Detectar un sniffer en mi red

Iniciado por viper2, 18 Febrero 2017, 16:12 PM

0 Miembros y 1 Visitante están viendo este tema.

viper2

Hola a tod@s:


Hace una semana me dió por revisar la configuración del router, ya que las semanas anteriores me iba la conexión como el culo. Tal como sospechaba, había más de un 'parásito' enganchado (5 smartphones y un PC).

Les bloqueé sus direcciones MAC, cambié la password del router, así como la de la red, y además cambié el SSID. Revisé que tuviera puesta la cifrado WPA2 con AES, y he deshabilitado el WPS, además de rebajar la señal de la antena al 20% (con éso ya tengo de sobra para el piso).

Total, todo bien durante un par de días, pero ahora me encuentro con que hay un dispositivo con la misma MAC que otro aparato mío, y con la siguiente IP correlativa (o sea, si fuera 192.168.1.50, pues tiene la 51).

Estoy seguro de que es un sniffer, pero en éstos temas ando muy pez. Ya he probado a realizar un ping a dicha IP y no me responde.

Me gustaría saber si hay alguna manera relativamente sencilla (o un software) para poder detectar dichos intentos de intrusión y poder bloquearlos (o redirigir su tráfico a otro sitio para poder hacer un log).

La idea es recopilar información de dicho ataque, así como toda la información posible de los dispositivos que se hayan conectado de manera ilegal a raiz de dicho ataque, y poder denunciarlo.

¿Alguien podría ayudarme?


Un saludo.

MCKSys Argentina

No tengo mucha idea del tema, pero como medida extra de prevención podrías hacer que el SSID esté oculto.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


viper2

Cita de: MCKSys Argentina en 18 Febrero 2017, 17:20 PM
No tengo mucha idea del tema, pero como medida extra de prevención podrías hacer que el SSID esté oculto.

Saludos!
¡Hola! Probé ésa opción, pero al hacerlo mis Android conectados se perdían. Y para usar el wifi necesito que haya un SSID... salvo que haya una manera de poder conectarlos sin éso (pregunto desde la ignorancia, las redes no son lo mío).

Sh4k4

#3
Hay muchas apps para ver si alguien esta realizando un arp poison basico, pero como sabemos la captura puede ser tambien pasiva asi que te toca revisar a la inversa, la primera tool podria ser DecaffeinatID, otra Netcut, otra intercepter, otra cain, otras mas por ahi y claro el listado de las macs en la lista arp, sino deshabilitar la wifi por un rato mientras revisas dispositivo por dispositivo quien es el que conecta, si se conecta obvio tiene la clave, verifica sino te han troyanizado o tienen (atacantes) algun modo de conocer de nuevo la clave, avisa a tus usuarios de tu wifi y realiza el sniffeo tu, aparte de la accion de choque y quizas caida, ademas de hablar ala policia local de tu localidad donde vives para hacer el debido reporte de intrusion a tu red wifi

viper2

Cita de: Sh4k4 en 18 Febrero 2017, 18:11 PM
Hay muchas apps para ver si alguien esta realizando un arp poison basico, pero como sabemos la captura puede ser tambien pasiva asi que te toca revisar a la inversa, la primera tool podria ser DecaffeinatID, otra Netcut, otra intercepter, otra cain, otras mas por ahi y claro el listado de las macs en la lista arp, sino deshabilitar la wifi por un rato mientras revisas dispositivo por dispositivo quien es el que conecta, si se conecta obvio tiene la clave, verifica sino te han troyanizado o tienen (atacantes) algun modo de conocer de nuevo la clave, avisa a tus usuarios de tu wifi y realiza el sniffeo tu, aparte de la accion de choque y quizas caida, ademas de hablar ala policia local de tu localidad donde vives para hacer el debido reporte de intrusion a tu red wifi

Ésto era justo lo que necesitaba saber. ;D Indagaré un poco a partir de ahí.

De momento, he cambiado de nuevo la clave, por otra bastante más larga y puñetera, y la IP sospechosa ha desaparecido de la lista. Éso, junto con el cifrado WPA2+AES (deshabilitada compatibilidad con WPA), el WPS deshabilitado, señal de antena rebajada al 20%, filtrado MAC y retocado alguna opción del firewall... quizás me faltaría cambiar otra vez el SSID, aunque si ha utilizado MAC spoofing supongo que sería una tontería (¿o no?).

Ya tenía los equipos analizados (incluso con herramientas de segunda opinión) y no ha saltado nada, por lo que supongo que ha sido un ataque totalmente externo.

Ya os contaré si sale algo más. Muchas gracias por la ayuda.



PD: Revisando los logs del router, después de retocar el firewall, me ha salido ésto:

833   Feb 19 00:15:49   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=185.43.182.59 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=60 ID=33302 DF PROTO=TCP SPT=80 DPT=33284 WINDOW=1175 RES=0x00 ACK URGP=0
834   Feb 19 00:17:05   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=23.214.210.142 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=58 ID=32984 DF PROTO=TCP SPT=443 DPT=37362 WINDOW=972 RES=0x00 ACK URGP=0
835   Feb 19 00:18:10   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=23.214.210.142 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=58 ID=61446 DF PROTO=TCP SPT=443 DPT=37363 WINDOW=1007 RES=0x00 ACK URGP=0
836   Feb 19 00:25:10   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.13.84 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=48488 LEN=1358
837   Feb 19 00:26:52   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.5.137 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=58395 LEN=1358
838   Feb 19 00:27:54   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.5.137 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=58395 LEN=1358

¿Indicaría ésto un intento de sniffing?

engel lex

Cita de: MCKSys Argentina en 18 Febrero 2017, 17:20 PM
No tengo mucha idea del tema, pero como medida extra de prevención podrías hacer que el SSID esté oculto.

Saludos!

esto no es de ninguna utilidad frente a cualquier herramienta de analisis, ya que los dispositivos conectados delatan al AP en la conexión... esto es más un asunto de organización y conveniencia visual asi como lo es el filtro mac
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Sh4k4

Citar¿Indicaría ésto un intento de sniffing?
un udp flood attack es un DOS no un sniff, quizas el alive del port en responding, data ya sabes.. getting info from who knows

Para los interesados en tools anti sniffeo pueden buscar mas tools por la red con la premura: "detecting mode promiscuous", ya que es una cualidad al ser puestos los chips que soporten el modo de estos adaptadores wifi de cada dispositivo en especial y claro responden al estar activo, el pasivo inevitable pero vamos no esta abierta asi que a pulir tools, si alguien me hace mitm y yo hago mitm, que pasa?... bueno otra forma de saber la inversa del ataque, dos ips iguales? routers malos? ya saben que pasa obvio...  :rolleyes:, mask macs and macs ghots, recuerdo el porque de la paranoia salu2 and happy pentest!