+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Атака?

Атака?, RouterOS

CyB3RMX

Guest

05.07.2012 23:36:00

Привет! Во-первых, я знаю, что есть несколько способов обойти эту проблему, например, добавить защиту на сеть, но мне интересно: может ли это быть каким-то видом атаки? У меня есть 21-метровая башня на трассе, на ней установлены два радиомодуля r52 на роутере 532A, всё отлично работает, но недавно на ней запущены hotspot и pppoe-сервер. Хотспот для людей, которые находятся рядом — примерно 100 метров до заправки. На каждом r52 стоит секторная антенна с углом 90 градусов, работает на 2.4 ГГц. Проблема в том, что сейчас у меня подключено около 200 клиентов, по крайней мере 200 разных MAC-адресов, при этом никто из них не пытается получить IP через хотспот — они просто подключены. Сектора настроены на радиус 4 км.

Проблема в том, что клиенты с CPE используют роутер и подключаются через pppoe, но когда в системе регистрируется много MAC-адресов, пропускная способность падает просто катастрофически. Если запускаю speedtest, максимум вижу 200 кбит/сек! Если я помещаю все неизвестные MAC-адреса в список доступа и удаляю их из аутентификации и перенаправления, пропускная способность возвращается.

Чтобы показать, насколько это серьёзно — все эти MAC-адреса я скопировал в ACL на этой неделе. Но башня стоит на четырёхполосной трассе, вокруг ничего нет, кроме деревьев и пары домов на берегу (в радиусе 2–4 км). Есть идеи, может ли это быть атака? Я почти уверен, что да, но как именно?

Вот мой список доступа со всеми «вторженцами», подключившимися к этой точке доступа: http://pastebin.com/3F0QKtf1

CyB3RMX Guest	#2 0 14.08.2012 15:01:00 Я просто не могу поверить, что никто ничего не может ответить, это как-то странно... В любом случае, спасибо ещё раз.

CyB3RMX Guest	#3 0 10.08.2012 15:32:00 Я почти уверен, что это атака. Вчера я обнаружил этот MAC в своей таблице маршрутизации, и, поверьте, этот MAC 00:00:00 принадлежит устройствам Xerox из 80-х...

CyB3RMX Guest	#4 0 10.08.2012 16:39:00 Сегодня ко мне на точку доступа снова подключился какой-то Xerox из 80-х?!

djdrastic

Guest

14.08.2012 19:31:00

Звучит, возможно, как атака на CAM-таблицу? Не уверен, можно ли такое на Mikrotik, но на Cisco-коммутаторах, с которыми я работал, мы включали Port Security, чтобы ограничить количество MAC-адресов, которые могут быть связаны с одним портом.

0ldman Guest	#6 0 14.08.2012 20:12:00 Меня это очень заинтересовало, но у меня мало советов, кроме как использовать шифрование и отключить стандартную аутентификацию. Все CPE должны быть явно разрешены в списке доступа.

CyB3RMX

Guest

15.08.2012 15:40:00

Это было одно из моих первых оборудований, там стояли карты PRISM с мощностью 200 мВт на 802.11b. Но учитывая количество клиентов в этом районе, я особо не обращал на это внимание. Сейчас же район растет, и на том же POP установили сектор на 5 ГГц с NV2 + nStreme, всё зашифровано, SSID скрыт. Сейчас я мигрирую всех клиентов на этот сектор.

Суть всего этого сообщения — понять, что это за атака, сталкивались ли вы с таким? Вот что я не могу понять: клиенты подключаются, но не все сразу, а примерно по одному MAC-адресу каждые 20 минут, и все с низким уровнем сигнала. Но их число постоянно растёт, и в какой-то момент AP уже не справляется с таким количеством подключений и начинает скидывать реальных клиентов… (это происходит быстрее из-за 802.11b). Повторюсь, я знаю, что оборудование там очень старое, но суть — в самой ситуации. Меня это беспокоит, потому что если это действительно какая-то атака, то такое можно провернуть, к примеру, на вайфай в отеле, который работает по той же схеме: открытый Wi-Fi с контроллером хотспота.

С уважением.

CyB3RMX Guest	#8 0 16.11.2012 16:12:00 По беспроводной связи?

log Guest	#9 0 16.11.2012 18:50:00 Это может быть атака, прочитай это: http://homepages.tu-darmstadt.de/~p_larbig/wlan/#mdk3

sabbirahasan Guest	#10 0 17.11.2012 19:37:00 Создай список доступа, добавь туда своего клиента и отключи стандартную аутентификацию и стандартную пересылку.

CyB3RMX Guest	#11 0 15.03.2013 16:39:00 Вот что я искал... Спасибо. Я почти уверен, что это оно. Проблема исчезла, я полностью перешёл на систему на базе 802.11n + NV2 на 5 ГГц. Так что теперь всё работает безопаснее, чем раньше.

PCNetworks Guest	#12 0 16.03.2013 02:58:00 Шифрование — вот где решение, честно говоря. У меня была примерно такая же ситуация: я заранее предупредил всех клиентов в районе, который собирался затронуть своими изменениями. Но что я решил сделать — перейти с WEP на WPA2. После уведомления клиентов я удалённо заходил на каждое их устройство под текущими настройками, менял тип шифрования и ключ в CPE и сохранял настройки. Как только всё было обновлено у всех клиентов в районе, я просто переключил на новое шифрование на AP. Вуаля, готово — и всякие засранцы уже не могли взломать соединение по воздуху. Надеюсь, это тебе поможет.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры