Pokaż wyniki 1 do 9 z 9

Temat: WPA2 złamane w kilka godzin - jak to możliwe?

  1. #1
    Zarejestrowany
    Dec 2011
    Postów
    3

    Domyślnie WPA2 złamane w kilka godzin - jak to możliwe?

    Witam,
    piszę bo pomimo starań, jestem bezradny w walce z namolnym sąsiadem.
    mam sieć którą zabezpieczyłem tak :

    WPA2-PSK: "E+t~&+v).2qa8:AC{oe|IR_8#.}HFnm_5+k*7O.=_zV|-c|5t'*Ni--_l.W.bCg"
    SSID: "MLK_Y_l]#O0wL-K;k3l#u92Z^47"
    filtracja MAC
    zmieniony adres panelu administracyjnego i hasło administratora
    firewall (odpalony i skonfigurowany na routerze)

    zawsze byłem przekonany że takie zabezpieczenie gwarantuje bezpieczeństwo mojej sieci, okazuje się jednak że chyba nie...
    ktoś się jednak włamał - podejrzewam sąsiada (mieszkam w Holandii - nie jestem pewien kto to), postawiłem sieć na nowo, i po kilku godzinach widzę w logach routera:

    3 Dec 8 19:04:33 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    4 Dec 8 19:28:47 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    5 Dec 8 19:30:47 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    6 Dec 8 19:53:52 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    7 Dec 8 19:54:58 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    8 Dec 8 19:56:58 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    9 Dec 8 19:57:59 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    10 Dec 8 20:40:27 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    11 Dec 8 21:04:18 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    12 Dec 8 21:21:07 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    13 Dec 8 21:46:04 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    14 Dec 8 21:53:09 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    15 Dec 8 22:06:38 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    16 Dec 8 22:39:27 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    17 Dec 8 22:44:29 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    18 Dec 8 22:59:45 alert SYN,FIN ATTACK:SRC=85.228.189.139 DST=212.182.165.xxx
    19 Dec 8 23:01:19 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    20 Dec 8 23:11:21 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    21 Dec 8 23:12:49 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    22 Dec 8 23:15:14 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    23 Dec 9 00:08:46 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    24 Dec 9 00:47:08 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    25 Dec 9 00:48:27 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx
    26 Dec 9 00:49:27 alert LAN ATTACK:SRC=192.168.1.3 DST=212.182.165.xxx

    lan atack - czyli czyli ktoś znów wbił się do sieci - w ciągu kilku godzin - jak to możliwe jaką techniką czy to może ja coś przeoczyłem

    mam włączony serwer DHCP który przydziela adresy tylko dla dwóch komputerów, koleś jak się podłącza to wpisuje sobie ręcznie adres 192.168.1.3, a co by się stało jakbym w menu:

    LAN IP Setup
    IP Address :192.168.1.54 - adres panelu administracyjnego
    Subnet Mask : 255.255.255.0
    IP Addressing Values
    IP Pool Starting Address :192.168.1.33
    Pool Size : 2

    zamienił 192.168.1.54 na 192.168.199.54 i
    192.168.1.33 na 192.168.199.33? koleś by musiał się trochę naszukać poprawnego adresu ip nie? czy maska podsieci by się nie zmieniła?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Upewnij sie lepiej ze ktos nie wrzucil Ci keyloggera i nie monitoruje jak zmieniasz haslo... Podepnij jakiegos innego kompa kabelkiem do sieci, skonfiguruj nowe haslo, zmien maske sieci na mniejsza (po co dawac maske 255.255.255.0 skoro masz tylko dwa kompy?

    Maska 255.255.255.252 daje Ci adres sieci (np x.x.x.0), dwa adresy na hosty (router i Twoj komputer) oraz adres broadcast. Jak sie uprzec, mozna sprawdzic czy zadziala z maska 255.255.255.254... ma szanse zadzialac ale .252 jest pewne.

    Zmien ESSID

    Wylacz DHCP - po co w ogole je miec skoro masz 1 maszyne tylko?

