Я пробовал «WPS» и «eap.wps.code», но ни один из них не работает.
Это перепост из InfoSec SE: https://security.stackexchange.com/questions/221228/display-filter-to-see-wps-attempts-in-wireshark
так как он был приостановлен там как не относящийся к теме. Я перепечатываю оригинал ниже в полном объеме в интересах экономии времени на редактирование. Как описано ниже, моя сеть только что подверглась атаке.
Мой сосед активно пробует WPS-контакты на моем маршрутизаторе — я знаю, потому что светодиод «WiFi/WPS» на моем маршрутизаторе загорелся, когда я его окончательно выключил! Я дважды проверил настройки с помощью страницы администратора маршрутизатора через Ethernet, и он подтвердил, что светодиоды выключены (за исключением времени согласования WPS, которое переопределяет настройку выключения). Обратите внимание, это маршрутизатор Tenda AC10.
Кроме того, все мои устройства 5 ГГц отключились, я не уверен, произошло ли это из-за агрессивных пакетов WPS или же был запущен одновременный поток запросов на деаутентификацию.
Мне нужно отследить пакеты WPS и точно определить MAC-адрес, с которого были сделаны попытки. Я пробовал использовать фильтр отображения "WPS" в Wireshark, а также фильтр "eap.wps.code", но никаких пакетов обнаружено не было, в то время как пакеты записывались!
То же самое произошло пару дней назад, когда я пытался использовать WPS на своем собственном устройстве и не мог увидеть те же кадры с фильтром отображения «WPS» в Wireshark. Я отбросил эту проблему, поскольку теоретически отключил WPS на своих точках доступа, поэтому посчитал ее менее серьезной.
Пожалуйста, сообщите мне точные фильтры отображения, которые следует использовать для обнаружения попыток ввода PIN-кода WPS при каком-либо виде Flood-атаки.
решение1
Вы можете попробовать следующие возможные решения:
Метод 1- Определение MAC-адреса, используемого для перебора WPS: захват пакетов в точке доступа wlan.dst = (AP Mac)и исключение доверенных устройств при необходимости: wlan.dst = (AP Mac) and not wlan.src = (Trusted Mac) and not wlan.src = (Trusted Mac)
это учитывает, что у вас возникли проблемы с использованием фильтра WPS.
Метод 2- Обнаружение DeAuth: Я не могу получить доступ к этому сайту, ноздесьэто руководство по обнаружению DeAuth flood. Если это не сработает,здесь— это руководство от Reddit по обнаружению потока DeAuth.
решение2
Вы сделали так много предположений, которые, возможно, неверны.
Во-первых, вы не увидите никаких пакетов WiFi, которые ищете, если у вас нет достаточно сложного адаптера WiFi, который можно подключить крежим монитора. Многие адаптеры, которые вы найдете в своем типичном ноутбуке, не будут этого делать или будут делать это не очень хорошо. Или будут работать только в одной ОС или другой. Возможно, эти пакеты просто не существуют изначально.
Во-вторых, по даннымруководствоНа странице 2 индикатор WiFi / WPS имеет четыре индикации: горит постоянно = диапазон 2,4 ГГц или 5 ГГц включен. Быстро мигает = данные передаются. Медленно мигает = согласование WPS. Выключен = WiFi отключен. Есть возможность выключить индикаторы. В руководстве нет ничего, что указывало бы на то, что он будет включаться только при согласовании WPS.
В-третьих, если вы отключили WPS, вы делаете серьезные предположения, предполагая, что WPS каким-то образом все еще можно использовать. Если бы это было так, то, скорее всего, это было бы потому, что вы нажали кнопку WPS на задней панели маршрутизатора, в этот момент индикатор мигает в течение двух минут. Если то, что вы сказали, правда, это было бы недостатком прошивки, а не обязательно попыткой взлома.
В-четвертых, нет никакой индикации, мигает ли индикатор WPS из-за попытки подключения или из-за нажатия кнопки WPS. Есть большая вероятность, что он вообще ничего не сделает, если кто-то попытается подключиться. Индикатор, скорее всего, помогает указать двухминутное окно, которое у вас есть для подключения устройства после нажатия кнопки WPS, и все.
Теперь вам нужно учесть, что это маршрутизатор за 30 долларов без поддержки в США. Наиболее вероятно, что вы имеете дело с ошибкой прошивки или неисправностью переключателя WPS на задней панели маршрутизатора, или что-то, находящееся рядом с маршрутизатором, нажимает кнопку. Но поскольку вы отключили WPS, то почти нет шансов, что кто-то «взломает» ваш маршрутизатор. Если бы это было так, то, скорее всего, это были бы китайцы или русские.
Докажите мою точку зрения. Выключите WPS и нажмите кнопку WPS. Индикатор WPS начинает мигать? Он начинает мигать в течение 2 минут, а затем останавливается? Он вообще не реагирует? Или просто продолжает мигать? Это быстрое или медленное мигание?
Я ставлю на то, что свет не горит все время, а просто иногда медленно мигает, и он всегда медленно мигает в течение двух минут после нажатия кнопки. Или он просто продолжает медленно мигать все время, и кнопка ничего не делает. Оба варианта были бы для меня признаком того, что кнопка WPS неисправна. Или это даже не медленное мигание и вообще не связано с WPS.
Наконец, на маршрутизаторе есть системный журнал. Если бы была возможность найти четкие, легко расшифровываемые сообщения о том, что делает ваш маршрутизатор, они были бы там.
Существует множество реальных диагностических шагов, которые вы могли бы предпринять вместо того, чтобы сразу же делать вывод, который почти наверняка неверен.
решение3
Проверьте этот фильтр, который укажет, когда запускается WPS: eapol.type == 1