我嘗試過“WPS”和“eap.wps.code”,但都不起作用。
這是 InfoSec SE 的轉發: https://security.stackexchange.com/questions/221228/display-filter-to-see-wps-attempts-in-wireshark
因為它因偏離主題而被擱置。為了節省編輯時間,我將完整地重新發布下面的原始內容。如下所述,我的網路剛剛遭到攻擊。
我的鄰居正在我的路由器上積極嘗試 WPS 引腳 - 我知道,因為當我永久關閉路由器時,路由器上的“WiFi/WPS”LED 會亮起!我透過乙太網路使用路由器管理頁面仔細檢查了設置,確認 LED 已關閉(WPS 協商期間除外,該協商會覆蓋關閉設定)。注意,這是騰達AC10路由器。
此外,我的所有 5Ghz 設備都斷開連接,我不確定這是因為攻擊性 WPS 封包還是同時發出了解除身份驗證洪水。
我需要追蹤 WPS 封包並找出發出嘗試的 MAC 位址。我嘗試在 Wireshark 中使用“WPS”顯示過濾器以及“eap.wps.code”過濾器,但沒有發現資料包,因為正在記錄資料包!
幾天前,當我嘗試對自己的設備進行WPS 嘗試時,也發生了同樣的情況,但無法使用Wireshark 中的“WPS”顯示過濾器看到相同的幀,我放棄了這個問題,因為理論上,我在AP 上禁用了WPS所以認為這是一個較小的問題。
請讓我知道用於檢測某種洪水攻擊中的 WPS pin 嘗試的確切顯示過濾器。
答案1
答案2
您做出了很多可能是錯誤的假設。
首先,你不會看到任何你正在尋找的 WiFi 資料包,除非你有一個足夠複雜的 WiFi 適配器,可以將其放入監控模式。您在典型筆記型電腦中找到的許多適配器都無法做到這一點,或者不能很好地做到這一點。或只能在一種或另一種作業系統中工作。也許這些資料包根本就不存在。
其次,根據手動的在第 2 頁上,WiFi / WPS 指示燈有四種指示: 常亮 = 2.4Ghz 或 5Ghz 頻段已啟用。快速閃爍 = 正在傳輸資料。緩慢閃爍 = WPS 協商。關閉 = WiFi 已禁用。有一個選項可以關閉燈。手冊中沒有任何內容表明它只能透過 WPS 協商才能打開。
第三,如果您禁用了 WPS,您將做出一些嚴重的假設,表明 WPS 在某種程度上仍然可用。如果是,很可能是因為您按下了路由器背面的 WPS 按鈕,此時指示燈會閃爍兩分鐘。如果您所說的是真的,那麼這將是一個韌體缺陷,不一定是駭客嘗試。
第四,沒有指示 WPS 指示燈閃爍是因為嘗試連線還是因為您按下了 WPS 按鈕。如果有人嘗試連接,它很可能什麼都不做。該燈更有可能幫助指示按下 WPS 按鈕後必須連接設備的兩分鐘窗口,僅此而已。
現在,您必須考慮到這是一款 30 美元的路由器,沒有美國支援。最有可能發生的情況是您正在處理韌體錯誤,或者路由器背面的 WPS 開關出現故障,或者路由器附近的某個東西按下了按鈕。但是,當您關閉 WPS 時,幾乎不可能有人「破解」您的路由器。如果是的話,那可能是中國人或俄羅斯人。
證明我的觀點。關閉 WPS 並按下 WPS 按鈕。 WPS 指示燈是否開始閃爍?是否開始閃爍 2 分鐘然後停止?它根本沒有反應嗎?還是它只是一直閃爍?是快閃還是慢閃?
我敢打賭,燈不會一直亮著,只是偶爾緩慢閃爍,並且在您按下按鈕後,它總是緩慢閃爍兩分鐘。或者,它只是一直緩慢閃爍,而按鈕沒有任何反應。兩者都表示 WPS 按鈕出現故障。或者,它甚至不是慢閃,與 WPS 完全無關。
最後是路由器上的系統日誌。如果有任何機會找到關於您的路由器正在做什麼的清晰、易於理解的消息,它就會在那裡。
您可以採取許多真正的診斷步驟,而不是立即得出幾乎肯定是錯誤的結論。
答案3
檢查此過濾器,該過濾器將指示 WPS 何時啟動:eapol.type == 1