Eu tentei "WPS" e "eap.wps.code" e nenhum deles funcionou.
Esta é uma republicação do InfoSec SE: https://security.stackexchange.com/questions/221228/display-filter-to-see-wps-attempts-in-wireshark
já que foi colocado em espera por ser fora do assunto. Estou repassando o original abaixo na íntegra para economizar tempo na edição. Conforme descrito abaixo, minha rede acabou de ser atacada.
Meu vizinho está testando ativamente os pinos WPS no meu roteador - eu sei porque o LED "WiFi/WPS" no meu roteador acendeu quando eu o desliguei permanentemente! Verifiquei novamente a configuração usando a página de administração do roteador através da Ethernet e confirmei que os LEDs estavam desligados (exceto durante a negociação WPS, que substitui a configuração desligada). Observe que é um roteador Tenda AC10.
Além disso, todos os meus dispositivos de 5 GHz foram desconectados. Não tenho certeza se é por causa de pacotes WPS agressivos ou se foi emitida uma inundação simultânea de deauth.
Preciso rastrear os pacotes WPS e identificar o endereço MAC de onde as tentativas foram emitidas. Tentei usar o filtro de exibição "WPS" no Wireshark, bem como o filtro "eap.wps.code", nenhum pacote foi encontrado enquanto os pacotes estavam sendo gravados!
O mesmo também ocorreu alguns dias atrás, quando eu estava tentando tentativas de WPS em meu próprio dispositivo e não consegui ver os mesmos quadros com o filtro de exibição "WPS" no Wireshark. Resolvi o problema porque tinha - em teoria - desabilitado o WPS em meus APs então considerei isso um problema menor.
Por favor, deixe-me saber os filtros de exibição exatos a serem usados para detectar tentativas de pin WPS em algum tipo de ataque de inundação.
Responder1
Você poderia tentar estas soluções potenciais:
Método 1- Capturando MAC sendo usado para força bruta WPS: Capture pacotes para o ponto de acesso: wlan.dst = (AP Mac)e exclua dispositivos confiáveis, se necessário: wlan.dst = (AP Mac) and not wlan.src = (Trusted Mac) and not wlan.src = (Trusted Mac)
Isso leva em consideração que você está tendo problemas ao usar o filtro WPS
Método 2- Detectar DeAuth: não consigo acessar este site, masaquié um tutorial sobre como detectar uma inundação DeAuth. Se isso não funcionar,aquié um tutorial do Reddit para detectar uma inundação DeAuth.
Responder2
Você fez tantas suposições que possivelmente estão erradas.
Primeiro, você não verá nenhum pacote WiFi que esteja procurando, a menos que tenha um adaptador WiFi sofisticado o suficiente que possa ser instaladomodo monitor. Muitos adaptadores que você encontra em seu laptop típico não fazem isso ou não funcionam bem. Ou só funcionará em um sistema operacional ou outro. Talvez esses pacotes simplesmente não existam.
Em segundo lugar, de acordo com omanualna página 2, a luz WiFi/WPS tem quatro indicações: sólida = a banda de 2,4 GHz ou 5 GHz está habilitada. Piscando rapidamente = dados estão sendo transmitidos. Piscando lentamente = negociação WPS. Desligado = WiFi desativado. Existe a opção de desligar as luzes. Não há nada no manual que sugira que ele será ativado apenas com a negociação WPS.
Terceiro, se você desativou o WPS, você está fazendo algumas suposições sérias, sugerindo que o WPS ainda pode ser usado de alguma forma. Se fosse, provavelmente seria porque você pressionou o botão WPS na parte traseira do roteador, momento em que a luz piscará por dois minutos. Se o que você disse fosse verdade, seria uma falha de firmware, não necessariamente uma tentativa de hack.
Quarto, não há indicação se a luz WPS pisca devido a uma tentativa de conexão ou porque você pressionou o botão WPS. Há uma boa chance de que não faria absolutamente nada se alguém estivesse tentando se conectar. É mais provável que a luz ajude a indicar a janela de dois minutos que você tem para conectar um dispositivo depois de pressionar o botão WPS e pronto.
Agora, você deve considerar que este é um roteador de US$ 30 sem suporte nos EUA. O mais provável é que você esteja lidando com um bug de firmware ou o switch WPS esteja com defeito na parte traseira do roteador ou algo próximo ao roteador esteja apertando o botão. Mas, estando você desligado o WPS, quase não há chance de alguém estar “hackeando” seu roteador. Se fossem, provavelmente seriam os chineses ou os russos.
Prove meu ponto. Desligue o WPS e pressione o botão WPS. A luz WPS começa a piscar? Começa a piscar por 2 minutos e depois para? Não responde de jeito nenhum? Ou simplesmente continua piscando? É um flash rápido ou lento?
Minha aposta é que a luz não fica acesa o tempo todo, mas apenas ocasionalmente pisca lentamente, e sempre pisca lentamente por dois minutos depois que você pressiona o botão. Ou simplesmente fica piscando lentamente o tempo todo e o botão não faz nada. Ambos seriam uma indicação para mim de que o botão WPS está com defeito. Ou nem é um flash lento e não tem nenhuma relação com WPS.
Finalmente, há um log do sistema no roteador. Se houvesse alguma chance de encontrar mensagens claras e facilmente decifráveis sobre o que o seu roteador estava fazendo, ela estaria lá.
Existem tantas etapas reais de diagnóstico que você pode seguir, em vez de tirar imediatamente uma conclusão que é quase certamente falsa.
Responder3
Verifique este filtro que indicará quando o WPS for iniciado: eapol.type == 1