显示过滤器以查看 WireShark 中的 WPS 尝试

显示过滤器以查看 WireShark 中的 WPS 尝试

我尝试过“WPS”和“eap.wps.code”,但都没有用。

这是来自 InfoSec SE 的转发: https://security.stackexchange.com/questions/221228/display-filter-to-see-wps-attempts-in-wireshark

因为它被搁置在那里,因为与主题无关。为了节省编辑时间,我将在下面完整地重新发布原文。如下所述,我的网络刚刚受到攻击。

我的邻居正在积极尝试在我的路由器上输入 WPS 密码 - 我知道,因为当我永久关闭路由器时,路由器上的“WiFi/WPS”LED 亮了!我通过以太网使用路由器管理页面仔细检查了设置,确认 LED 已关闭(WPS 协商期间除外,这会覆盖关闭设置)。注意,这是 Tenda AC10 路由器。

此外,我的所有 5Ghz 设备都断开了连接,我不确定这是因为激进的 WPS 数据包还是同时发出了取消认证洪流。

我需要追踪 WPS 数据包并确定发出尝试的 MAC 地址。我尝试使用 Wireshark 中的“WPS”显示过滤器以及“eap.wps.code”过滤器,在记录数据包时没有找到任何数据包!

几天前,当我尝试在自己的设备上使用 WPS 时也发生了同样的事情,我无法使用 WiresharkI 中的“WPS”显示过滤器看到相同的帧,我放弃了这个问题,因为理论上我已经在我的 AP 上禁用了 WPS,所以认为这是一个较小的问题。

请让我知道用于检测某种洪水攻击中的 WPS 密码尝试的确切显示过滤器。

答案1

您可以尝试这些潜在的解决方案:

方法 1- 捕获用于 WPS 暴力破解的 MAC 地址:捕获到接入点的数据包:wlan.dst = (AP Mac)并在必要时排除受信任的设备:wlan.dst = (AP Mac) and not wlan.src = (Trusted Mac) and not wlan.src = (Trusted Mac)
这考虑到您在使用 WPS 过滤器时遇到的问题

方法 2- 检测 DeAuth:我无法访问此网站,但是这里这是关于检测 DeAuth 洪水的教程。如果这不起作用,这里是来自 reddit 的一个检测 DeAuth 洪水的教程。

答案2

你做了很多可能都是错误的假设。

首先,除非你有一个足够复杂的 WiFi 适配器,可以插入监控模式。您在典型笔记本电脑中发现的许多适配器都无法做到这一点,或者做得不好。或者只能在一个或另一个操作系统中工作。也许这些数据包根本不存在。

第二,根据手动的在第 2 页上,WiFi/WPS 指示灯有四种指示:常亮 = 2.4Ghz 或 5Ghz 频段已启用。快速闪烁 = 正在传输数据。慢速闪烁 = WPS 协商。熄灭 = WiFi 已禁用。有一个选项可以关闭指示灯。手册中没有任何内容表明它只会在 WPS 协商时打开。

第三,如果你禁用了 WPS,那么你就是在认真地假设 WPS 仍然可用。如果是,那很可能是因为你按下了路由器背面的 WPS 按钮,此时指示灯会闪烁两分钟。如果你说的是真的,那可能是一个固件缺陷,而不一定是黑客攻击。

第四,没有迹象表明 WPS 指示灯闪烁是因为尝试连接还是因为您按下了 WPS 按钮。如果有人尝试连接,它很可能什么也不做。指示灯更有可能帮助指示按下 WPS 按钮后您必须在两分钟内连接设备,仅此而已。

现在,您必须考虑到这是一款售价 30 美元且不支持美国市场的路由器。最有可能的情况是,您正在处理固件错误,或者路由器背面的 WPS 开关出现故障,或者路由器附近的某个东西按下了按钮。但是,由于您关闭了 WPS,因此几乎不可能有人“入侵”您的路由器。如果是,那可能是中国人或俄罗斯人。

证明我的观点。关闭 WPS 并按下 WPS 按钮。WPS 灯开始闪烁了吗?它开始闪烁 2 分钟然后停止了吗?它根本没有反应吗?还是它只是继续闪烁?它是快速闪烁还是慢速闪烁?

我敢打赌,灯不会一直亮着,只是偶尔慢闪,按下按钮后,它总是慢闪两分钟。或者,它一直慢闪,按钮什么也不做。这两种情况都表明 WPS 按钮出现故障。或者,它甚至不是慢闪,与 WPS 完全无关。

最后,路由器上有一个系统日志。如果有机会找到有关路由器正在做什么的清晰、易懂的消息,它就会在那里。

你可以采取很多真正的诊断步骤,而不是立即得出几乎肯定是错误的结论。

答案3

检查此过滤器,它将指示 WPS 何时启动:eapol.type == 1

相关内容