    Jesli Twoje urzadzenie zezwala na takie manewry, to popatz na 802.1x i skonfiguruj EAP-TLS jesli juz musisz miec pewnosc ze nikt inny sie nie wepnie...

    ... albo zwyczajnie pociagnij kabel albo kup adaptery HomePlug (lub podobne) - ethernet po linii energetycznej - w domu dziala fajnie i mozna przy swietnych kablach do 200mbit wyciagnac (mi sie jeszcze nie udalo tak do konca tyle uzyskac ale o niebo szybciej niz wifi)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Dec 2011
    Postów
    3

    Domyślnie

    dzięki za odpowiedź!
    niestety mój router nie pozwala na EAP-TLS,
    przez weekend spróbuje zastosować się do porad zobaczymy co będzie...
    (ESSID) także zmieniałem przy okazji ponownego stawiania routera)
    dziś przeskanuje swojego laptopa

    p.s. dziś użyłem mdk3 Deathentication / Disassociation Amok Mode
    myślę że to powinno ostudzić jego zapał

  4. #4
    Zarejestrowany
    Dec 2011
    Postów
    3

    Domyślnie

    przeskanowałem system, nic nie znalazłem...
    ale ostatnio w ogóle jakieś dziwne rzeczy się dzieją... (patrz obrazek) jak to jest możliwe że byłem podłączony w tym samym czasie do dwóch różnych sieci
    i jeszcze takie pytanko - dlaczego koleś (192.168.1.3) atakuje mój adres publiczny (212.182.165.xxx) zamiast adresy komputerów w sieci lokalnej?
    Załączone Obrazki Załączone Obrazki

  5. #5
    Zarejestrowany
    Aug 2009
    Postów
    236

    Domyślnie

    być moze masz tunelowanie u siebie na kompie włączone, jakis wirtualny interfejs czy cos takiego
    jakis robak czy cos, nie wiem nie jestem pewien ale moze dodał Cię do swojej sieci p2p, vpn czy cuś takiego i dlatego wyswietla Ci dodatkową sieć
    co o tym sądzisz tqm? prawdopodobne?
    pisząc dodał Cię do sieci p2p mam na mysli tego robaka oczywiscie

    ja to rozumiem tak ze na wlasnym komputerze masz utworzony drogi interfejs sieciowy, ktory wykorzystuje Twoj komp do laczenia sie i byc moze ten robak atakuje brame
    tak jak jest w vmware jak odpalasz jakis system na nim to vmware tworzy wlasny interfejs sieciowy
    swoją drogą ktos ładnie rozkminił (jesli to robak) algorytm
    Ostatnio edytowane przez matmat0123456789 : 12-12-2011 - 16:26

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Takie cos jest calkiem normalne w win7 - u mnie jest identycznie a wyjasnienei jest dosc banalne:



    Jesli masz jakikolwiek VPN, modem na USB, 3G przez komorke, vmware, virtualbox albo jakis symulator sieci - cokolwiek wiecej... to windows pokaze to jako dodatkowa siec tak jak u mnie
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Aug 2009
    Postów
    236

    Domyślnie

    tak ale Ty masz 7 a z tego co widze koper99 ma viste, tak jak ja zreszta i vista nie pokazuje adapterow, chyba ze sprawdzasz w konsoli, nazywa tylko sieci.
    ja mam 2 adaptery od vmware ktore widze w konsoli a z poziomu aplikacji uzytkownika widze siec 7 i siec niezidentyfikowana

    a nie sorki, tqm masz racje, rzeczywiscie pokazuje wszystko tylko w cetrum sieci i udostepniania
    Ostatnio edytowane przez TQM : 12-12-2011 - 17:29

  8. #8
    Zarejestrowany
    Dec 2009
    Postów
    10

    Domyślnie ;0

    Reset routera ;zmień hasło do routera; wyłącz WPS i to chyba na tyle
    Ostatnio edytowane przez HeXoReK : 10-18-2013 - 04:41
    Zapraszam na darmowy server głosowy: MaximumTeam TS3
    GG: 8566788

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Gratuluje odkopania nieboszczyka sprzed 2 lat i zamykam.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj