เครือข่ายไร้สายดูเหมือนจะถูกบุกรุกและจะถูกปิดการใช้งานประมาณหนึ่งนาที

ฉันเพิ่งได้รับข้อความบนระบบ Mac OS X ของฉันบอกฉัน:

เครือข่ายไร้สายดูเหมือนจะถูกบุกรุกและจะถูกปิดการใช้งานประมาณหนึ่งนาที ^†

(เป็นเครือข่ายที่ปลอดภัยไร้สาย WPA2-PSK BTW)

ข้อความตัวอย่าง:

ฉันดูในบันทึกของเราเตอร์ของฉัน (Zyxel P-2602HW-D1A) เพื่อดูบันทึก "syn flood TCP ATTACK" เพียงไม่กี่ (ขาออก) แต่สิ่งเหล่านั้นมาจากเมื่อสัปดาห์ที่แล้ว ฉันต้องใช้เครื่องมือใดใน Mac OS X เพื่อวิเคราะห์การละเมิดความปลอดภัยนี้ มีบันทึกความปลอดภัยบน Mac OS X ที่ฉันสามารถตรวจสอบได้หรือไม่

ฉันควรทำอะไรในการวัดอื่น ๆ ? และฉันควรใช้คำเตือนนี้จาก Mac OS X อย่างจริงจังเพียงใด

ระบบ : Macbook Pro Intel Core 2 Duo 2.2 Ghz
ระบบปฏิบัติการ : Mac OS X 10.5.8
เครือข่าย :
ซอฟต์แวร์ WPA2-PSK ไร้สายที่เกี่ยวข้อง : Parallels Desktop พร้อม Windows XP (เปิด แต่หยุดในเวลา)

ระบบอื่น ๆ ในเครือข่ายของฉัน:
เดสก์ท็อป Windows XP SP3 (ทำงานในเวลานั้น)

หากคุณต้องการข้อมูลเพิ่มเติมอย่าลังเลที่จะถาม

^†ข้อความที่เกิดขึ้นจริงในภาษาดัตช์อาจจะเป็นสิ่งที่ต้องการต่อไปนี้จาก/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / สารบัญ / ทรัพยากรธรรมชาติ / Dutch.lproj :

Het draadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan เป็นออร์แกสต์

นั่นคือข้อความที่คุณได้รับเมื่อการ์ด / ไดรเวอร์ AirPort ตรวจพบความล้มเหลว MICIP "MIChael" MIC (การตรวจสอบความสมบูรณ์ของข้อความ) สองรายการภายใน 60 วินาทีหรือแจ้งให้ AP ทราบ

การเข้ารหัส TKIP ซึ่งเป็นพื้นฐานของ WPA ดั้งเดิมและอาจยังเปิดใช้งานภายใต้ WPA2 ในสิ่งที่เรียกว่า "โหมดผสม WPA2" มีความเป็นไปได้เล็กน้อยที่จะเกิดความล้มเหลวของ MIC แบบสุ่ม แต่ความล้มเหลวสองครั้งภายใน 60 วินาทีนั้น ข้อมูลจำเพาะของ WPA จะถือว่าเป็นการโจมตีและต้องการให้เครือข่ายลงไปหนึ่งหรือสองนาทีเพื่อป้องกันผู้โจมตี

การเข้ารหัส AES-CCMP ที่เป็นพื้นฐานของ WPA2 นั้นมี MIC ด้วย (พวกเขาเรียกมันว่า MAC - การตรวจสอบความถูกต้องของข้อความ - เป็น 'M' ของ CCMP) แต่ฉันจำไม่ได้ว่าอยู่ด้านบนสุดของฉัน มุ่งหน้าสิ่งที่ควรเกิดขึ้นหากมีความล้มเหลวของ AES-CCMP MAC ฉันไม่คิดว่ามันเกี่ยวข้องกับการดาวน์เครือข่ายชั่วคราวแม้ว่า

ในสถานการณ์ที่เป็นไปได้มากที่สุดคือคุณเพิ่งเกิดข้อผิดพลาดบางอย่างที่ AP หรือไคลเอนต์ทำให้เกิดปัญหาในการจัดการ MIC หรือรหัสที่จัดการกับความล้มเหลวของ MIC เกิดขึ้นโดยบังเอิญ

ฉันเคยเห็นการ์ดไร้สายมีข้อบกพร่องในพื้นที่นี้โดยเฉพาะอย่างยิ่งทำงานในโหมด promiscuous คุณอาจต้องการให้แน่ใจว่า Parallels หรืออย่างอื่นไม่ได้ทำให้การ์ดไร้สายของคุณเข้าสู่โหมดที่หลากหลาย เรียกใช้ifconfig en1(ถ้า en1 เป็นการ์ด AirPort ของคุณตามปกติ) และค้นหาในรายการการตั้งค่าสถานะอินเทอร์เฟซ ("UP, BROADCAST ... ") สำหรับการตั้งค่าสถานะ PROMISC ซอฟต์แวร์ VM บางตัวใช้โหมด Promiscuous เพื่อเปิดใช้งานเครือข่าย "bridged" หรือ "shared" อย่างน้อยสำหรับอินเตอร์เฟส Ethernet แบบมีสาย เนื่องจากการ์ดไร้สายจำนวนมากไม่รองรับโหมด promiscuous ได้ดีซอฟต์แวร์ VM ที่ทันสมัยส่วนใหญ่จึงระวังอย่าให้อินเตอร์เฟซไร้สายเข้าสู่โหมดที่หลากหลาย

