data from unknown device xx:xx:xx:xx:xx:xx, sent deauth

[haklina]

a co tedy

[Tony Rude]

Myslím, že jde téměř na 100% o cílené útoky na AP - jsou 2 AP na jednom místě, dvou firem, téměř identicky nastavené, stejný hw atd. jedno absolutně bez útoků, druhé co minuta co nějaký pokus. Nejhorší jsou však následky : cca na několik vteřin úplně zablokovná karta - žádný z připojených klientů si ani neškrtne, neprojdou žádná data, což odpovídá těm zhoršeným latencím. Nehroší je vystopovat toho idiota, co to dělá, popř. nějak zrušit jeho. Kdybych do dostal do ruk, nevím, jestli bych se ovládl !!! Pokud Někdo něco znáte proti tomu, tak budu velmi vděčen.

[Tony Rude]

Mám ještě jedno podezření, jaké používáš client AP ?

[jonescz]

Mám ještě jedno podezření, jaké používáš client AP ?

ja Ovis5000 wrap a MK

[Stunherald]

Sorry za exhum 4 roky staryho threadu, ale mam uplne ten samy problem, tak to proste prihodim sem.

Mam RB 493G a poridil jsem do nej R52Hn + k tomu 8dBi anteny od TP Linku. Konfigurace v pohode (viz nize) do rezimu AP bridge. Celkem tu mam 6 mobilnich klientu. 2x Notebook, 1x MAC a 3x Telefon. Sifrovani je WPA2 PSK (aes/ccm). Vsechny ty zarizeni mam pridane do AccessListu. Problem mam s jednim Android telefonem (HTC Desire Z). LOG mam zaspamovanej prave zminenou hlaskou. "Data from unknown device xx:xx:xx:xx:xx:xx, sent deauth". Druhej telefon (Samsung Galaxy), taktez Android, nema vubec zadnej problem, ten se pripoji a pohoda.

Od zapnuti WiFi na tom telefonu, ten telefon lezel celou dobu na stole, cca 4m od AP, cili nejaky "odejiti" z dosahu je vylouceny. MAC adresa je v Access Listu, IP dostava od DHCP serveru. Pripojeni zarizeni je okamzite, prenos funguje naprosto v pohode, jen proste po nake dobe se zacne sypat ta hlaska do logu. Vysledkem je tohle:

18:13:26 wireless,debug WLAN: XX:XX:XX:XX:XX:XX attempts to associate
18:13:26 wireless,debug WLAN: XX:XX:XX:XX:XX:XX in local ACL, accept
18:13:26 wireless,info XX:XX:XX:XX:XX:XX@WLAN: connected
18:13:26 dhcp,info dhcp1 deassigned 192.168.XXX.YYY from XX:XX:XX:XX:XX:XX
18:13:26 dhcp,info dhcp1 assigned 192.168.XXX.YYY to XX:XX:XX:XX:XX:XX
18:29:56 wireless,info XX:XX:XX:XX:XX:XX@WLAN: disconnected, extensive data loss
18:30:01 wireless,info WLAN: data from unknown device XX:XX:XX:XX:XX:XX, sent deauth
18:30:16 wireless,info WLAN: data from unknown device XX:XX:XX:XX:XX:XX, sent deauth
=== TU je dalsich 70 radku s tim samym, cca kazdych 5sec===
18:44:49 wireless,info WLAN: data from unknown device XX:XX:XX:XX:XX:XX, sent deauth
18:44:49 wireless,info WLAN: data from unknown device XX:XX:XX:XX:XX:XX, sent deauth
18:44:51 wireless,debug WLAN: XX:XX:XX:XX:XX:XX attempts to associate
18:44:51 wireless,debug WLAN: XX:XX:XX:XX:XX:XX in local ACL, accept
18:44:51 wireless,info XX:XX:XX:XX:XX:XX@WLAN: connected
18:44:52 dhcp,info dhcp1 deassigned 192.168.XXX.YYY from XX:XX:XX:XX:XX:XX
18:44:52 dhcp,info dhcp1 assigned 192.168.XXX.YYY to XX:XX:XX:XX:XX:XX

