Tôi rất hoang tưởng về các kết nối không dây và ai đó đánh cắp băng thông băng thông rộng của tôi, điều này có thể dẫn đến những điều tồi tệ hơn.

Câu hỏi của tôi là, làm thế nào tôi có thể phát hiện nếu băng thông băng thông rộng của tôi bị đánh cắp?

Tôi có bộ định tuyến không dây Belkin SURF + N300.

Lý tưởng nhất là sẽ rất tuyệt nếu tôi được cảnh báo tự động, nhưng nếu điều đó là không thể, thì một quy trình thủ công sẽ ổn.

Tôi có ba ý tưởng cho bạn. Tất cả đều có phần phức tạp và bạn có thể kết hợp và kết hợp khi bạn thấy phù hợp. Đầu tiên có lẽ là dễ nhất, nhưng ít mạnh mẽ nhất (về chính nó).

1. Phát hiện MAC thụ động

Cách tiêu chuẩn sẽ là theo dõi các địa chỉ MAC đang yêu cầu địa chỉ DHCP từ bộ định tuyến. Hầu hết các bộ định tuyến cung cấp màn hình kiểu "Thiết bị đính kèm" sẽ cho bạn biết ai đang kết nối.

Điều này không tự động, nhưng bạn có thể (khá dễ dàng) kịch bản một số Bash / Python để kéo trang bộ định tuyến xuống, phân tích các địa chỉ MAC và kiểm tra chúng dựa vào danh sách các địa chỉ MAC đã biết / được phép.

Vấn đề ở đây là không có gì là ngay lập tức. Bạn dựa vào bộ định tuyến để cập nhật trang của nó và bạn phải thăm dò ý kiến ​​này thường xuyên. Một số bộ định tuyến sẽ không thích điều này. Tôi có một bộ định tuyến Edimax xảo quyệt gặp sự cố nếu bạn tải hơn 10 trang trong một phút (thảm hại!) Vì vậy điều này có thể không hoạt động.

Địa chỉ MAC cũng rất dễ bị giả mạo. macchangerví dụ, sẽ cho phép bạn giả mạo địa chỉ MAC của bạn trong một lệnh. Tôi nghĩ ngay cả Quản lý mạng sẽ cho phép bạn làm điều đó. Nếu ai đó không muốn bị phát hiện, họ sẽ giám sát lưu lượng mạng và giả mạo một trong những thiết bị hợp lệ (đã biết).

2. Đánh hơi chủ động

Đây là nơi chúng ta xé các bánh xe ra và đào vào. Bạn sẽ cần một cái gì đó không dây dự phòng hoặc thứ khác ở một nơi có thể chặn lưu lượng đến / từ bộ định tuyến (lý tưởng khá gần với nó).

Nói tóm lại, bạn kết nối airodump-ngvà bạn xem những người được kết nối với mạng của bạn. Có thể kịch bản đầu ra này để khi một thiết bị mới xuất hiện và bắt đầu sử dụng mạng của bạn, bạn có thể ngay lập tức làm gì đó .

Ý tưởng là bạn chạy cái này khi khởi động (với quyền root):

airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0

Thay thế BSSID bằng điểm truy cập của bạn.

Điều này viết một tập tin tăng tự động có thể được phân tích cú pháp một cách thường xuyên. Phiên bản trên viết một tệp giá trị được phân tách bằng dấu phẩy khá cơ bản nhưng nếu bạn hài lòng với XML (Python có thể làm cho nó khá đơn giản), bạn có thể muốn xem netxmlđịnh dạng đầu ra cho airodump.

Dù bằng cách nào, điều này cung cấp cho bạn thông tin thường xuyên về thiết bị nào đang sử dụng mạng (và lưu lượng truy cập mà chúng cũng đang gửi). Nó vẫn dễ đọc như sử dụng bảng ARP của bộ định tuyến, nhưng nó vẫn hoạt động.

