Question:
Des suspects inconnus détournant notre WiFi. Pris leurs adresses MAC
Top Banana
2017-01-11 16:03:21 UTC
view on stackexchange narkive permalink

J'ai remarqué que notre Internet était embourbé. J'ai vérifié les adresses IP de tous les appareils connectés et trouvé les adresses MAC des coupables:

blacklas hijacking our wifi

Question: Comment trouver leur emplacement géographique basé sur les adresses MAC?

Je sais qu'ils sont dans le quartier de Columbia, Md. 21045. L'un d'eux est un iPhone et un autre est un téléphone Android qui devrait permettre la triangulation GPS, mais cette option est disponible uniquement pour le transporteur et les forces de l'ordre.

Vous avez votre WiFi sécurisé avec WPA2, n'est-ce pas?
Vous allez avoir du mal à résoudre un mac à une personne identifiable.Configurez une liste blanche MAC sur votre routeur et empêchez tout périphérique inconnu de s'y connecter en premier lieu.
Quel WiFi utilisez-vous?Votre zone de couverture ne sera certainement pas énorme ... Ils ne peuvent pas dépasser un maximum de 150 pieds (46 m) à l'intérieur et 300 pieds (92 m) à l'extérieur.Il est donc très probable que ce soit quelqu'un autour de votre maison ou un voisin. Si vous ne voulez absolument pas permettre à des personnes inconnues de se connecter, effectuez un filtrage Mac.Dans ce cas, même s'ils obtiennent le mot de passe wifi, le routeur doit refuser la connexion.
J'en profiterais très certainement pour surveiller le trafic.Obtenez WireShark, cela ne vous dira pas seulement ce qu'ils font (si ce n'est l'utilisation d'Internet `` habituelle ''), mais peut également fournir des indices sur l'identité.
Le clonage de mac @iain, est la chose la plus simple au monde.Mettre en place un filtrage mac n'est pas du tout une solution.Vous devez sécuriser votre wifi: (désactiver wps, configurer wpa2 avec un mot de passe très long et fort en utilisant des caractères, des chiffres et des symboles).Vous pouvez également réduire la puissance afin d'essayer de devenir plus difficile pour eux de l'utiliser afin qu'ils vont «déranger les autres»
Le clonage de mac @OscarAkaElvis sur un iPhone et un appareil Android n'est pas si facile, et la liste blanche peut être l'une des couches de défense.Oui, cela peut être surmonté, mais c'est une mesure peu coûteuse à prendre (tant que vous en prenez d'autres aussi)
Je fais du clonage Mac avec mes appareils Android et iPhone ... donc si je peux, tout le monde peut le faire.Je sais que vous suggérez seulement ... ok.Mais je ne suis qu'un conseil qui n'a pas pu résoudre le problème, c'est tout :)
Alertez vos utilisateurs légitimes, éteignez le routeur et regardez par la fenêtre la personne utilisant un smartphone qui se plaint soudainement à haute voix
- oui, le MAC peut être cloné assez facilement, mais l'attaquant devrait compromettre le routeur et découvrir la liste blanche MAC pour cloner une adresse appropriée, cela demande plus de compétence que de sauter sur un réseau wifi mal sécurisé.Défense en profondeur comme le dit @schroder.
@iain ou ils peuvent simplement renifler jusqu'à ce qu'un appareil légitime se connecte ... Les adresses MAC des clients ne sont pas cryptées.
@iain: Vous avez raison de dire que la liste blanche MAC est relativement facile à vaincre et qu'elle n'est pas susceptible de déjouer les pirates dédiés.Mais comme OP a dit que c'était dans un quartier et que les sangsues ne sont probablement que des voisins aléatoires qui cherchent à utiliser le wifi gratuit, je dirais que c'est EXACTEMENT le genre de scénario où la liste blanche MAC est susceptible d'être efficace.Bien sûr, OP devrait resserrer son WPA2 et garantir des mots de passe forts, mais MAC a ajouté une excellente mesure «Meh, pourquoi pas» dans ce cas.
@iain Serrer leur WPA2?L'OP a-t-il déjà dit avoir activé un type de cryptage?L'exécution d'un réseau sans fil non sécurisé pose des problèmes, et la liste blanche MAC est un niveau de protection absurdement bas.OP devrait activer WPA et en finir avec lui.
@xmp125a: Je suppose que vous vouliez @ moi au lieu de iain (ce qui est drôle, car j'ai fait exactement la même erreur dans mon commentaire ci-dessus - répondre à la mauvaise personne).Je venais de supposer qu'ils avaient WPA2 activé parce que bon seigneur, qui ne l'a pas activé?!ಠ_ಠ Mais oui, tu as raison, OP n'en parle pas du tout.Doh.
"Comment trouver leur localisation géographique en fonction des adresses MAC?"- vous ne pouvez pas, les adresses MAC n'ont rien à voir avec la localisation géographique.
Pourquoi?Que feriez-vous si vous les trouviez?Si vous devez exécuter un réseau WiFI sans WPA2 ou ne jamais changer votre mot de passe, configurez chillispot ou similaire.
Même tenter de géolocaliser quelqu'un est un conduit douteux sur le plan juridique.Vous devez faire ce qu'il faut et sécuriser votre réseau et bannir toutes les idées de justice justicière ici.
Cela devrait répondre à la partie adresse MAC de votre question http://security.stackexchange.com/questions/89950/determine-the-location-of-a-laptop-based-on-its-mac-address Et puisque vous pouvez 't trouver un appareil par son adresse MAC, vous ne pouvez pas le faire vous envoyer sa position GPS (ou quoi que ce soit d'autre), même si vous (légalement ou techniquement) pourriez autrement.Voter pour fermer en double.De plus, je trouve consternant que vous publiiez les adresses et les noms d'hôte sans biffer - que cherchez-vous, une chasse aux sorcières?Une honte publique si quelqu'un voit le MAC quelque part?Ce n'est pas une preuve concluante.
J'habitais là-bas (près de Tamar Dr, Columbia) et j'ai eu le même problème.J'ai pu surveiller quand ils se sont connectés en vérifiant les journaux sur mon routeur et j'ai installé une caméra de sécurité face à l'entrée de mon complexe d'appartements.C'était un groupe de 5 étudiants comp-sec qui vivaient au-dessus de moi.La vidéo correspondait aux journaux lorsqu'ils arrivaient à portée.Je ne suis jamais allé plus loin que parce que j'étais satisfait de ma «preuve» et les ai mis en pot de miel. Ce que j'ai fait, c'est: 1. Ne pas diffuser le SSID de mon routeur, 2. Utiliser le pot de miel WPA2 3. pour surveiller, dévier et contrer leurs tentatives.
Si vous avez une connexion WiFi ouverte, de nombreux appareils se connecteront automatiquement.Activez les règles de bande passante QoS ou activez WPA-2.Tenter de les `` trouver '' peut être intellectuellement intéressant, mais vous ne pouvez pas crier au scandale à propos du dépassement lorsque vous n'avez même jamais mis de signe.
Huit réponses:
ThoriumBR
2017-01-11 17:33:22 UTC
view on stackexchange narkive permalink

