Tôi có ba ý tưởng cho bạn. Tất cả đều có phần phức tạp và bạn có thể kết hợp và kết hợp khi bạn thấy phù hợp. Đầu tiên có lẽ là dễ nhất, nhưng ít mạnh mẽ nhất (về chính nó).
1. Phát hiện MAC thụ động
Cách tiêu chuẩn sẽ là theo dõi các địa chỉ MAC đang yêu cầu địa chỉ DHCP từ bộ định tuyến. Hầu hết các bộ định tuyến cung cấp màn hình kiểu "Thiết bị đính kèm" sẽ cho bạn biết ai đang kết nối.
Điều này không tự động, nhưng bạn có thể (khá dễ dàng) kịch bản một số Bash / Python để kéo trang bộ định tuyến xuống, phân tích các địa chỉ MAC và kiểm tra chúng dựa vào danh sách các địa chỉ MAC đã biết / được phép.
Vấn đề ở đây là không có gì là ngay lập tức. Bạn dựa vào bộ định tuyến để cập nhật trang của nó và bạn phải thăm dò ý kiến này thường xuyên. Một số bộ định tuyến sẽ không thích điều này. Tôi có một bộ định tuyến Edimax xảo quyệt gặp sự cố nếu bạn tải hơn 10 trang trong một phút (thảm hại!) Vì vậy điều này có thể không hoạt động.
Địa chỉ MAC cũng rất dễ bị giả mạo. macchanger
ví dụ, sẽ cho phép bạn giả mạo địa chỉ MAC của bạn trong một lệnh. Tôi nghĩ ngay cả Quản lý mạng sẽ cho phép bạn làm điều đó. Nếu ai đó không muốn bị phát hiện, họ sẽ giám sát lưu lượng mạng và giả mạo một trong những thiết bị hợp lệ (đã biết).
2. Đánh hơi chủ động
Đây là nơi chúng ta xé các bánh xe ra và đào vào. Bạn sẽ cần một cái gì đó không dây dự phòng hoặc thứ khác ở một nơi có thể chặn lưu lượng đến / từ bộ định tuyến (lý tưởng khá gần với nó).
Nói tóm lại, bạn kết nối airodump-ng
và bạn xem những người được kết nối với mạng của bạn. Có thể kịch bản đầu ra này để khi một thiết bị mới xuất hiện và bắt đầu sử dụng mạng của bạn, bạn có thể ngay lập tức làm gì đó .
Ý tưởng là bạn chạy cái này khi khởi động (với quyền root):
airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0
Thay thế BSSID bằng điểm truy cập của bạn.
Điều này viết một tập tin tăng tự động có thể được phân tích cú pháp một cách thường xuyên. Phiên bản trên viết một tệp giá trị được phân tách bằng dấu phẩy khá cơ bản nhưng nếu bạn hài lòng với XML (Python có thể làm cho nó khá đơn giản), bạn có thể muốn xem netxml
định dạng đầu ra cho airodump.
Dù bằng cách nào, điều này cung cấp cho bạn thông tin thường xuyên về thiết bị nào đang sử dụng mạng (và lưu lượng truy cập mà chúng cũng đang gửi). Nó vẫn dễ đọc như sử dụng bảng ARP của bộ định tuyến, nhưng nó vẫn hoạt động.
Trong khi bạn đang ở chế độ lăng nhăng, nếu tập lệnh của bạn nhận máy khách thì nó không nên truy cập mạng, bạn có thể sử dụng tcpdump
để truy tìm các gói và ghi nhật ký trao đổi quan tâm (yêu cầu HTTP, v.v.). Đó là lập trình nhiều hơn nhưng nó có thể được thực hiện.
3. Vân tay với nmap
Một phương pháp khác là quét mạng cho khách hàng với nmap
. Thông thường, bạn có thể nghĩ, điều này sẽ không giúp bạn quá nhiều, nếu ai đó chặn ping, nó có thể không xuất hiện.
Tôi đề nghị bạn sử dụng kết hợp với một trong hai phương pháp khác. 1
sẽ cung cấp cho bạn địa chỉ IP để bạn có thể nmap trực tiếp. 2
sẽ không cung cấp cho bạn một IP nhưng nó sẽ cho bạn biết có bao nhiêu khách hàng nmap
sẽ tìm thấy, tại thời điểm chính xác. Đảm bảo tất cả các thiết bị của bạn đều có thể ping được.
Khi nmap
chạy (ví dụ sudo nmap -O 192.168.1.1/24
) nó sẽ cố gắng tìm các máy chủ và sau đó nó sẽ thực hiện quét cổng trên chúng để tìm ra chúng là gì. Danh sách kiểm tra của bạn nên bao gồm cách mỗi thiết bị của bạn sẽ phản hồi nmap
.
Nếu bạn muốn đi xa hơn, bạn có thể chạy một máy chủ đơn giản trên mỗi máy tính của mình. Chỉ cần một cái gì đó chấp nhận một kết nối và sau đó bỏ nó. Tóm lại: Một cái gì đó nmap
để tìm kiếm. Nếu nó tìm thấy nó mở, nó có thể là máy tính của bạn.
4. Bảo mật mạng của bạn tốt hơn
Bạn thực sự nên làm điều này đầu tiên nếu bạn lo lắng. Sử dụng WPA2 / AES. Không bao giờ sử dụng WEP (vết nứt trong khoảng năm phút).
Nếu bạn vẫn lo lắng ai đó có thể tìm ra khóa (WPA2 mất rất nhiều dữ liệu và thời gian tính toán để bẻ khóa), hãy chuyển sang mô hình RADIUS. Đó là khung xác thực thiết lập khóa một lần cho mỗi người dùng. PITA để thiết lập mặc dù.
Nhưng phải làm gì đây ..?
Nếu tôi không hài lòng với mọi thứ, có lẽ tôi sẽ tự xem airodump. Nếu tôi vẫn không vui, tôi sẽ bắt đầu lấy dấu vân tay những thứ tôi thấy. Mặc dù có một chút khó khăn (không có nghĩa là không thể) đối với kịch bản.
Kịch bản dễ nhất sẽ là quét bộ định tuyến bằng dấu vân tay từ nmap
. Ngắn gọn và đơn giản.