Trong khi bạn đang ở chế độ lăng nhăng, nếu tập lệnh của bạn nhận máy khách thì nó không nên truy cập mạng, bạn có thể sử dụng tcpdumpđể truy tìm các gói và ghi nhật ký trao đổi quan tâm (yêu cầu HTTP, v.v.). Đó là lập trình nhiều hơn nhưng nó có thể được thực hiện.

3. Vân tay với nmap

Một phương pháp khác là quét mạng cho khách hàng với nmap. Thông thường, bạn có thể nghĩ, điều này sẽ không giúp bạn quá nhiều, nếu ai đó chặn ping, nó có thể không xuất hiện.

Tôi đề nghị bạn sử dụng kết hợp với một trong hai phương pháp khác. 1sẽ cung cấp cho bạn địa chỉ IP để bạn có thể nmap trực tiếp. 2sẽ không cung cấp cho bạn một IP nhưng nó sẽ cho bạn biết có bao nhiêu khách hàng nmapsẽ tìm thấy, tại thời điểm chính xác. Đảm bảo tất cả các thiết bị của bạn đều có thể ping được.

Khi nmapchạy (ví dụ sudo nmap -O 192.168.1.1/24) nó sẽ cố gắng tìm các máy chủ và sau đó nó sẽ thực hiện quét cổng trên chúng để tìm ra chúng là gì. Danh sách kiểm tra của bạn nên bao gồm cách mỗi thiết bị của bạn sẽ phản hồi nmap.

Nếu bạn muốn đi xa hơn, bạn có thể chạy một máy chủ đơn giản trên mỗi máy tính của mình. Chỉ cần một cái gì đó chấp nhận một kết nối và sau đó bỏ nó. Tóm lại: Một cái gì đó nmapđể tìm kiếm. Nếu nó tìm thấy nó mở, nó có thể là máy tính của bạn.

4. Bảo mật mạng của bạn tốt hơn

Bạn thực sự nên làm điều này đầu tiên nếu bạn lo lắng. Sử dụng WPA2 / AES. Không bao giờ sử dụng WEP (vết nứt trong khoảng năm phút).

Nếu bạn vẫn lo lắng ai đó có thể tìm ra khóa (WPA2 mất rất nhiều dữ liệu và thời gian tính toán để bẻ khóa), hãy chuyển sang mô hình RADIUS. Đó là khung xác thực thiết lập khóa một lần cho mỗi người dùng. PITA để thiết lập mặc dù.

Nhưng phải làm gì đây ..?

Nếu tôi không hài lòng với mọi thứ, có lẽ tôi sẽ tự xem airodump. Nếu tôi vẫn không vui, tôi sẽ bắt đầu lấy dấu vân tay những thứ tôi thấy. Mặc dù có một chút khó khăn (không có nghĩa là không thể) đối với kịch bản.

Kịch bản dễ nhất sẽ là quét bộ định tuyến bằng dấu vân tay từ nmap. Ngắn gọn và đơn giản.

Đề nghị của tôi, Oli's 1.

Nếu "kẻ tấn công" của bạn có được quyền truy cập mà không cần giả mạo địa chỉ mac của anh ta, anh ta sẽ cho rằng bạn không có cách nào để theo dõi địa chỉ MAC của bạn.

Sử dụng dhcpd của riêng bạn với một sự kiện để kích hoạt email nếu cần thiết.

Tôi sẽ phải thực hiện một số nghiên cứu, nhưng nếu là tôi, tôi sẽ chạy dhcpd của riêng mình trên một hộp linux được kết nối với bộ định tuyến (hoặc sử dụng openwrt), và sau đó gửi email cho tôi nếu có một macaddress yêu cầu địa chỉ những gì không có trong danh sách trắng.

EDIT: http://linux.die.net/man/5/dhcpd.conf có tất cả các tài nguyên bạn cần để thực hiện việc này. Chỉ cần tạo một sự kiện để thực thi một tập lệnh sẽ kiểm tra danh sách trắng, nếu địa chỉ mac không có trong danh sách trắng, hãy để nó tự gửi email. Đồng thời xem http://ubuntuforums.org/showthread.php?t=1328967