elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Wireless
| | |-+  Detectar un sniffer en mi red
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Detectar un sniffer en mi red  (Leído 5,763 veces)
viper2

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Detectar un sniffer en mi red
« en: 18 Febrero 2017, 16:12 pm »

Hola a tod@s:


Hace una semana me dió por revisar la configuración del router, ya que las semanas anteriores me iba la conexión como el culo. Tal como sospechaba, había más de un 'parásito' enganchado (5 smartphones y un PC).

Les bloqueé sus direcciones MAC, cambié la password del router, así como la de la red, y además cambié el SSID. Revisé que tuviera puesta la cifrado WPA2 con AES, y he deshabilitado el WPS, además de rebajar la señal de la antena al 20% (con éso ya tengo de sobra para el piso).

Total, todo bien durante un par de días, pero ahora me encuentro con que hay un dispositivo con la misma MAC que otro aparato mío, y con la siguiente IP correlativa (o sea, si fuera 192.168.1.50, pues tiene la 51).

Estoy seguro de que es un sniffer, pero en éstos temas ando muy pez. Ya he probado a realizar un ping a dicha IP y no me responde.

Me gustaría saber si hay alguna manera relativamente sencilla (o un software) para poder detectar dichos intentos de intrusión y poder bloquearlos (o redirigir su tráfico a otro sitio para poder hacer un log).

La idea es recopilar información de dicho ataque, así como toda la información posible de los dispositivos que se hayan conectado de manera ilegal a raiz de dicho ataque, y poder denunciarlo.

¿Alguien podría ayudarme?


Un saludo.


En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.465


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Detectar un sniffer en mi red
« Respuesta #1 en: 18 Febrero 2017, 17:20 pm »

No tengo mucha idea del tema, pero como medida extra de prevención podrías hacer que el SSID esté oculto.

Saludos!


En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

viper2

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Detectar un sniffer en mi red
« Respuesta #2 en: 18 Febrero 2017, 17:24 pm »

No tengo mucha idea del tema, pero como medida extra de prevención podrías hacer que el SSID esté oculto.

Saludos!
¡Hola! Probé ésa opción, pero al hacerlo mis Android conectados se perdían. Y para usar el wifi necesito que haya un SSID... salvo que haya una manera de poder conectarlos sin éso (pregunto desde la ignorancia, las redes no son lo mío).
En línea

Sh4k4


Desconectado Desconectado

Mensajes: 965


xMHT


Ver Perfil
Re: Detectar un sniffer en mi red
« Respuesta #3 en: 18 Febrero 2017, 18:11 pm »

Hay muchas apps para ver si alguien esta realizando un arp poison basico, pero como sabemos la captura puede ser tambien pasiva asi que te toca revisar a la inversa, la primera tool podria ser DecaffeinatID, otra Netcut, otra intercepter, otra cain, otras mas por ahi y claro el listado de las macs en la lista arp, sino deshabilitar la wifi por un rato mientras revisas dispositivo por dispositivo quien es el que conecta, si se conecta obvio tiene la clave, verifica sino te han troyanizado o tienen (atacantes) algun modo de conocer de nuevo la clave, avisa a tus usuarios de tu wifi y realiza el sniffeo tu, aparte de la accion de choque y quizas caida, ademas de hablar ala policia local de tu localidad donde vives para hacer el debido reporte de intrusion a tu red wifi
« Última modificación: 18 Febrero 2017, 18:13 pm por Sh4k4 » En línea

viper2

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Detectar un sniffer en mi red
« Respuesta #4 en: 19 Febrero 2017, 00:29 am »

Hay muchas apps para ver si alguien esta realizando un arp poison basico, pero como sabemos la captura puede ser tambien pasiva asi que te toca revisar a la inversa, la primera tool podria ser DecaffeinatID, otra Netcut, otra intercepter, otra cain, otras mas por ahi y claro el listado de las macs en la lista arp, sino deshabilitar la wifi por un rato mientras revisas dispositivo por dispositivo quien es el que conecta, si se conecta obvio tiene la clave, verifica sino te han troyanizado o tienen (atacantes) algun modo de conocer de nuevo la clave, avisa a tus usuarios de tu wifi y realiza el sniffeo tu, aparte de la accion de choque y quizas caida, ademas de hablar ala policia local de tu localidad donde vives para hacer el debido reporte de intrusion a tu red wifi

Ésto era justo lo que necesitaba saber. ;D Indagaré un poco a partir de ahí.

De momento, he cambiado de nuevo la clave, por otra bastante más larga y puñetera, y la IP sospechosa ha desaparecido de la lista. Éso, junto con el cifrado WPA2+AES (deshabilitada compatibilidad con WPA), el WPS deshabilitado, señal de antena rebajada al 20%, filtrado MAC y retocado alguna opción del firewall... quizás me faltaría cambiar otra vez el SSID, aunque si ha utilizado MAC spoofing supongo que sería una tontería (¿o no?).

Ya tenía los equipos analizados (incluso con herramientas de segunda opinión) y no ha saltado nada, por lo que supongo que ha sido un ataque totalmente externo.

Ya os contaré si sale algo más. Muchas gracias por la ayuda.



PD: Revisando los logs del router, después de retocar el firewall, me ha salido ésto:

833   Feb 19 00:15:49   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=185.43.182.59 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=60 ID=33302 DF PROTO=TCP SPT=80 DPT=33284 WINDOW=1175 RES=0x00 ACK URGP=0
834   Feb 19 00:17:05   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=23.214.210.142 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=58 ID=32984 DF PROTO=TCP SPT=443 DPT=37362 WINDOW=972 RES=0x00 ACK URGP=0
835   Feb 19 00:18:10   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=23.214.210.142 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=58 ID=61446 DF PROTO=TCP SPT=443 DPT=37363 WINDOW=1007 RES=0x00 ACK URGP=0
836   Feb 19 00:25:10   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.13.84 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=48488 LEN=1358
837   Feb 19 00:26:52   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.5.137 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=58395 LEN=1358
838   Feb 19 00:27:54   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.5.137 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=58395 LEN=1358

¿Indicaría ésto un intento de sniffing?
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Detectar un sniffer en mi red
« Respuesta #5 en: 19 Febrero 2017, 03:58 am »

No tengo mucha idea del tema, pero como medida extra de prevención podrías hacer que el SSID esté oculto.

Saludos!

esto no es de ninguna utilidad frente a cualquier herramienta de analisis, ya que los dispositivos conectados delatan al AP en la conexión... esto es más un asunto de organización y conveniencia visual asi como lo es el filtro mac
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Sh4k4


Desconectado Desconectado

Mensajes: 965


xMHT


Ver Perfil
Re: Detectar un sniffer en mi red
« Respuesta #6 en: 19 Febrero 2017, 12:24 pm »

Citar
¿Indicaría ésto un intento de sniffing?
un udp flood attack es un DOS no un sniff, quizas el alive del port en responding, data ya sabes.. getting info from who knows

Para los interesados en tools anti sniffeo pueden buscar mas tools por la red con la premura: "detecting mode promiscuous", ya que es una cualidad al ser puestos los chips que soporten el modo de estos adaptadores wifi de cada dispositivo en especial y claro responden al estar activo, el pasivo inevitable pero vamos no esta abierta asi que a pulir tools, si alguien me hace mitm y yo hago mitm, que pasa?... bueno otra forma de saver la inversa del ataque, dos ips iguales? routers malos? ya saben que pasa obvio...  :rolleyes:, mask macs and macs ghots, recuerdo el porque de la paranoia salu2 and happy pentest!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
sniffer para detectar mac y nombre de una maquina?
Wireless en Linux
curiosodigital 0 1,978 Último mensaje 18 Noviembre 2010, 23:31 pm
por curiosodigital
sniffer wifi, sniffer gsm.
Hacking
soyloqbuskas 2 4,064 Último mensaje 1 Agosto 2012, 16:29 pm
por soyloqbuskas
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines