搜尋
搜尋
  • 10

無線ap被偷連後,已鎖mac及關SSID,還被一直攻擊!!!請問要如何處理~!

前往頁尾
302Taco
302Taco
302Taco
  • 302Taco
  • 個人積分:6分
    文章編號:3468115
6分
71樓
2007-08-27 21:32

richard fu wrote:
所以我的作法是把天線拔下來(通常都是用轉的就可以轉下來)
訊號還可以有60%以上(除非你家大到可以打籃球)


老大您是想測試您的AP零件耐力就是了...不過訊號的概念是對的啦

電壓駐波比(Voltage Standing Wave Radio;VSWR)..
電波在經過不同介質時,由於阻抗特性不同,波的能量會有一部份被反射,此種波稱為駐波...
若阻抗為0或無限大時,會全部反彈

若是把天線拔掉...阻抗=無限大...倒楣的就是你的AP啦...
無線AP無論如何切記一定要裝天線,倒是有些AP可以調功率的話把功率調小是不錯的想法

至於版上有人提到用頻譜分析找...應該不是這樣講啦...
有些無線安全防禦的IPS像是Airmagnet,可以依照訊號大小去發出聲音,聲音越密集表示越接近,最後找到發射源

但是..............
僅限平面樓層,如果跨大樓(像是住家)...理論上訊號並不好,很難鎖定,而且你也不可能從空中接近別人家吧...

另外鎖MAC的方式其實如果對Hacker而言,是無用的...只要會Sniffer,管你鎖什麼MAC...我都可以把我的網卡改成你的網卡MAC

而隱藏SSID...其實只是在Beacom封包中將SSID拿掉,但是當有人在使用的時候,所發出的Probe Response封包仍然會帶SSID,所以就算隱藏還是有機會看的到...

最安全的作法還是建立RADIUS及802.1x...但是對一般家用太複雜了點...

至於DHCP...一點關係都沒有....無線網路的重點在L2...L2都沒過了怎麼到L3去...

所以,調低功率是一個作法,搭配定時換WPA2-Share Key,密碼用複雜點...至少會好一點
重點是想辦法不要讓人家連進來,而不是防止人家來Try你...真的要防止的話...打給刑事偵九隊吧...看他們要不要開電信偵察車過來....
nalbuphine
nalbuphine
nalbuphine
0分
樓主
2007-08-27 22:07
謝謝大家給的許多寶貴的意見
來跟大家報告一下,最新的發展~!

首先,我想先照有些朋友說的"故意讓那人連進來",想來個反自追查那個人的資料
我就把ssid再次打開,mac也不鎖了,wpa-psk的密碼也改回原來被破的那個密碼
想說讓那個不速之客自投羅網

做完上面的事後,我上網goo看看,要如何的反追查…
orz,但是…小的我天資…不是很好
真的是…有看沒有了…orz

後來,又再次看log才發現,那個不速之客從昨天(8/26)11點多後,好像就沒有再來敲了;
我就一個晚上都不設防,等他來連,但是他反而不來連了~~????

今天回來後,再次看log,都沒看到有人連進來的資料~!
心想,這人可能知難而退了
這樣也好,反正我也不會反追查
事情就讓他到一段落

我就把ap的ssid關閉,mac鎖起來,改了一組新的wpa-psk的密碼
便上來mobile01跟大家說謝謝

不料此時,這位仁兄又出現了

星期一 8 月 27, 2007 21:55:28 Unallowed access from WLAN 00-0D-0B-EF-38-A7
星期一 8 月 27, 2007 21:55:29 Unallowed access from WLAN 00-0D-0B-EF-38-A7
星期一 8 月 27, 2007 21:55:29 Unallowed access from WLAN 00-0D-0B-EF-38-A7
星期一 8 月 27, 2007 21:55:31 Unallowed access from WLAN 00-0D-0B-EF-38-A7
星期一 8 月 27, 2007 21:55:31 Unallowed access from WLAN 00-0D-0B-EF-38-A7
星期一 8 月 27, 2007 21:55:32 Unrecognized attempt blocked from 218.166.121.124:4917 to xxx.xxx.xxx.xxx TCP:445
星期一 8 月 27, 2007 21:55:35 Unrecognized attempt blocked from 218.166.121.124:4917 to xxx.xxx.xxx.xxx TCP:445
星期一 8 月 27, 2007 21:55:39 Unallowed access from WLAN 00-11-2F-86-8B-5B
星期一 8 月 27, 2007 21:55:39 Unallowed access from WLAN 00-11-2F-86-8B-5B

現在我的想法是:反正他也進不來,要攻擊的話,我也沒辨法~!

但是有個問題想請教各位朋友
到底我的ap不設防的時後,這位仁兄有無連進來??
有沒有可能是他有連進來,進來後把ap的log改了,所以看不見他有連進來??

btw;我的ap只是D-Link DI-524
我是全國電子年中慶時買的,不用1000,還可分五期~!
s874760
s874760
s874760
  • s874760
  • 個人積分:1分
    文章編號:3468813
1分
73樓
2007-08-27 22:57
來自WLAN的阻擋名單:
00-0D-0B-EF-38-A7的製造商是Buffalo Inc.
00-11-2F-86-8B-5B是ASUSTek Computer Inc.
檢查看看你附近是否有這兩個廠牌的無線設備; 雖然這些MAC有可能是假造的

來自WAN的阻擋名單:
218.166.121.124(來自 HiNet)利用Server Message Block協定來存取您的電腦
Internet上總是會有很多很多掃描探測封包四處亂竄, 所以很正常

原來你用的是 di-524, 我用的是 di-624; 所以我建議你用有線的方式連到AP的web管理介面
更改admin的密碼(給個高強度密碼), 再重新檢視你的設定組態
302Taco
302Taco
302Taco
  • 302Taco
  • 個人積分:6分
    文章編號:3468823
6分
74樓
2007-08-27 22:46
星期一 8 月 27, 2007 21:55:31 Unallowed access from WLAN 00-0D-0B-EF-38-A7
這組MAC是Buffalo所註冊的
00-0D-0B (hex) Buffalo Inc.
000D0B (base 16) Buffalo Inc.
MELCO HI-TECH CENTER,
SHIBATA HONDORI 4-15 MINAMI-KU,
NAGOYA 457-8520
JAPAN

其晶片為Broadcom的BCM5352EKPB,代表作品為WHR-G54s


星期一 8 月 27, 2007 21:55:39 Unallowed access from WLAN 00-11-2F-86-8B-5B
這組MAC是Asus所註冊的
00-11-2F (hex) ASUSTek Computer Inc.
00112F (base 16) ASUSTek Computer Inc.
No.150, Li-Te Rd., Peitou
Taipei 112
TAIWAN, REPUBLIC OF CHINA

其晶片為Marvell Yukon 88E8053,只是比較奇怪的是我查到的是有線網卡說...

如果在不被駭客的前提下....
我比較想知道的是您是否有曾經建立過WDS之類的...

另外我懷疑的是,是否跟您的SSID隱藏有關...您可以試著單純的打開跟關閉SSID廣播...看看Log是否會出現...說不定是你家的某些設備沒有支援隱藏SSID...

因為說真的...駭客通常破解密碼...不會直接連線到你...
而是如我所說的用Sniffer後再破解(這個動作跟你完全無關...),用Try的Hacker...除非是想打爆你(DDOS)...

birdmouse666
birdmouse666
birdmouse666
0分
75樓
2007-08-28 0:04
從你的log來看 那個人跟本沒有完成驗證的動作
也就是說 他根本就無法使用你的網路 不用擔心
如果不放心 抓個封包來看看就知道囉
josephyen
josephyen
josephyen
  • josephyen
  • 個人積分:85分
    文章編號:3470526
85分
76樓
2007-08-28 2:39
是因為你鎖 MAC 所以才會有那個 log
,鎖 MAC 才會判斷是否是允許的 MAC 來源,不是的話就紀錄
如果你不鎖,你的 AP 就沒那個 log 了
nalbuphine
nalbuphine
nalbuphine
0分
樓主
2007-08-28 20:51
josephyen wrote:
是因為你鎖 MAC ...(恕刪)


先謝謝您的提示,這問題我也想過。

但是我真的是有看到我電腦都關時
AP的燈號不個的閃來閃去的
我才會去作鎖MAC的動作

我這台AP很單純的

中華電信路由器-----------ap))))))))))))))))))))))NB一台

上面朋友說的Buffalo Inc.及ASUSTek Computer Inc.
二家的網路設備,我家都沒有


不過;
我先來看看是不是LOG記錄上的問題
也就是您說的是鎖MAC所造成的
或是前面的朋友說的是SSID的設定所造成的

我先來測試,再跟大家卻報告~!

