Likvidace pověsti ISP přes Wifikill

[RadekCZ]

Ahoj pánové.
Máme problém, se kterým si nevíme jako poskytovatelé rady.
Po rootnutí androidu je možno do něj vložit Wifikill aplikace. Tato aplikace po spuštění zvládá vyblokovat konkrétního člověka nebo všechny co mají IP přes DHCP.
Technicky je wifikill popsan pro fungovani i na Linuxu zde:
http://superuser.com/questions/435356/a ... in-android

Problém nastává tehdy, když nějaký cucák si stáhne wifikill a začne chodit kolem našich hotspotů a vyblokovávat všechny lidi na wifi jen tak z legrace, aby nám pošramotil pověst.

Existuje nějaký způsob, jak zamezit wifikill aby rootnotý stroj neprováděl spoofing?
Věděl byste si s tím někdo rady?

[Dalibor Toman]

moc jsem to nezkoumal ale vypada to, ze se wifikill snazi ukrast IPcko default gateway. Pak by mohlo pomoci
1) zakazat na APcku komunikaci mezi stanicemi
2) filtrovat prislusne ARP odpovedi = zahodit unicast i broadcast ARP reply nesouci IPcko GW (mozna s jinou MAC nez spravnou)

Zaroven take zjistis MACku lumpa a muzes ji blokovat.

tohle by byl IMHO jeste utok se kterym se da bojovat (na Mikrotikovem AP. Na hloupych krabkach to asi nepujde)

[query]

A nestačilo by náhodou na DHCP serveru (mikrotik) nastavit add-arp=yes a na interface nastavit arp repy-only ?
Pokud tam nemáš mikrotik, tak něco jako izolace klietů nebo na FW zakázat komunikaci v subnetu.
Každopádně, když projdeš logy, tak uvidíš, jestli tam nejsou nějaký podobnosti a podle toho už pak můžeš jednat... ideálně asi si udělat nějaký alarm na to až se zase přihlásí a jít si to vyřídit osobně.

[reset]

mno, bud tato aplikace nefunguje jak ma a nebo mate nejakej divnej hotspot system.

ted jsem na na tvuj popud vyzkousel a nic mi to nedela , teda alespon na nasem hotspot systemu

[hapi]

A nestačilo by náhodou na DHCP serveru (mikrotik) nastavit add-arp=yes a na interface nastavit arp repy-only ?
Pokud tam nemáš mikrotik, tak něco jako izolace klietů nebo na FW zakázat komunikaci v subnetu.
Každopádně, když projdeš logy, tak uvidíš, jestli tam nejsou nějaký podobnosti a podle toho už pak můžeš jednat... ideálně asi si udělat nějaký alarm na to až se zase přihlásí a jít si to vyřídit osobně.

chyba, reply-only platí pouze pro router co dělá wifi. Klientům se stále lehce podstrčí falešná mac a všechno lehne. Podle mě s tím DHCP-server nemá nic společného. Nevím kde to první příspěvek sebral. DHCP je v tomhle směru použitý jenom k získání subnetu ve kterym jsou klienti a k nalezení ip routeru čimž se i zapíšu do arpčka v případě nastavení reply-only. Prostě jenom atakuju cílový počítače novou macovkou s IP adresou routeru, oni jí přijmou a chtějí do netu přes tu macovku. Víš přece, že po síti choději data obalený macovkama získaný z arp tabulky kde je právě pár ip = mac, ne? díky podstrčenýmu páru, že moje mac má tu IP se tak do ní zapíšu i u klientů. To samozřejmě můžeš udělat jenom na stejný L2 síti a když na apčku zakážu komunikaci mezi klienty, mělo by se to úspěšně vyřešit.

[query]

-> Hapi - asi jsem se špatně vyjádřil....
myslel jsem tím, že pokud je napadené AP Mikrotik, tak je možné v záložce DHCP server zapnout add-arp a na interface arp repy-only.

