¿Por que el ataque DOS a un router sigue siendo efectivo?

Iniciado por ion dissonance2, 21 Julio 2015, 01:18 AM

0 Miembros y 1 Visitante están viendo este tema.

ion dissonance2

Acabo de cambiar de compañia y pasado a la fibra, y me han puesto un router nuevo.
He estado cambiando los parametros por defecto de la clave WIFI, el acceso al router y demas.
He hecho pruebas con la suite de aircrack y programas conocidos para comprobar que esta seguro y todo de momento perfecto salvo por una cosa. Cuando hago un ataque DOS al router "aireplay-ng..... etc"  resulta que me tira todos los equipos de la red.
¿No se supone que los routers nuevos estan protegidos contra este tipo de ataques?
¿Como se puede detectar si alguien me esta realizando un ataque de este tipo, hay forma de hacerlo?
¿En caso que no se pueda detectar este ataque, la compañia de telefonos si lo denuncio podria saberlo y localizar quien lo efectua?

Me he llevado mucha desilusion al ver que esto no esta solucionado o no existe manera de pararlo. Creo que es un fallo que deberian trabajar en ello los fabricantes.

MinusFour

¿Que tipo de DOS estas haciendole a tu router? ¿Broadcast storms?

ion dissonance2

No se...  ya puse anteriormente que usando el comando aireplay-ng.
No se si es realmente un ataque DOS, pero lo unico que se es que tira todo.

engel lex

voy a responder a tus preguntas por partes, empezando con el titulo

Citar¿Por que el ataque DOS a un router sigue siendo efectivo?
imagina que tienes la caja de seguridad más dura del mundo... ahora, llega alguien que no le importa el conenido de la caja, solo quiere evitar que accesen a ella, así que busca el mismo material del que está hecho la caja y hace una gruesa barrera frente a la puerta... no importa que pase, cumplió su objetivo, la puerta es tan dificil de abrir como el resto de la caja, denegó el servicio a todo el mundo...

el DoS es esto, alguien simplemente hace tanto "ruido" con su equipo que no deja que tu router se comunique

Citar¿No se supone que los routers nuevos estan protegidos contra este tipo de ataques?
simplemente no es posible defenderse de todos los ataques...
los de inundación, es simple deshacerse, pero si el sujeto no está asoociado, solo puede saturar el medio, es como si intentaras establecer una conversación y alguien a tu lado empiece a gritar, lo más que puede hacer el router en este  caso (la acción común) es que que le indica a sus equipos que se cambien de canal... allí estarán tranquilos hasta que el atacante se de cuenta y los siga, por ultimo está el ataque de desautenticación, donde se le manda al router un paquete diciendo que desconecte a todos, por alguna razon esto sigue siendo parte del standard y los router con software de fabrica raramente pueden bloqeuar esta opción

Citar¿Como se puede detectar si alguien me esta realizando un ataque de este tipo, hay forma de hacerlo?
es complicado, me salto esta

Citar¿En caso que no se pueda detectar este ataque, la compañia de telefonos si lo denuncio podria saberlo y localizar quien lo efectua?
esto se encargaría el isp o la policía y si, tienen chance de detenerlo, por estas acciones pueden tener una multa bastante desagradable
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

beholdthe

Cita de: engel lex en 21 Julio 2015, 01:45 AM
voy a responder a tus preguntas por partes, empezando con el titulo
imagina que tienes la caja de seguridad más dura del mundo... ahora, llega alguien que no le importa el conenido de la caja, solo quiere evitar que accesen a ella, así que busca el mismo material del que está hecho la caja y hace una gruesa barrera frente a la puerta... no importa que pase, cumplió su objetivo, la puerta es tan dificil de abrir como el resto de la caja, denegó el servicio a todo el mundo...

el DoS es esto, alguien simplemente hace tanto "ruido" con su equipo que no deja que tu router se comunique
simplemente no es posible defenderse de todos los ataques...
los de inundación, es simple deshacerse, pero si el sujeto no está asoociado, solo puede saturar el medio, es como si intentaras establecer una conversación y alguien a tu lado empiece a gritar, lo más que puede hacer el router en este  caso (la acción común) es que que le indica a sus equipos que se cambien de canal... allí estarán tranquilos hasta que el atacante se de cuenta y los siga, por ultimo está el ataque de desautenticación, donde se le manda al router un paquete diciendo que desconecte a todos, por alguna razon esto sigue siendo parte del standard y los router con software de fabrica raramente pueden bloqeuar esta opción
es complicado, me salto esta
esto se encargaría el isp o la policía y si, tienen chance de detenerlo, por estas acciones pueden tener una multa bastante desagradable


engel lex, la verdad es que da gusto leerte, por como te expresas y los ejemplos que pones. Me ha encantado el primero.