Tu je konfigurace WLAN:

/interface wireless security-profiles
set [ find default=yes ] authentication-types="" eap-methods=passthrough group-ciphers="" group-key-update=5m interim-update=0s management-protection=disabled management-protection-key="" mode=none name=default radius-eap-accounting=no radius-mac-accounting=no radius-mac-authentication=no radius-mac-caching=disabled radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username static-algo-0=none static-algo-1=none static-algo-2=none static-algo-3=none static-key-0="" static-key-1="" static-key-2="" static-key-3="" static-sta-private-algo=none static-sta-private-key="" static-transmit-key=key-0 supplicant-identity=MikroTik tls-certificate=none tls-mode=no-certificates unicast-ciphers="" wpa-pre-shared-key="" wpa2-pre-shared-key=""
add authentication-types=wpa2-psk eap-methods="" group-ciphers=aes-ccm group-key-update=5m interim-update=0s management-protection=allowed management-protection-key=XXXXXX mode=dynamic-keys name=WPA2 radius-eap-accounting=no radius-mac-accounting=no radius-mac-authentication=no radius-mac-caching=disabled radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username static-algo-0=none static-algo-1=none static-algo-2=none static-algo-3=none static-key-0="" static-key-1="" static-key-2="" static-key-3="" static-sta-private-algo=none static-sta-private-key="" static-transmit-key=key-0 supplicant-identity="" tls-certificate=none tls-mode=no-certificates unicast-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key=XXXXX
/interface wireless
set 0 adaptive-noise-immunity=none allow-sharedkey=no antenna-gain=0 area="" arp=enabled band=2ghz-b/g/n basic-rates-a/g=6Mbps basic-rates-b=1Mbps bridge-mode=disabled channel-width=20/40mhz-ht-above comment="WLAN" compression=no country=no_country_set default-ap-tx-limit=0 default-authentication=no default-client-tx-limit=0 default-forwarding=no dfs-mode=none disable-running-check=no disabled=no disconnect-timeout=3s distance=dynamic frame-lifetime=0 frequency=2462 frequency-mode=manual-txpower frequency-offset=0 hide-ssid=yes ht-ampdu-priorities=0 ht-amsdu-limit=8192 ht-amsdu-threshold=8192 ht-basic-mcs=mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7 ht-guard-interval=any ht-rxchains=0 ht-supported-mcs=mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15,mcs-16,mcs-17,mcs-18,mcs-19,mcs-20,mcs-21,mcs-22,mcs-23 ht-txchains=0 hw-fragmentation-threshold=disabled hw-protection-mode=none hw-protection-threshold=0 hw-retries=7 l2mtu=2290 mac-address=YY:YY:YY:YY:YY:YY max-station-count=7 mode=ap-bridge mtu=1500 name=WLAN noise-floor-threshold=default nv2-cell-radius=30 nv2-noise-floor-offset=default nv2-preshared-key="" nv2-qos=default nv2-queue-count=2 nv2-security=disabled on-fail-retry-time=100ms periodic-calibration=default periodic-calibration-interval=60 preamble-mode=both proprietary-extensions=post-2.9.25 radio-name=YYYYYYYYYYYY rate-selection=advanced rate-set=default scan-list=default security-profile=WPA2 ssid=XXXXX station-bridge-clone-mac=00:00:00:00:00:00 supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps tdma-period-size=2 tx-power-mode=default update-stats-interval=disabled wds-cost-range=50-150 wds-default-bridge=none wds-default-cost=100 wds-ignore-ssid=no wds-mode=disabled wireless-protocol=any wmm-support=disabled
/interface wireless manual-tx-power-table
set WLAN comment="WLAN" manual-tx-powers="1Mbps:17,2Mbps:17,5.5Mbps:17,11Mbps:17,6Mbps:17,9Mbps:17,12Mbps:17,18Mbps:17,24Mbps:17,36Mbps:17,48Mbps:17,54Mbps:17,HT20-0:17,HT20-1:17,HT20-2:17,HT20-3:17,HT20-4:17,HT20-5:17,HT20-6:17,HT20-7:17,HT40-0:17,HT40-1:17,HT40-2:17,HT40-3:17,HT40-4:17,HT40-5:17,HT40-6:17,HT40-7:17"
/interface wireless nstreme
set WLAN comment="WLAN" disable-csma=no enable-nstreme=no enable-polling=yes framer-limit=3200 framer-policy=none
/interface wireless access-list
add ap-tx-limit=0 authentication=yes client-tx-limit=0 disabled=no forwarding=yes interface=WLAN mac-address=XX:XX:XX:XX:XX:XX management-protection-key="" private-algo=none private-key="" private-pre-shared-key="" signal-range=-120..120
/interface wireless align
set active-mode=yes audio-max=-20 audio-min=-100 audio-monitor=00:00:00:00:00:00 filter-mac=00:00:00:00:00:00 frame-size=300 frames-per-second=25 receive-all=no ssid-all=no
/interface wireless sniffer
set channel-time=200ms file-limit=10 file-name="" memory-limit=10 multiple-channels=no only-headers=no receive-errors=no streaming-enabled=no streaming-max-rate=0 streaming-server=0.0.0.0
/interface wireless snooper
set channel-time=200ms multiple-channels=yes receive-errors=no

Nejaky napady, co je spatne a jak se toho zbavit?

[Majklik]

Zkusit změnit wmm-support=disabled na enabled. Mobil může natvrdo používat power save wifi mód (který je v rámci WMM k dispozici) a když AP ne, tak to padá. Správně by si to měly ty krámy vzájemně vyjednat. A třeba u Nokií zapnutím WMM prodloužím výdrž na jedno nabití z 16-ti hodin na cca 2 dny (trvale aktivní a připojené WiFi s nahozeným VoIP a push emailem).

[Stunherald]

Tak jsem to zkusil a bohuzel stale tentyz problem

EDIT:
Tak to vazne vypada tak, ze telefon nakym zpusobem "uspi" wifinu a Mikrotik na to "prijde" a snazi se poslat deauth. Kdyz pak vemu telefon do ruky, odemknu ho, tak uplne wifina spadne (zmizi ikona pripojeni), nahodej se data a v zapeti se zas WiFina chytne. Donedavna, kdy jsem mel wifi reseny WiFi routerem pichlym do mikrotiku to nedelalo. Nevim, zda je to primo chyba mikrotiku nebo naka bota v nastaveni, ale za korektni chovani bych to nepovazoval :/

01:44:02 wireless,debug WLAN: xx:xx:xx:xx:xx:xx attempts to associate
01:44:02 wireless,debug WLAN: xx:xx:xx:xx:xx:xx in local ACL, accept
01:44:02 wireless,info xx:xx:xx:xx:xx:xx@WLAN: connected
01:44:03 dhcp,info dhcp1 deassigned 192.168.xxx.yyy from xx:xx:xx:xx:xx:xx
01:44:03 dhcp,info dhcp1 assigned 192.168.xxx.yyy to xx:xx:xx:xx:xx:xx
01:54:31 wireless,info xx:xx:xx:xx:xx:xx@WLAN: disconnected, extensive data loss
01:54:38 wireless,info WLAN: data from unknown device xx:xx:xx:xx:xx:xx, sent deauth
01:54:53 wireless,info WLAN: data from unknown device xx:xx:xx:xx:xx:xx, sent deauth
01:55:08 wireless,info WLAN: data from unknown device xx:xx:xx:xx:xx:xx, sent deauth
===hafo stejnejch radku===
02:12:28 wireless,info WLAN: data from unknown device xx:xx:xx:xx:xx:xx, sent deauth
02:12:41 wireless,info WLAN: data from unknown device xx:xx:xx:xx:xx:xx, sent deauth
02:12:41 wireless,info WLAN: data from unknown device xx:xx:xx:xx:xx:xx, sent deauth
02:13:16 wireless,debug WLAN: xx:xx:xx:xx:xx:xx attempts to associate
02:13:16 wireless,debug WLAN: xx:xx:xx:xx:xx:xx in local ACL, accept
02:13:16 wireless,info xx:xx:xx:xx:xx:xx@WLAN: connected
02:13:16 dhcp,info dhcp1 deassigned 192.168.xxx.yyy from xx:xx:xx:xx:xx:xx
02:13:16 dhcp,info dhcp1 assigned 192.168.xxx.yyy to xx:xx:xx:xx:xx:xx

