Wir haben anhaltende drahtlose Paketfluten (Beacon-, Probe Request- und Probe Response-Fluts) festgestellt, die im Ereignisprotokoll unserer Firewall-Appliance im Büro gemeldet werden. Diese werden kontinuierlich gesendet und das schon seit Wochen. Wir befinden uns in einem Turm für mehrere Mieter, daher habe ich keine Ahnung, ob die Flut aus unserem Büro oder von einem Ort in unserer Nähe kommt.
Die in der Quelle und/oder im Ziel dieser Pakete verwendeten Mac-Adressen ändern sich ständig (scheinbar durchlaufen sie Bereiche), daher gehe ich davon aus, dass dies die Arbeit an einem dieser Tools wie Air-Crack ist, das Pakete fälscht, um einen DoS auszuführen. Es verweigert zwar nicht vollständig die Nutzung unseres Netzwerks, führt aber von Zeit zu Zeit zu Verlangsamungen.
Ich verstehe, dass Sie diese Pakete nicht blockieren können, da sie keine unterscheidbaren Merkmale aufweisen. Aber gibt es eine Möglichkeit, den physischen Bereich zu bestimmen, aus dem diese Pakete gesendet werden? Ich frage mich, ob es Tools gibt, die den Standort anhand des Zeitpunkts der Pakete triangulieren können.
Antwort1
Sie können Aerodump-ng verwenden, um den gesamten drahtlosen Datenverkehr auf Signalstärke zu überwachen. Wenn Sie die temporäre MAC der Quelle kennen, starten Sie eine Erfassung, indem Sie „airodump-ng [Schnittstelle]“ eingeben, wobei [Schnittstelle] der Name Ihres drahtlosen Geräts ist. Je näher Sie der Quelle kommen, desto höher wird der „PWR“.