Probé "WPS" y "eap.wps.code" y ninguno funciona.
Esta es una nueva publicación de InfoSec SE: https://security.stackexchange.com/questions/221228/display-filter-to-see-wps-attempts-in-wireshark
ya que se ha dejado en suspenso allí por estar fuera de tema. Vuelvo a publicar el original a continuación en su totalidad para ahorrar tiempo en la edición. Como se describe a continuación, mi red acaba de ser atacada.
Mi vecino está probando activamente los pines WPS en mi enrutador. Lo sé porque el LED "WiFi/WPS" de mi enrutador se iluminó cuando lo apagué permanentemente. Verifiqué dos veces la configuración usando la página de administración del enrutador a través de Ethernet y confirmó que los LED estaban apagados (excepto durante la negociación WPS, que anula la configuración de apagado). Tenga en cuenta que es un enrutador Tenda AC10.
Además, todos mis dispositivos de 5 Ghz se desconectaron, no estoy seguro si se debe a paquetes WPS agresivos o a que se emitió una inundación simultánea.
Necesito rastrear los paquetes WPS y localizar la dirección MAC desde la que se emitieron los intentos. Intenté usar el filtro de visualización "WPS" en Wireshark, así como el filtro "eap.wps.code", ¡no se encontraron paquetes MIENTRAS se estaban grabando los paquetes!
Lo mismo también ocurrió hace un par de días cuando estaba intentando intentos de WPS en mi propio dispositivo y no pude ver los mismos fotogramas con el filtro de visualización "WPS" en Wireshark. Dejé el problema porque, en teoría, había desactivado WPS en mis AP. así que lo consideró un problema menor.
Por favor, hágame saber los filtros de visualización exactos que debo usar para detectar intentos de pin WPS en algún tipo de ataque de inundación.
Respuesta1
Podrías probar estas posibles soluciones:
Método 1- Captura de MAC que se utiliza para fuerza bruta WPS: captura paquetes al punto de acceso wlan.dst = (AP Mac)y excluye dispositivos confiables si es necesario: wlan.dst = (AP Mac) and not wlan.src = (Trusted Mac) and not wlan.src = (Trusted Mac)
esto tiene en cuenta que tienes problemas al usar el filtro WPS
Método 2- Detectar DeAuth: No puedo acceder a este sitio web, peroaquíes un tutorial sobre cómo detectar una inundación de DeAuth. Si eso no funciona,aquíes un tutorial de reddit para detectar una inundación de DeAuth.
Respuesta2
Has hecho tantas suposiciones que posiblemente estén equivocadas.
En primer lugar, no verá ningún paquete WiFi que esté buscando a menos que tenga un adaptador WiFi lo suficientemente sofisticado que pueda conectarse amodo monitor. Muchos adaptadores que se encuentran en una computadora portátil típica no hacen esto o no lo hacen bien. O solo funcionará en un sistema operativo u otro. Quizás estos paquetes simplemente no existan en primer lugar.
En segundo lugar, según elmanualEn la página 2, la luz WiFi/WPS tiene cuatro indicaciones: fija = la banda de 2,4 Ghz o 5 Ghz está habilitada. Parpadeo rápido = se están transmitiendo datos. Parpadeo lento = negociación WPS. Apagado = WiFi deshabilitado. Existe la opción de apagar las luces. No hay nada en el manual que sugiera que se activará sólo con la negociación WPS.
En tercer lugar, si deshabilitó WPS, está haciendo algunas suposiciones serias que sugieren que WPS todavía se puede utilizar de alguna manera. Si así fuera, lo más probable es que haya presionado el botón WPS en la parte posterior del enrutador, momento en el que la luz parpadeará durante dos minutos. Si lo que dijiste fuera cierto, sería una falla de firmware, no necesariamente un intento de piratería.
Cuarto, no hay indicación de si la luz WPS parpadea debido a un intento de conexión o porque presionó el botón WPS. Es muy probable que no haga absolutamente nada si alguien intenta conectarse. Es más probable que la luz ayude a indicar la ventana de dos minutos que tiene para conectar un dispositivo después de presionar el botón WPS y listo.
Ahora bien, debes considerar que este es un enrutador de $30 sin soporte en EE. UU. Lo más probable es que esté lidiando con un error de firmware o que el interruptor WPS en la parte posterior del enrutador no funcione correctamente, o que algo cerca del enrutador esté presionando el botón. Pero, si desactiva WPS, casi no hay posibilidad de que alguien esté "pirateando" su enrutador. Si lo fueran, probablemente serían los chinos o los rusos.
Demuestra mi punto. Apague WPS y presione el botón WPS. ¿La luz WPS comienza a parpadear? ¿Empieza a parpadear durante 2 minutos y luego se detiene? ¿No responde en absoluto? ¿O simplemente sigue parpadeando? ¿Es un parpadeo rápido o un parpadeo lento?
Mi apuesta es que la luz no está encendida todo el tiempo, sino que parpadea lentamente de vez en cuando, y siempre parpadea lentamente durante dos minutos después de presionar el botón. O simplemente permanece parpadeando lentamente todo el tiempo y el botón no hace nada. Ambos serían una indicación para mí de que el botón WPS no funciona correctamente. O ni siquiera es un flash lento y no tiene ninguna relación con WPS.
Finalmente, hay un registro del sistema en el enrutador. Si existiera alguna posibilidad de encontrar mensajes claros y fácilmente descifrables sobre lo que estaba haciendo su enrutador, estaría allí.
Hay muchos pasos de diagnóstico reales que se pueden tomar en lugar de llegar inmediatamente a una conclusión que casi con certeza es falsa.
Respuesta3
Marque este filtro que indicará cuando se inicia WPS: eapol.type == 1