[CANOPA]

mne se povedlo vyresit problem tim, ze jsem mac toho "zašodnika" dal jako mac adresu karty vysilace.Pak problem prestal. Horsi je situace tam, kde se mi na ap takhle sype bordel z vice mac adres. tam nevim co dal..

[daman]

U mě se tato hláška objevila, když obě strany rádia měly nekompatibilní nastavení. Protože je obsah hlášky trochu zavádějící, tak mi dalo dost práce příčinu najít. Přesná příčina byla, že na jedné straně bylo zapnut "Enable Nstreme" a na druhé ne.

[Safi]

Poznatek k tomuto problému.
Objevil se mi na domácím zařízení jednoho našeho klienta RB951G-2HnD. Volal mi s tím že se mu odpojil tablet a nemůže se připojit ani telefonem.
Poslení zařízení kupoval na vánoce a žádné změny v konfuguraci se taky nekonaly a router ma kopnutý furt na jednom a tom samém místě - tj. 6 měsíců to běželo bez problémů
V logu frčely jedna za drohou hlášky :
22:19:53 wireless,info wlan1: data from unknown device E4:B0:21:35:70:F4, sent deauth (6 deauths suppressed)
MAC patří Samsungu. V DHCP byl bez hostname narozdíl od dalších 15 zařízení vesměs nějakých Androidů.
Při vypnutí karty to skončilo, v okamžiku zapnutí wifi se začly sypat hlášky do logu a nikdo se nepřipojil.
Zkusil jsem:
vypnout / zapnout kartu
Změnit kanál z 1 na 3 pak 6
Změnit šifrování / vypnout šifrování
Změnit SSID / Skrýt SSID
Zakázat dotyčnou MAC
Vyhodit kartu z bridge
Měnit pásma: jen B jen N a pod
Měnil módy - AP Bridge / Bridge
Změnit MAC adresu karty
Změnit vysílací výkon
Upgrade firmawaru taky nepomohl
Pomohla až změna na kanál 13 - tablet se připojil a fungoval a v logu se jen asi 3x do minuty objevovalo:
22:30:54 wireless,info wlan1: data from unknown device E4:B0:21:35:70:F4, sent deauth
bez onoho dodatku v závorce.
Danou MAC jsem nastavil jako MAC karty - tím to je momentálně vyřešeno, nicméně žádné z dostupných funkčních zařízení to není, takže ráno projede tablety a telefony od děcek a dá vědět pokud najde danou MAC.

[fundix]

trochu přispěji do diskuse, stejný problém tj wireless,info wlan5G: data from unknown device 1C:5C:F2:69:xx:xx, sent deauth

me dela jeden iPhone, dalsi iPhone - resp zarizeni to nedelaji, dnes jsem pristihl telefon jak si doma jede na datech, wifi zadne nenasel, tak jsem vypl zapl wifi a ok...
problem bude i pres noc, protoze rano projel 4M na datech takze obcas mel problem s wifi

zkusil jsem prenastavit par veci z fora tak uvidim