Hola a tod@s:


Hace una semana me dió por revisar la configuración del router, ya que las semanas anteriores me iba la conexión como el culo. Tal como sospechaba, había más de un 'parásito' enganchado (5 smartphones y un PC).

Les bloqueé sus direcciones MAC, cambié la password del router, así como la de la red, y además cambié el SSID. Revisé que tuviera puesta la cifrado WPA2 con AES, y he deshabilitado el WPS, además de rebajar la señal de la antena al 20% (con éso ya tengo de sobra para el piso).

Total, todo bien durante un par de días, pero ahora me encuentro con que hay un dispositivo con la misma MAC que otro aparato mío, y con la siguiente IP correlativa (o sea, si fuera 192.168.1.50, pues tiene la 51).

Estoy seguro de que es un sniffer, pero en éstos temas ando muy pez. Ya he probado a realizar un ping a dicha IP y no me responde.

Me gustaría saber si hay alguna manera relativamente sencilla (o un software) para poder detectar dichos intentos de intrusión y poder bloquearlos (o redirigir su tráfico a otro sitio para poder hacer un log).

La idea es recopilar información de dicho ataque, así como toda la información posible de los dispositivos que se hayan conectado de manera ilegal a raiz de dicho ataque, y poder denunciarlo.

¿Alguien podría ayudarme?


Un saludo.

¡Hola! Probé ésa opción, pero al hacerlo mis Android conectados se perdían. Y para usar el wifi necesito que haya un SSID... salvo que haya una manera de poder conectarlos sin éso (pregunto desde la ignorancia, las redes no son lo mío).

Ésto era justo lo que necesitaba saber. Indagaré un poco a partir de ahí.

De momento, he cambiado de nuevo la clave, por otra bastante más larga y puñetera, y la IP sospechosa ha desaparecido de la lista. Éso, junto con el cifrado WPA2+AES (deshabilitada compatibilidad con WPA), el WPS deshabilitado, señal de antena rebajada al 20%, filtrado MAC y retocado alguna opción del firewall... quizás me faltaría cambiar otra vez el SSID, aunque si ha utilizado MAC spoofing supongo que sería una tontería (¿o no?).

Ya tenía los equipos analizados (incluso con herramientas de segunda opinión) y no ha saltado nada, por lo que supongo que ha sido un ataque totalmente externo.

Ya os contaré si sale algo más. Muchas gracias por la ayuda.



PD: Revisando los logs del router, después de retocar el firewall, me ha salido ésto:

833   Feb 19 00:15:49   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=185.43.182.59 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=60 ID=33302 DF PROTO=TCP SPT=80 DPT=33284 WINDOW=1175 RES=0x00 ACK URGP=0
834   Feb 19 00:17:05   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=23.214.210.142 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=58 ID=32984 DF PROTO=TCP SPT=443 DPT=37362 WINDOW=972 RES=0x00 ACK URGP=0
835   Feb 19 00:18:10   DEBUG   DoS: Action=DROP FRAGMENT FLOODING ATTACK IN=ppp100 OUT=br0 SRC=23.214.210.142 DST=192.168.1.36 LEN=1492 TOS=0x00 PREC=0x00 TTL=58 ID=61446 DF PROTO=TCP SPT=443 DPT=37363 WINDOW=1007 RES=0x00 ACK URGP=0
836   Feb 19 00:25:10   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.13.84 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=48488 LEN=1358
837   Feb 19 00:26:52   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.5.137 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=58395 LEN=1358
838   Feb 19 00:27:54   DEBUG   DoS: Action=DROP UDP FLOODING ATTACK IN=ppp100 OUT=br0 SRC=173.194.5.137 DST=192.168.1.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=UDP SPT=443 DPT=58395 LEN=1358

¿Indicaría ésto un intento de sniffing?

un udp flood attack es un DOS no un sniff, quizas el alive del port en responding, data ya sabes.. getting info from who knows

Para los interesados en tools anti sniffeo pueden buscar mas tools por la red con la premura: "detecting mode promiscuous", ya que es una cualidad al ser puestos los chips que soporten el modo de estos adaptadores wifi de cada dispositivo en especial y claro responden al estar activo, el pasivo inevitable pero vamos no esta abierta asi que a pulir tools, si alguien me hace mitm y yo hago mitm, que pasa?... bueno otra forma de saver la inversa del ataque, dos ips iguales? routers malos? ya saben que pasa obvio...  , mask macs and macs ghots, recuerdo el porque de la paranoia salu2 and happy pentest!