Tím se při přidělení DHCP zavede jedinečný záznam MAC-IP a APčko se nebude bavit s klientem, který neodpovídá záznamu v ARP tabulce Mikrotiku.

takže =

Mikrotik sám nepřidělí někomu IPčko stejný jako je brána a tudíž ani tenhle záznam nezavede do ARP a tím pádem se s takovou MAC bavit nebude. ...
nebo se pletu?

Samozřejmě tohle platí pro Mikrotik a za předpokladu, že napadené APčko je Mikrotik.

[hapi]

apčko mě právě nezajímá, já si to jeho ip nastavim do útočící mašiny ručně, nebudu se apčka ptát aby mi dalo ip. Prostě si vemu ip brány a vysílám do sítě falešný arp pakety s tim, že moje mac má ip apčka. Nenapadám apčko, napadám klienty resp. ovlivňuju klienty. Na apčko se pak klient vůbec nedostane, L2 vrstva ho pošle na můj stroj.

[Dalibor Toman]

-> Hapi - asi jsem se špatně vyjádřil....
myslel jsem tím, že pokud je napadené AP Mikrotik, tak je možné v záložce DHCP server zapnout add-arp a na interface arp repy-only.

Tím se při přidělení DHCP zavede jedinečný záznam MAC-IP a APčko se nebude bavit s klientem, který neodpovídá záznamu v ARP tabulce Mikrotiku.
.

jenze skodicovi nevadi, ze se s nim APcko nebavi (koneckoncu komunikovat s netem muze IPckem pridelenym DHCPKem kdyby chtel). Jde mu o to aby rozesilanim falesnych ARP reply (se svou MAC a IP gatewaye/APcka) donutil klienty, aby misto na AP posilaly packety jemu. Takze reseni problemu spociva v tom jak zamezit sireni podvrzenych ARP od skodice smerem ke klientum. Nejsem si jisty ale prosta izolace klientu mezi sebou nebude zrejme fungovat na broadcasty. ARP reply je sice bezne unicast packet (smerovany na tazatele, ktere ARP request posila broadcastem), ale IMHO muze byt odesilana i broadcastem (neoveroval jsem), takze ji APcko zrejme preposle vsem prihlasenym stanicim a ty se nauci novou MAC gatewaye.

Na MT lze filtrovat i ARP packety ale vypada to, ze jen nad bridgem (filter pro bridge). Takze by se musel wlan hodit do bridge. Snad by to fungovalo, kdyz v bridge bude jen wlan

[Majklik]

Pokud je volba forward na wifině vypnuta, tak MKčko izoluje klienty na tom jendom AP od sebe na L2, takže si nevidí ani vzáýjemně vysílané broadcasty/multicasty. Tím pádem je toto proti tomtu typu útopku funkční. U hotspot sítí považuji za automatickou samozřejmost, že jsou klienti od sebe izolování a takovýto útok nefunguje.
Jen nezapomenout, pokdud mám víc APčel na jednom L2 segmentu a k nim jedne centální hotspot, že musím mít samozřejmě izolovány i jednotlivé AP od sebe, protože když jen vypnu forward na rádiích, tak ochráním proti tomuto útoku lidi na stejném rádiu, ale ne lidi na dalších APčkách. Pofdobně, pokud v jednom MKčku mám víc rádiíí do hotspot segmentu, je třeba izolovoat i ty od sebe (třeba pomocí horizontování).

[Standa99]

Neposílá ta appka akorát "deauthentication" pakety?

[Majklik]

Neposílá ta appka akorát "deauthentication" pakety?

Možná umí i deauth posílat, ale dle okumentace je základem ten MAC spooofing za účelem únosu spojení pro šmírování nebo potlačení nějakého jiného klienta.

[zdenek.svarc]

Obecně, proti fakeovým DHCP a PPPoE serverům pomůže izolace na úrovni L2, takže na RouterOS Access Pointu vypnutý default forward, což je stejně základní věc.

Pokud ta aplikace umít injektovat 802.11, jak tady někdo psal, tak proti tomu není obrany. Nicméně vzhledem k rozprostřenému vysílacímu výkonu smartphonu to nemusí představovat takové nebezpečí, jako když si někdo vezme směrovku a Airplay-ng.