謝謝大家~!
wst2080
wst2080
wst2080
  • wst2080
  • 個人積分:540分
    文章編號:3477019
540分
78樓
2007-08-28 22:39
kenhiro wrote:
我的作法除了鎖MAC...(恕刪)

1. 隱藏SSID (防君子)
  
2.儘可能的使用一切加密機制(PS:這會讓你的連線速度變慢) (還是會被破)
 
3.若AP支援MAC過濾的功能的話,那就啟用! (小弟曾買過久X的IP無線分享器,只有無線網路的功能,連MAC過濾都沒有!真糟糕!便宜沒好貨,還是神腦才是王道阿!) (MAC會被偽造)
 
3.將原先的驗證機制再加上 RADIUS 機制(可以參考看看 AD 方面的資訊)
--->就算被連上了,也要輸入帳號密碼! 這招通常都是在麥當勞或者是一些提供需要付費的無線網路環境使用的! (這個比較像話一點,畢竟是經過上層加密的麻,有VPN的最棒!)
 
4.或樓主有能力的話....那就想盡辦法攻回去...沒能力的反正網路上那麼多的駭客工具(小心會中木馬)....
 
5.那就改用3G無線上網吧! 反正只要SIM卡+3G手機就好.... 不過.... 好像離題了說!
 
6.改實體電路?! 也是不錯的選擇! 要不然就利用Airopeek 或者其他的無線網路工具程式來偵測發掘出那個OO蛋的位置! 然後敲門! 樓主"A先生,你用夠了沒有?!" (這算恐嚇嗎?!)
 
7.騙人的方法.... 就是將無線AP的WAN裝置給予斷路或者是加上一台Proxy伺服器,讓她以為真的連上線,但是裡面資料卻是騙人的... 也就是類似網路釣魚的手段... 建置一個假的網路環境... 等待他上網來欺騙她!!! (不過有點耗費時間與成本)
 
8.監聽網路封包... 看看他連上去之後借用樓主的AP上網... 看要是使用無線網路封包竊聽收集程式,或者是在IP分享器WAN與ATUR之間來動手腳,來加上Session Wall或者是類似Sniffer的程式來竊聽侵占樓主網路的封包... 看他若是有利用帳號密碼的方式來登入其他網路(例如YAHOO)的帳號,在將所得到的戰利品(帳號密碼)...把它改的亂七八糟的(不要殘害其他無辜的網友....就不要傷害到別人摟!~!!)....
 
9. --------------------------------我怕打下去.....會被版主給kick到外太空去啦!!!
 
10. 以上就是一些手段與方法.... 要如何規劃與使用.... 就看樓主摟.....
小弟就不要再提供一些有的沒有的....要不然被公訐....可是粉慘的摟!!!
wst2080
wst2080
wst2080
  • wst2080
  • 個人積分:540分
    文章編號:3477165
540分
79樓
2007-08-28 22:53
樓上的大大也有提到 QoS 的方案,真是讓小弟也佩服(剛好有想到! 可是建置也要花費 CoCo 說!)
 
不過小弟比較喜歡捉弄別人,我寧願會花費時間建置假的環境,讓這個笨蛋上鉤!
 
啥?!搜尋的話要怎麼辦! 就上面寫著 "恭喜你Hack成功,但是你也被我騙摟! 哈哈"
 
要不然就練習建置個Linux Squid 的驗證程序(連線的時候會提示要輸入帳號與密碼,當然傳輸過程中是經過上層的加密!)! 或者是使用 防火牆開放正規的(樓主的PC或者3C裝置)MAC Address List...!!!
 
加油! 逞兇罰惡的重責大任 與 維護世界和平 的重大任務就交給樓主了! 加油!
阿胖技研,專研資訊相關技術!
tarktung
tarktung
tarktung
  • tarktung
  • 個人積分:63分
    文章編號:3481043
63分
80樓
2007-08-29 12:40
wst2080 wrote:
不過小弟比較喜歡捉弄別人,我寧願會花費時間建置假的環境,讓這個笨蛋上鉤!
 

換我也會這麼做,
先搞一堆有的沒有的讓他在裡面轉一轉
再給他"xxx程式植入成功..."
  • 10
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 10)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?