Ich habe „WPS“ und „eap.wps.code“ ausprobiert und beides funktioniert nicht.
Dies ist ein erneuter Beitrag von InfoSec SE: https://security.stackexchange.com/questions/221228/display-filter-to-see-wps-attempts-in-wireshark
da es dort als nicht zum Thema gehörend zurückgestellt wurde. Ich veröffentliche das Original unten noch einmal in seiner Gesamtheit, um Zeit beim Bearbeiten zu sparen. Wie unten beschrieben, wurde mein Netzwerk gerade angegriffen.
Mein Nachbar probiert aktiv WPS-Pins an meinem Router aus – ich weiß das, weil die „WiFi/WPS“-LED an meinem Router aufleuchtete, als ich ihn dauerhaft ausgeschaltet hatte! Ich habe die Einstellung über die Router-Admin-Seite per Ethernet noch einmal überprüft und es wurde bestätigt, dass die LEDs aus waren (außer während der WPS-Aushandlung, die die Aus-Einstellung überschreibt). Beachten Sie, dass es sich um einen Tenda AC10-Router handelt.
Darüber hinaus wurde die Verbindung zu allen meinen 5-GHz-Geräten unterbrochen. Ich bin nicht sicher, ob dies an aggressiven WPS-Paketen lag oder ob gleichzeitig eine Deauth-Flood-Attacke aufgetreten ist.
Ich muss die WPS-Pakete aufspüren und die MAC-Adresse ermitteln, von der die Versuche ausgingen. Ich habe versucht, den Anzeigefilter „WPS“ in Wireshark sowie den Filter „eap.wps.code“ zu verwenden, aber WÄHREND die Pakete aufgezeichnet wurden, wurden keine Pakete gefunden!
Das Gleiche passierte auch vor ein paar Tagen, als ich WPS-Versuche mit meinem eigenen Gerät unternahm und mit dem Anzeigefilter „WPS“ in WiresharkI nicht dieselben Frames sehen konnte. Ich habe das Problem fallen gelassen, da ich – theoretisch – WPS auf meinen APs deaktiviert hatte und es daher als kleineres Problem betrachtete.
Teilen Sie mir bitte die genauen Anzeigefilter mit, die zum Erkennen von WPS-PIN-Versuchen bei einer Art Flood-Angriff zu verwenden sind.
Antwort1
Sie könnten diese möglichen Lösungen ausprobieren:
Methode 1- Abfangen der für WPS-Bruteforce verwendeten MAC-Adresse: Erfassen Sie Pakete an den Zugriffspunkt wlan.dst = (AP Mac)und schließen Sie vertrauenswürdige Geräte bei Bedarf aus: wlan.dst = (AP Mac) and not wlan.src = (Trusted Mac) and not wlan.src = (Trusted Mac)
Dabei wird berücksichtigt, dass Sie Probleme bei der Verwendung des WPS-Filters haben.
Methode 2- DeAuth erkennen: Ich kann nicht auf diese Website zugreifen, aberHierist ein Tutorial zum Erkennen einer DeAuth-Flut. Wenn das nicht funktioniert,Hierist ein Tutorial von Reddit zum Erkennen einer DeAuth-Flut.
Antwort2
Sie haben so viele Annahmen getroffen, die möglicherweise falsch sind.
Erstens werden Sie keine WiFi-Pakete sehen, nach denen Sie suchen, es sei denn, Sie haben einen ausreichend ausgereiften WiFi-Adapter, der inMonitormodus. Viele Adapter, die Sie in Ihrem typischen Laptop finden, können das nicht oder nicht gut. Oder sie funktionieren nur unter dem einen oder anderen Betriebssystem. Vielleicht existieren diese Pakete einfach gar nicht.
Zweitens, nach derHandbuchAuf Seite 2 hat die WiFi/WPS-Leuchte vier Anzeigen: Durchgehend = das 2,4-GHz- oder 5-GHz-Band ist aktiviert. Schnelles Blinken = Daten werden übertragen. Langsames Blinken = WPS-Aushandlung. Aus = WiFi deaktiviert. Es gibt eine Option zum Ausschalten der Leuchten. Im Handbuch steht nichts, was darauf hindeutet, dass sie sich nur bei WPS-Aushandlung einschalten.
Drittens: Wenn Sie WPS deaktiviert haben, gehen Sie ernsthaft davon aus, dass WPS irgendwie noch nutzbar ist. Wenn das der Fall wäre, läge es höchstwahrscheinlich daran, dass Sie die WPS-Taste auf der Rückseite des Routers gedrückt haben, woraufhin das Licht zwei Minuten lang blinkt. Wenn das, was Sie gesagt haben, wahr wäre, wäre es ein Firmware-Fehler und nicht unbedingt ein Hacker-Versuch.
Viertens gibt es keinen Hinweis darauf, ob die WPS-Leuchte wegen eines Verbindungsversuchs oder weil Sie die WPS-Taste gedrückt haben, blinkt. Es besteht eine gute Chance, dass sie absolut nichts bewirkt, wenn jemand versucht, eine Verbindung herzustellen. Die Leuchte zeigt eher das zweiminütige Zeitfenster an, in dem Sie nach dem Drücken der WPS-Taste ein Gerät verbinden müssen, und das war’s.
Nun müssen Sie bedenken, dass es sich um einen 30-Dollar-Router ohne US-Support handelt. Am wahrscheinlichsten ist, dass Sie es mit einem Firmware-Fehler zu tun haben oder der WPS-Schalter auf der Rückseite des Routers nicht richtig funktioniert oder dass etwas in der Nähe des Routers den Knopf drückt. Da Sie WPS jedoch ausgeschaltet haben, besteht fast keine Chance, dass jemand Ihren Router „hackt“. Wenn doch, dann sind es wahrscheinlich die Chinesen oder Russen.
Beweisen Sie meinen Standpunkt. Schalten Sie WPS aus und drücken Sie die WPS-Taste. Beginnt die WPS-Leuchte zu blinken? Beginnt sie 2 Minuten lang zu blinken und hört dann auf? Reagiert sie überhaupt nicht? Oder blinkt sie einfach weiter? Blinkt sie schnell oder langsam?
Ich vermute, dass das Licht nicht die ganze Zeit leuchtet, sondern nur gelegentlich langsam blinkt, und zwar immer zwei Minuten lang, nachdem Sie die Taste gedrückt haben. Oder es blinkt einfach die ganze Zeit langsam und die Taste tut nichts. Beides wäre für mich ein Hinweis darauf, dass die WPS-Taste nicht richtig funktioniert. Oder es blinkt nicht einmal langsam und hat überhaupt nichts mit WPS zu tun.
Schließlich gibt es ein Systemprotokoll auf dem Router. Wenn es eine Chance gäbe, klare, leicht entzifferbare Meldungen über die Aktivitäten Ihres Routers zu finden, dann wären sie dort zu finden.
Es gibt so viele echte Diagnoseschritte, die Sie unternehmen könnten, anstatt sofort zu einer Schlussfolgerung zu springen, die mit ziemlicher Sicherheit falsch ist.
Antwort3
Aktivieren Sie diesen Filter, der angibt, wann WPS gestartet wird: eapol.type == 1