Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Вывод Kismet показывает бесконечный поток MAC-адресов, пытающихся(?) связаться с моим BSSID – возможная DDoS-атака или, возможно, признаки грубой силы?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Анализ сетевых проблем и возможные атаки на Wi-Fi
  4. Введение
  5. 1. Возможные типы атак
  6. 2. Причины отсутствия предупреждений от Kismet
  7. 3. Рекомендации по реагированию
  8. Заключение

Вопрос или проблема

В последнее время я замечаю некоторые проблемы с моим Wi-Fi (разрывы соединения, ухудшение сигнала, периодические задержки при просмотре на некоторых устройствах и т. д.), и в итоге я решил провести исследование.

Kismet показывает бесконечный поток MAC-адресов, которые связываются (или пытаются связаться, по сути) с моим BSSID (фактически, с обоими моими точки доступа, которые работают в Mesh). Это можно увидеть на картинке ниже:

Картинка 1

Хотя я удалил свои MAC-адреса, kismet перечисляет всех этих клиентов с моими BSSID в соответствующей колонке. Информации о устройствах не так много, только то, что только один пакет был отправлен на мой BSSID, и что этот пакет был “LLC/Management”. Смотрите картинку ниже для примера:

Картинка 2

Мне кажется, довольно ясно, что это подделанные MAC-адреса и что-то вроде атаки происходит, поэтому вопросы следующие:

1. Какой тип атаки это может указывать?

2. Почему kismet не смог создать предупреждение?

Еще один вопрос:

  • Как лучше отреагировать?

Обратите внимание, что в данный момент карта сканирует все каналы в спектре 2.4 GHz, поэтому она, вероятно, пропустит некоторые попытки. Текущая скорость обнаружения составляет один клиент каждые 2-50 секунд.

Ответ или решение

Анализ сетевых проблем и возможные атаки на Wi-Fi

Введение

Ваше беспроводное соединение и наблюдаемые проблемы, такие как отключения, ухудшение сигнала и лаги, могут быть следствием различных факторов. Однако наличие потока MAC-адресов, пытающихся связаться с вашим BSSID, вызывает серьезные подозрения на активные сетевые атаки. В данном анализе мы рассмотрим возможные виды атак, причины отсутствия предупреждений от Kismet и рекомендации по реагированию на ситуацию.

1. Возможные типы атак

На основе описанных вами симптомов и наблюдений с Kismet, вполне вероятно, что ваше сетевое окружение подвержено следующим видам атак:

  • Подделка MAC-адресов (MAC Spoofing): Как вы правильно заметили, поток нестандартных MAC-адресов может указывать на то, что атакующий использует технику подделки, чтобы замаскироваться под легитимные клиенты и пытаться получить доступ к вашей сети.

  • Brute-Force атака: Если поток соединений продолжается с постоянной скоростью (один клиент каждые 2-50 секунд), это может указывать на попытку перебора паролей. Атакующий мог бы использовать множество сгенерированных MAC-адресов, чтобы обойти проверки доступа.

  • DDoS-атака на уровень канала: В зависимости от интенсивности попыток подключения, это может свидетельствовать о распределенной атаке, целью которой является перегрузка вашей сети путем генерации большого объема трафика.

2. Причины отсутствия предупреждений от Kismet

Система Kismet может не генерировать оповещения по нескольким причинам:

  • Настройки фильтрации: Возможно, Kismet настроен на игнорирование определенного типа трафика или имеет ограничения по количеству отображаемых событий.

  • Отсутствие паттернов для оповещения: Kismet может не распознавать характер событий, как нечто необычное, если такие MAC-адреса наблюдаются в пределах нормального диапазона.

  • Проблемы с захватом трафика: Ваша сетевое оборудование может не справляться с нагрузкой, особенно если оно пытается сканировать все каналы одновременно, что может привести к пропуску значительного количества обменов данными.

3. Рекомендации по реагированию

  • Изоляция сети: Временно отключите Wi-Fi и используйте проводное соединение, чтобы предотвратить дальнейшие подключения злоумышленников.

  • Изменение пароля и SSID: Смените пароль доступа к вашей сети, убедитесь, что он является достаточно сложным. Рассмотрите возможность изменения имени сети (SSID), что может затруднить атаки, основанные на известности вашей сети.

  • Фильтрация MAC-адресов: Настройте фильтрацию MAC-адресов на вашем маршрутизаторе, чтобы разрешить доступ только определенным устройствам. Хотя эта методика не является абсолютно надежной, она добавляет дополнительный уровень защиты.

  • Мониторинг трафика: Продолжайте использовать Kismet для мониторинга трафика и собирайте информацию о подключения. Установите дополнительное ПО для обнаружения вторжений, чтобы повысить уровень безопасности.

  • Обновление прошивки маршрутизатора: Убедитесь, что ваша маршрутизаторная прошивка обновлена до последней версии, чтобы воспользоваться улучшениями в безопасности.

Заключение

Ваша ситуация требует серьезного подхода, так как это может указать на существующие угрозы в беспроводной сети. Понимание типов атак и применение предложенных решений поможет укрепить вашу безопасность и восстановить нормальное функционирование сети. Не забудьте вести журнал всех изменении и наблюдений, чтобы в дальнейшем иметь возможность проанализировать ситуацию.

Если проблемы будут продолжаться, рекомендуется обратиться к профессиональному сетевому администратору для более глубокого анализа и устранения возникших угроз.

incident-response kismet wifi
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности