder - Старейшина

    Joined:
    29 Jan 2010
    Messages:
    52
    Likes Received:
    10
    Reputations:
    13
    Скажу вам по большому секрету что и -77 это мало,хотя смотря для чего.
    Вам казалось, пакеты посылаются клиенту, а вот почему вам так казалось, думаю вам виднее).Дело в том что в аиркреке не всегда отражалось сколько ответов прилетело, на всякий случай я об этом упомянул.Извините, но вы пишете про хендшейк и тут же выпаливаете такую фразу "Думал-думал, покурил ман по aireplay - вычитал, что DeAuth не срабатывает при mac-фильтре на точке". По меньшей мере странные мысли,если вы ловите хендшейк).
     
  11. Natz

    Natz New Member

    Joined:
    13 Jun 2011
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    да нет, нужно провести эксперимент и обнаружить атаку
     
  12. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    Сегодня как то поймал себе на мысли.

    Вот скажем открытая точка доступа. Ставим WireShark настраиваем перехват трафика и "смотрим" трафик.
    А не кажется, что технология снифинг устарел? или я постарел :D
    Сейчас же почти все сайты (более менее уважаемые) авторизации принимают по HTTPS протоколу, тот же mail.ru даже уже ужает https во время передачи данных.
    Получается тут уже сниферы безнадежны?
    логин-пароли не перехватить ?
     
  13. теща

    теща Экстрасенс

    Joined:
    14 Sep 2005
    Messages:
    2,027
    Likes Received:
    526
    Reputations:
    285
    каждый использует в своих целх ту или иную дыру да и не все сайты даже уважаемые используют https )
     
  14. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    ну все же я прав по поводу "если HTTPS, то собираем вещи и переежаем" :D ?
    ну т.е. нет методик в real-time режиме получить пассы от htps? (во время снифа)
     
  15. dupD0M

    dupD0M Elder - Старейшина

    Joined:
    18 May 2010
    Messages:
    1,130
    Likes Received:
    74
    Reputations:
    34
    есть!!!ССЛ стрип называется!ну не вкурсе работает она ща ну гмайл перехватывает ;)
     
  16. Alexan007

    Alexan007 Elder - Старейшина

    Joined:
    29 Jan 2010
    Messages:
    52
    Likes Received:
    10
    Reputations:
    13
    sslstrip запускаешь, либо связку sslstrip+ettercap, тут уже кому что нравится, так что не надо паниковать) либо ее + arpspoof как вариант
     
    #3336 Alexan007, 24 Sep 2011
    Last edited: 24 Sep 2011
    1 person likes this.
  17. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    +1

    это хорошо. А с wireshark или Cain вариант ?
    кстати, как это дело работает? на лету сразу дешифровывает https или потом надо дешифровать
     
  18. Alexan007

    Alexan007 Elder - Старейшина

    Joined:
    29 Jan 2010
    Messages:
    52
    Likes Received:
    10
    Reputations:
    13
    Cain это под винду и вот что пишут в мануале:

    APR-HTTPS enables the capture and the decryption of HTTPS traffic between hosts. It works in conjunction with Cain's Certificate Collector to inject fake certificates into SSL sessions, previously hijacked by mean of APR. Using this trick it is possible to decrypt encrypted data before it arrives to the real destination performing a what so called Man-in-the-Middle attack.

    как видим фича такая есть,создание липовых сертификатов,но они же пишут ниже, что винда ругается на эти сертификаты

    Wireshark, он поймает все пакеты что вам нужно, но делать с ними он ничего подобного не умеет
    Конечно же это работает не лету тип атаки человек по середине, сначала делается arpspoofing, чтобы сделать редирект пакетов через вас, а у вас работает sslstrip и он уже на лету делает свое грязное дело, зараженный хост само собой ничего не подозревает
     
  19. dupD0M

    dupD0M Elder - Старейшина

    Joined:
    18 May 2010
    Messages:
    1,130
    Likes Received:
    74
    Reputations:
    34
    оно не перехватывает сам ССЛ оно просто его через твой порт пропускает как бычное подключение а твой комп уже пускает перехваченые данные на ССЛ и товарищ не чего не заподозрит!
     
  20. Alexan007

    Alexan007 Elder - Старейшина

    Joined:
    29 Jan 2010
    Messages:
    52
    Likes Received:
    10
    Reputations:
    13
    Спасибо, будем знать, как оно на самом то деле :D
     
Thread Status:
Not open for further replies.