Yo tengo un router bastante nuevo y también es vulnerable a este tipo de ataques.
Lo que ya no sabría contestar es si las compañías o los usuarios pueden detectar este ataque y quien lo realiza, ya que el que lo hace ni esta conectado a la red, por lo que no hay ningún tipo de datos alojado en el router (MAC, etc) del atacante.

engel lex

si se puede detectar... pero no recuerdo como configurar para eso... hay un script para python, que ayuda en modo monitor detectar el deauth, pero creo que es con wireshark que te sirve para detectar por saturación...

por otro lado si modificas tu router y le decides colocar open wrt, si puedes detener los deauth, y tambien puedes revisar si te están haciendo saturación
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Sh4k4

Citar¿Como se puede detectar si alguien me esta realizando un ataque de este tipo, hay forma de hacerlo?
hay diferentes formas una sencilla si es por ataque A0 seria viendo con el airodump como varian los paquetes ademas de la intensidad... es algo notable... capturando paquetes y analizarlos es otra... mas cansado pero igual de efectivo y mas certero... asi se podria bloquear, los jammers o bloqueadores de señal es otra historia ese si es ruido al 100% el A0 son paquetes de deahut a todos los cleintes eso es todo... si ofuzcar la señal y protegerla es lo unico que hay ademas de rastrearla...  ::)

beholdthe

Pero lo que decís la inmensa mayoría de usuarios no tienen los conocimientos, no saben lo que les pasa, ni cuanto menos poder pararlo.
Modificar el router, capturar y analizar el trafico, etc, no es algo que puedan hacer, y las soluciones que aportáis son llevadas a cabo de manera local, no se si me explico...  que las tendría que realizar el propio usuario, el cual lo mas que hará es llamar a la compañía para quejarse que no tiene Internet sin saber por qué.
Así que como la compañía no tenga una manera para detectar eso "desde la distancia", y pueda solucionarlo, creo que al final el fallo de seguridad o el problema va a ser enorme.
Otra cosa seria que si pudieran detectarlo y localizar a la persona que lo esta realizando para tomar medidas legales, pero tal y como esta el nivel de los operadores que te atienden por telefono, al menos en España...  crudo lo llevamos.

ElP4nd4N3gro

Pues si me permitis, re-leyendo al autor del post.. realmente me da la impresión de que no está hablando de un DoS al router.

Creo que lo que ha hecho ha sido desautenticar a los clientes asociados al router. Esto técnicamente no es un DoS al router (podria serlo a un host)

Si tu duda es xq los routers actuales permiten desautenticar a un pc de la red, es sencillo. al router le da igual. el no se encarga de eso. Tu fuerzas a un usuario a volver a identificarse, son cosas de protocolos.  No tiene que ver el router en eso..

Me parece que hablaba de eso...
Como el baile entre caronte y plutón

Sh4k4

CitarCreo que lo que ha hecho ha sido desautenticar a los clientes asociados al router. Esto técnicamente no es un DoS al router (podria serlo a un host)
Segun un ataque de DOS o Ataque de denegacion de servicio, dependera del ataque...
https://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio
O se tiran solo a determinados clientes o a todos...vs efectivo a menos efetivo, ese ultimo seria una denegacion de servicio apuntado solo a los clientes wifi no cableados, aun asi es un DOS, determinado si, especifico si, todo depende de como se ejecute e interprete sobre la red....
Citar
Si tu duda es xq los routers actuales permiten desautenticar a un pc de la red, es sencillo. al router le da igual. el no se encarga de eso. Tu fuerzas a un usuario a volver a identificarse, son cosas de protocolos.  No tiene que ver el router en eso.
jeje el router no piensa asi que no le da igual, solo cumple su programacion y dentro del protocolo esta la desasociación a uno o todos los clientes que estan actualmente asociados...
Citar
Pero lo que decís la inmensa mayoría de usuarios no tienen los conocimientos, no saben lo que les pasa, ni cuanto menos poder pararlo.
Modificar el router, capturar y analizar el trafico, etc, no es algo que puedan hacer, y las soluciones que aportáis son llevadas a cabo de manera local, no se si me explico...  que las tendría que realizar el propio usuario, el cual lo mas que hará es llamar a la compañía para quejarse que no tiene Internet sin saber por qué.
Así que como la compañía no tenga una manera para detectar eso "desde la distancia", y pueda solucionarlo, creo que al final el fallo de seguridad o el problema va a ser enorme.
Otra cosa seria que si pudieran detectarlo y localizar a la persona que lo esta realizando para tomar medidas legales, pero tal y como esta el nivel de los operadores que te atienden por telefono, al menos en España...  crudo lo llevamos.
Si es cierto, por eso normalmente es apagar el wifi un rato, cambiar a AUTO los canales, diminuir la potencia,cablear, etc para poder mitigar esos ataques se puede, detectar, rastrear y obviamente detener se tendra que hacer con la instancia respectiva osea la policia y sus peritos expertos... la mayoria para al ver que el wifi desaparece por haberlo apagado y no pierden tiempo pero , lo importante es informarse... todo usuario es su deber informarse y estar al tanto de todo lo nuevo tanto seguridad como actualidad, sino minimo para no poner claves faciles o seguir usando WEP y/o WPS.... vamos que hay que hacer la tarea, salu2!  ::)