เป็นไปได้ แต่ไม่น่าเป็นไปได้ว่ามีใครบางคนมายุ่งกับคุณโดยปลอมเฟรม 802.11 ยกเลิกการตรวจสอบด้วยรหัสเหตุผลที่เกี่ยวข้องซึ่งลูกค้าทำหน้าที่รายงานกองซ้อนตามหน้าที่

ในกรณีที่เป็นไปได้น้อยที่สุดก็คือมีใครบางคนกำลังโจมตีเครือข่ายของคุณ

หากปัญหาเกิดขึ้นอีกครั้งการติดตามแพ็กเก็ตโหมดจอภาพ 802.11 น่าจะเป็นวิธีที่ดีที่สุดในการบันทึกการโจมตี แต่ฉันรู้สึกว่าการอธิบายวิธีการติดตามแพ็คเก็ตโหมดจอภาพ 802.11 ที่ดีภายใต้ 10.5.8 นั้นเกินขอบเขตของคำตอบนี้ ฉันจะพูดถึงสิ่งที่/var/log/system.logอาจบอกคุณเพิ่มเติมเกี่ยวกับสิ่งที่ลูกค้า AirPort / ซอฟต์แวร์ไดรเวอร์เห็นในเวลานั้นและคุณสามารถเพิ่มระดับการบันทึกเล็กน้อยด้วย

sudo /usr/libexec/airportd -d

Snow Leopard มีการบันทึกการดีบัก AirPort ที่ดีกว่ามากดังนั้นหากคุณอัพเกรดเป็น Snow Leopard คำสั่งคือ:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

การดมกลิ่นเป็นเรื่องง่ายบน Snow Leopard:

sudo /usr/libexec/airportd en1 sniff 1

(ตัวอย่างนั้นถือว่าการ์ด AirPort ของคุณคือ en1 และ AP ของคุณอยู่ในช่องที่ 1)

ตามเธรดนี้ข้อความมาจากไดรเวอร์ AirPortเมื่อตรวจพบปัญหาเกี่ยวกับการตรวจสอบความสมบูรณ์ของข้อความ TKIPหรือการตรวจสอบที่เกี่ยวข้อง

ดังนั้นโดยทั่วไปเครือข่ายของคุณอาจถูกโจมตีจาก การโจมตีด้วยการฉีด TKIPหรือเพียงแค่เราเตอร์คำนวณ MIC หรือ checksum ไม่ถูกต้องหรือแพ็กเก็ตเกิดความเสียหายระหว่างการส่งเนื่องจากสัญญาณรบกวนจากเราเตอร์อื่นที่ทำงานในช่วงความถี่เดียวกัน

วิธีที่แนะนำในการหลีกเลี่ยงสิ่งนี้คือเปลี่ยนเป็นเราเตอร์อื่นหรือถ้าเป็นไปได้ให้ใช้การเข้ารหัส WPA2 เท่านั้น

ดู: วิธีหลีกเลี่ยงการโจมตีมาตรฐานความปลอดภัยไร้สาย WPA ได้อย่างไร

TKIP ถูกสร้างขึ้นเป็นการแก้ไขด่วนสำหรับ AP และไคลเอนต์รุ่นเก่าที่พิการโดย WEP แทนที่จะใช้คีย์เดียวกันเพื่อเข้ารหัสทุกแพ็กเก็ต TKIP ใช้ RC4 ด้วยคีย์ที่แตกต่างกันสำหรับแต่ละแพ็คเก็ต คีย์ต่อแพ็คเก็ตเหล่านี้ทำให้แครกเกอร์เข้ารหัส WEP เป็นกลาง นอกจากนี้ TKIP ยังใช้การตรวจสอบความสมบูรณ์ของข้อความที่สำคัญ (MIC) เพื่อตรวจจับแพ็คเก็ตที่เล่นซ้ำหรือปลอมแปลง ทุกคนสามารถส่ง (นั่นคือฉีด) แพ็คเก็ตเข้ารหัส TKIP ที่ถูกจับและแก้ไข แต่แพ็คเก็ตเหล่านั้นจะลดลงเพราะ MIC และการตรวจสอบไม่ตรงกับข้อมูลที่ดำเนินการโดยแพ็คเก็ต AP ที่ใช้ TKIP มักจะส่งรายงานข้อผิดพลาดเมื่อได้รับ MIC ตัวแรกหากแพ็คเก็ตที่ไม่ดีครั้งที่สองมาถึงภายใน 60 วินาที AP จะหยุดฟังอีกหนึ่งนาทีจากนั้น "rekeys" WLAN ซึ่งกำหนดให้ไคลเอนต์ทั้งหมดเริ่มใช้ "คู่คีย์หลัก" ใหม่เพื่อสร้างทั้งคีย์ MIC และการเข้ารหัสต่อแพ็คเก็ต กุญแจ

นี่เป็นการเสียบรูที่อ้าปากค้างโดย WEP ผลิตภัณฑ์ที่ได้รับการรับรอง WPA ทั้งหมดสามารถใช้ TKIP และ MIC ของตนเพื่อต่อต้านการดักฟังข้อมูล 802.11 การปลอมแปลงและการโจมตีซ้ำ