"WPS"와 "eap.wps.code"를 시도했지만 둘 다 작동하지 않습니다.
이것은 InfoSec SE의 재게시물입니다: https://security.stackexchange.com/questions/221228/display-filter-to-see-wps-attempts-in-wireshark
주제에서 벗어난 것으로 보류되었기 때문입니다. 편집에 소요되는 시간을 절약하기 위해 아래 원본 전체를 다시 게시합니다. 아래에 설명된 대로 내 네트워크가 방금 공격을 받았습니다.
내 이웃이 내 라우터에서 WPS 핀을 적극적으로 시도하고 있습니다. 내 라우터를 영구적으로 끄면 내 라우터의 "WiFi/WPS" LED가 켜져 있기 때문에 알고 있습니다! 이더넷을 통해 라우터 관리 페이지를 사용하여 설정을 두 번 확인한 결과 LED가 꺼져 있음을 확인했습니다(꺼짐 설정을 무시하는 WPS 협상 중에는 제외). 참고로 Tenda AC10 라우터입니다.
또한 내 모든 5Ghz 장치의 연결이 끊어졌습니다. 공격적인 WPS 패킷 때문인지 아니면 동시 인증 해제 플러드가 발생했기 때문인지 확실하지 않습니다.
WPS 패킷을 추적하고 시도가 발생한 MAC 주소를 정확히 찾아내야 합니다. Wireshark에서 "WPS" 디스플레이 필터와 "eap.wps.code" 필터를 사용해 보았으나 패킷이 기록되는 동안 패킷이 발견되지 않았습니다!
며칠 전에 내 장치에 대해 WPS 시도를 시도했지만 Wireshark의 "WPS" 디스플레이 필터를 사용하여 동일한 프레임을 볼 수 없었을 때도 같은 문제가 발생했습니다. 이론적으로 내 AP에서 WPS를 비활성화했기 때문에 문제를 삭제했습니다. 그래서 그것은 더 작은 문제라고 생각했습니다.
일종의 홍수 공격에서 WPS 핀 시도를 감지하는 데 사용할 정확한 디스플레이 필터를 알려주십시오.
답변1
다음과 같은 잠재적인 해결 방법을 시도해 볼 수 있습니다.
방법 1- WPS 무차별 대입에 사용되는 MAC 잡기: 액세스 포인트에 대한 패킷을 캡처 wlan.dst = (AP Mac)하고 필요한 경우 신뢰할 수 있는 장치를 제외합니다. wlan.dst = (AP Mac) and not wlan.src = (Trusted Mac) and not wlan.src = (Trusted Mac)
이는 WPS 필터 사용에 문제가 있다는 점을 고려합니다.
방법 2- DeAuth 감지: 이 웹사이트에 접속할 수 없지만,여기DeAuth 플러드 감지에 대한 튜토리얼입니다. 그래도 작동하지 않으면여기DeAuth 홍수를 감지하기 위한 reddit의 튜토리얼입니다.
답변2
당신은 틀릴 가능성이 있는 너무 많은 가정을 했습니다.
첫째, 연결할 수 있을 만큼 정교한 WiFi 어댑터가 없으면 찾고 있는 WiFi 패킷이 표시되지 않습니다.모니터 모드. 일반적인 노트북에서 볼 수 있는 많은 어댑터는 이 기능을 수행하지 않거나 제대로 작동하지 않습니다. 아니면 하나의 OS 또는 다른 OS에서만 작동합니다. 아마도 이러한 패킷은 애초에 존재하지 않을 수도 있습니다.
둘째,에 따르면수동2페이지의 WiFi/WPS 표시등에는 4가지 표시가 있습니다. 켜짐 = 2.4Ghz 또는 5Ghz 대역이 활성화되었습니다. 빠르게 깜박임 = 데이터가 전송 중입니다. 느리게 깜박임 = WPS 협상. 꺼짐 = WiFi가 비활성화되었습니다. 조명을 끄는 옵션이 있습니다. 설명서에는 WPS 협상을 통해서만 켜진다는 내용이 없습니다.
셋째, WPS를 비활성화하면 WPS를 여전히 사용할 수 있다는 심각한 가정을 하는 것입니다. 그렇다면 라우터 뒷면에 있는 WPS 버튼을 눌렀을 때 표시등이 2분 동안 깜박이기 때문일 가능성이 높습니다. 당신이 말한 것이 사실이라면 그것은 반드시 해킹 시도가 아닌 펌웨어 결함일 것입니다.
넷째, WPS 표시등이 깜박이는 이유는 연결 시도 때문인지 WPS 버튼을 눌렀기 때문인지 알 수 없습니다. 누군가가 연결을 시도한다면 전혀 아무 일도 일어나지 않을 가능성이 높습니다. 표시등은 WPS 버튼을 누른 후 장치를 연결해야 하는 2분의 시간을 나타내는 데 도움이 될 가능성이 높습니다.
이제 이것이 미국 지원이 없는 30달러짜리 라우터라는 점을 고려해야 합니다. 가장 가능성이 높은 상황은 펌웨어 버그를 다루고 있거나 라우터 뒷면의 WPS 스위치가 제대로 작동하지 않거나 라우터 근처에 있는 무언가가 버튼을 누르는 것입니다. 그러나 WPS를 끄면 누군가가 라우터를 "해킹"할 가능성이 거의 없습니다. 그렇다면 아마도 중국인이나 러시아인일 것입니다.
내 주장을 증명해 보세요. WPS를 끄고 WPS 버튼을 누르세요. WPS 표시등이 깜박이기 시작합니까? 2분 동안 깜박이기 시작했다가 멈추나요? 전혀 반응하지 않습니까? 아니면 계속 깜박거리기만 하는 걸까요? 빠른 플래시인가요 아니면 느린 플래시인가요?
내 생각엔 조명이 항상 켜져 있는 것은 아니지만 가끔 느리게 깜박이고, 버튼을 누른 후 2분 동안 항상 느리게 깜박인다는 것입니다. 또는 항상 느리게 깜박이는 상태로 유지되고 버튼은 아무 작업도 수행하지 않습니다. 둘 다 WPS 버튼이 제대로 작동하지 않는다는 표시입니다. 또는 느린 플래시도 아니며 WPS와 전혀 관련이 없습니다.
마지막으로 라우터에 시스템 로그가 있습니다. 라우터가 수행 중인 작업에 대해 명확하고 쉽게 해독할 수 있는 메시지를 찾을 수 있는 기회가 있다면 거기에 있을 것입니다.
거의 확실하게 거짓이라는 결론에 즉시 도달하는 대신 취할 수 있는 실제 진단 단계가 너무 많습니다.
답변3
WPS가 시작되는 시기를 나타내는 이 필터를 확인하십시오: eapol.type == 1