WireSharkでWPS試行を確認するための表示フィルター

tag-icon tag-icon wireless-networking wireshark
WireSharkでWPS試行を確認するための表示フィルター

「WPS」と「eap.wps.code」を試しましたが、どちらも動作しません。

これは InfoSec SE からの再投稿です: https://security.stackexchange.com/questions/221228/display-filter-to-see-wps-attempts-in-wireshark

話題から外れているとして保留にされています。編集時間を節約するため、元の投稿をそのまま以下に再投稿します。下記のとおり、私のネットワークがたった今攻撃を受けました。

隣人が私のルーターの WPS ピンを積極的に試しています。ルーターを永久にオフにしたときに、ルーターの「WiFi/WPS」LED が点灯したので、それがわかりました。イーサネット経由でルーターの管理ページを使用して設定を再確認したところ、LED がオフになっていることが確認できました (WPS ネゴシエーション中はオフ設定が上書きされます)。これは Tenda AC10 ルーターです。

さらに、すべての 5Ghz デバイスが切断されましたが、これは WPS パケットの攻撃によるものか、同時認証解除フラッドが発行されたためかはわかりません。

WPS パケットを追跡し、試行が発行された MAC アドレスを特定する必要があります。Wireshark の「WPS」表示フィルターと「eap.wps.code」フィルターを使用してみましたが、パケットが記録されているときにパケットが見つかりませんでした。

数日前、自分のデバイスに対して WPS を試行していたときにも同じことが発生し、Wireshark の「WPS」表示フィルターで同じフレームが表示されませんでした。理論的には AP で WPS を無効にしていたため、小さな問題だと考えてこの問題を放置しました。

ある種のフラッド攻撃で WPS ピン試行を検出するために使用する正確な表示フィルターを教えてください。

答え1

以下の解決策を試すことができます:

方法1- WPSブルートフォースに使用されているMACをキャッチする:アクセスポイントへのパケットをキャプチャしwlan.dst = (AP Mac)、必要に応じて信頼できるデバイスを除外する:wlan.dst = (AP Mac) and not wlan.src = (Trusted Mac) and not wlan.src = (Trusted Mac)
これは、WPSフィルターの使用中に問題が発生していることを考慮に入れています

方法2- DeAuthの検出: このウェブサイトにアクセスできませんが、ここDeAuthフラッドの検出に関するチュートリアルです。それでもうまくいかない場合は、こここれは、DeAuth フラッドを検出するための Reddit のチュートリアルです。

答え2

あなたはおそらく間違っているであろう仮定をたくさん立てました。

まず、探しているWiFiパケットは、十分に高度なWiFiアダプターを持っていない限り、表示されません。モニターモード一般的なラップトップに搭載されている多くのアダプタは、これを実行しないか、うまく実行しません。または、1 つの OS でのみ動作します。おそらく、これらのパケットはそもそも存在しないのでしょう。

第二に、マニュアル2 ページ目では、WiFi / WPS ライトには 4 つの表示があります。点灯 = 2.4Ghz または 5Ghz 帯域が有効。高速点滅 = データが送信中。低速点滅 = WPS ネゴシエーション。消灯 = WiFi が無効。ライトをオフにするオプションがあります。マニュアルには、WPS ネゴシエーションでのみオンになることを示唆するものはありません。

3 番目に、WPS を無効にした場合、WPS が何らかの形でまだ使用可能であると示唆する重大な仮定を立てていることになります。もしそうであれば、おそらくルーターの背面にある WPS ボタンを押したため、ライトが 2 分間点滅するはずです。あなたの言っていることが本当であれば、それはファームウェアの欠陥であり、必ずしもハッキングの試みではありません。

4 番目に、WPS ライトが点滅するのは接続を試みているからなのか、WPS ボタンを押したからなのかはわかりません。誰かが接続しようとしていた場合、ライトが点滅しても何も起こらない可能性が高いです。ライトは、WPS ボタンを押してからデバイスを接続するための 2 分間の時間枠を示すのに役立つ可能性が高いです。

さて、これは米国でサポートされていない 30 ドルのルーターであることを考慮する必要があります。最も可能性が高いのは、ファームウェアのバグに対処しているか、ルーターの背面にある WPS スイッチが故障しているか、ルーターの近くにある何かがボタンを押していることです。ただし、WPS をオフにしているので、誰かがルーターを「ハッキング」する可能性はほとんどありません。もしハッキングしていたとしたら、それはおそらく中国人かロシア人でしょう。

私の主張を証明してください。WPS をオフにして、WPS ボタンを押してください。WPS ライトが点滅し始めますか? 2 分間点滅してから止まりますか? まったく反応しませんか? それとも点滅し続けますか? 速い点滅ですか、それとも遅い点滅ですか?

私の推測では、ライトは常に点灯しているわけではなく、時々ゆっくり点滅するだけで、ボタンを押した後は常に 2 分間ゆっくり点滅します。または、常にゆっくり点滅したままで、ボタンを押しても何も起こりません。どちらも、WPS ボタンが故障していることを示しています。または、ゆっくり点滅しておらず、WPS とはまったく関係ありません。

最後に、ルーターにはシステム ログがあります。ルーターの動作に関する明確で簡単に解読できるメッセージが見つかる可能性がある場合は、そこにあります。

ほぼ間違いなく間違っている結論にすぐに飛びつくのではなく、実行できる実際の診断手順は数多くあります。

答え3

WPS がいつ開始されるかを示すこのフィルターをチェックします: eapol.type == 1

関連情報