web-dev-qa-db-ja.com

手がかりを探して、ワイヤレス経由で着信する奇妙なパケット

町でairodump-ngを実行しているときに、異常なタイプのAPまたは疑似APに気づきました。ワイヤレスビーコンフレームの安定したストリームがチャネル6に着信します。フレームは有効ですが、いくつかの奇妙な特徴があります。

  • 宛先MACはブロードキャストされます([〜#〜] ff [〜#〜][〜#〜] ff [〜#〜][〜#〜] ff [〜#〜][〜#〜] ff [〜#〜][〜#〜] ff [〜#〜][〜#〜] ff [〜#〜]))BSSIDとソースMACはゼロに設定されます(000000000000)。
  • ESSIDはありません
  • 信号強度は比較的安定しており、近隣のネットワークと同等であり、これが近くの建物にあるデバイスであると私に思わせます。
  • これらのフレームが入る速度は奇妙です。隣接ネットワークのほとんどはビーコンを毎秒10パケットの安定した速度で送信しますが、これはその速度を3倍にし、毎秒約30パケットで着信します。

これに遭遇したことはありますか?ドライバーに問題がある可能性が高いと思いますか、それともデバイスの既知の動作ですか?

(パケットの例をご覧になりたい場合は、この1分間のダンプ、BSSIDでフィルタリング。)

3
hololeap

ネットワークデバイスが値00:00:00:00:00:00をMACアドレスとして使用する場合、それはマルチキャストアドレスとして使用されますが、要求はそれを受信するすべてのデバイスによって処理されます(したがって、マルチキャストグループ)。

説明には、何が起こっているのかを推測するのに十分な詳細はありませんが、妥当な制限があると推測できます。

次の理由から、攻撃ではない可能性があります。

  1. wEPに対するアクティブなディクショナリ構築攻撃は、人工的なトラフィック生成を通じて明らかであり、マルチキャストとして表示されません。

  2. 無許可のモバイルステーションからトラフィックを注入するアクティブな攻撃は、独自のMACを使用するか、マルチキャストではなく別の正当なMACをデコイします

  3. アクセスポイントをターゲットとするトラフィックを復号化するアクティブな攻撃はブロードキャストを使用しませんが、アクセスポイントをターゲットとし、アクセスポイントからの送信トラフィックが増加することを確認します(アクセスポイントをクラックするのに十分な回数、接続を開始しようとすることを確認することが目的です) WEPキー)

  4. パッシブ攻撃はサイレントなので、検出されません。

何が起こっているのか正確に推測するのは少なすぎますが、経験に基づいた推測では、アクセスポイントの設定ミスが考えられます。この動作が新しいのか、断続的なのか、それとも何かを教えてください。 (そして、はい、可能であればパケットの一部をキャプチャして共有してください)

1
user34445