Похоже, что беспроводная сеть была взломана и будет отключена примерно на минуту

Я только что получил сообщение в моей системе Mac OS X, говорящее мне:

Похоже, что беспроводная сеть была взломана и будет отключена примерно на минуту. ^†

(Это беспроводная сеть WPA2-PSK, защищенная BTW)

Пример сообщения:

Я заглянул в журналы моего роутера (Zyxel P-2602HW-D1A) только для того, чтобы увидеть несколько (исходящих) журналов «синхронного потока TCP ATTACK», но они были примерно неделю назад, кроме этого ничего. Какие инструменты в Mac OS X мне нужны, чтобы проанализировать это нарушение безопасности? Есть ли в Mac OS X журналы безопасности, которые я могу проверить?

Какие еще измерения я должен предпринять? И насколько серьезно я должен принять это предупреждение от Mac OS X?

система : Macbook Pro Intel Core 2 Duo 2,2 ГГц
Операционные системы : Mac OS X 10.5.8
сеть : беспроводной WPA2-PSK
Соответствующее программное обеспечение : Parallels Desktop с Windows XP (была открыта, но остановлена ​​в то время)

Другие системы в моей сети:
Рабочий стол Windows XP SP3 (был запущен в то время)

Если вам нужна дополнительная информация, не стесняйтесь спрашивать.

^† Фактическое сообщение было на голландском языке, вероятно, что-то вроде следующего из /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Содержание / Ресурсы / Dutch.lproj :

Het draadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan isangetast.

Это сообщение вы получаете, когда плата / драйвер AirPort обнаруживает два сбоя MK-файла TKIP MIChael (проверка целостности сообщения) в течение 60 секунд или получает уведомление о таких сбоях от точки доступа.

Шифрование TKIP, которое было основой оригинального WPA и все еще может быть включено под WPA2 в так называемом «смешанном режиме WPA2», имело малую вероятность случайных сбоев MIC, но два сбоя в течение 60 секунд слишком маловероятны, поэтому спецификация WPA рассматривает его как атаку и требует, чтобы сеть была отключена на минуту или две, чтобы помешать атакующим.

Шифрование AES-CCMP, являющееся основой WPA2, также имеет MIC (ну, они называют его MAC - проверка подлинности сообщения - это «M» CCMP), но я не помню, с какой стороны Подумайте, что должно произойти в случае сбоя AES-CCMP MAC. Я не думаю, что это предполагает временное отключение сети.

Безусловно, наиболее вероятным сценарием является то, что вы случайно натолкнулись на какую-то ошибку, когда точка доступа или клиент испортили свою обработку MIC или когда код обработки ошибок MIC был случайно запущен.

Я видел, что беспроводные карты имеют ошибки в этой области, особенно работающие в случайном режиме. Возможно, вы захотите убедиться, что Parallels или что-то еще не переводит вашу беспроводную карту в беспорядочный режим. Бежать ifconfig en1 (если en1 - ваша карта AirPort, как это обычно бывает) и посмотрите в списке флагов интерфейса («UP, BROADCAST ...») флаг PROMISC. Некоторое программное обеспечение VM использует режим Promiscuous, чтобы включить «мостовую» или «общую» сеть, по крайней мере для проводных интерфейсов Ethernet. Поскольку многие беспроводные карты плохо справляются с беспорядочным режимом, большинство современных программ для ВМ стараются не переводить беспроводной интерфейс в беспорядочный режим.

Возможно, но маловероятно, что кто-то связался с вами, подделав кадр деавторизации 802.11 с соответствующим кодом причины, который клиент затем должным образом сообщил в стеке.

Безусловно наименее вероятный сценарий - то, что кто-то фактически начал атаку на вашу сеть.

Если проблема повторится, трассировка пакетов в режиме монитора 802.11, вероятно, является наилучшим способом записи атаки. Но я чувствую, что объяснение того, как сделать хорошую трассировку пакетов в режиме монитора 802.11 под 10.5.8, выходит за рамки этого ответа. Я упомяну это /var/log/system.log может рассказать вам больше о том, что программное обеспечение клиента / драйвера AirPort видело в то время, и вы можете немного увеличить уровень журнала с

sudo /usr/libexec/airportd -d

В Snow Leopard намного лучше ведение журнала отладки AirPort, поэтому, если вы перейдете на Snow Leopard, введите:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Обнюхивать легко на снежном барсе:

sudo /usr/libexec/airportd en1 sniff 1

(В этом примере предполагается, что ваша карта AirPort - en1, а точка доступа - на канале 1.)

Согласно этому нить сообщение приходит от AirPort водитель когда он обнаруживает проблему с Проверка целостности сообщений TKIP или связанная контрольная сумма.

Так что в основном ваша сеть скомпрометирована Инъекции TKIP или просто маршрутизатор неправильно вычисляет MIC или контрольную сумму, или пакеты были повреждены во время передачи из-за помех от других маршрутизаторов, работающих на аналогичном частотные диапазоны ,

Предлагаемый способ избежать этого - перейти на другой маршрутизатор или, если возможно, использовать только шифрование WPA2.

Увидеть: Как избежать атаки стандарта беспроводной безопасности WPA?

TKIP был создан как быстрое решение для старых точек доступа и клиентов, которые были повреждены WEP. Вместо того, чтобы использовать один и тот же ключ для шифрования каждого пакета, TKIP использует RC4 с другим ключом для каждого пакета. Эти ключи для каждого пакета нейтрализуют взломщики шифрования WEP. Кроме того, TKIP использует проверку целостности сообщений (MIC) с ключами для обнаружения пакетов, которые воспроизводятся или подделываются. Любой может отправить (то есть внедрить) пакет с шифрованием TKIP, который был захвачен и изменен, но эти пакеты отброшены, потому что MIC и контрольная сумма не соответствуют данным, переносимым пакетом. AP, использующие TKIP, обычно передают сообщение об ошибке при получении первого неверного MIC. Если второй неверный пакет прибывает в течение 60 секунд, точка доступа прекращает прослушивание еще на одну минуту, а затем «повторно вводит» WLAN, требуя, чтобы все клиенты начали использовать новый «парный главный ключ» для генерации как ключа MIC, так и шифрования для каждого пакета ключи.

Это закрыло зияющие отверстия, оставленные WEP. Все продукты, сертифицированные WPA, могут использовать TKIP и его MIC для защиты от подслушивания данных 802.11, фальсификации и повторных атак.