Les trouver physiquement n'est pas facile. Si vous êtes vraiment prêt à les attraper, achetez quelques modules ESP8266 (recherchez-les sur eBay), recherchez un peu ce projet, déposez quelques modules et vous pourrez probablement les trouver. Mais cela vous coûtera beaucoup de temps, d'efforts et d'argent.

Même si vous ne pouvez pas les localiser physiquement, vous pouvez jouer quelques tours avec eux:

  1. Installer un portail captif, affirmant que le réseau est une expérience de piratage automatisé et ne demande à l'utilisateur de continuer que s'il est d'accord. Demandez un e-mail ou une authentification Facebook, ou demandez un numéro de téléphone pour envoyer un code PIN pour vous connecter.

  2. Installez quelque chose comme Upside Down Ternet, Backdoor Factory ou AutoPwn.

  3. Mettez la QoS en place sur votre routeur et une bande passante de 1 kbps pour toute personne en dehors d'une liste.

  4. Installez Responder avec mitmproxy, obtenez toutes les données d'authentification que vous pouvez.

Mon réseau est assez sécurisé, mais parfois je pense à installer un wifi WEP réseau juste pour jouer avec des voleurs Internet.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/51683/discussion-on-answer-by-thoriumbr-unknown-suspects-hijacking-our-wifi-caught-th).
J'aime l'idée du gars qui redirige tout vers un site d'images de chat, pour les utilisateurs non autorisés.
Je suggérerais fortement d'opter pour le n ° 3. Il n'y a rien d'illégal à ce sujet, et ces "méchants" ne savent peut-être pas vraiment le faire.J'avais un voisin, que j'ai "cueilli" seulement pour découvrir qu'ils ne savaient pas qu'ils se promenaient sur mon réseau.Le n ° 3 donne aux honnêtes gens la possibilité de remarquer l'erreur et aux personnes non honnêtes l'incitation à chercher ailleurs.(REMARQUE: cela s'est produit lorsque WEP n'était pas une chose courante et que les gens laissaient simplement leur trafic circuler sans chiffrement tout en utilisant un VPN pour tunneler des données sensibles)
C'est incroyablement exagéré pour un utilisateur domestique moyen et ne sert franchement qu'à confondre les gens qui croient avoir un problème.Souhaitez-vous demander à votre mère de faire les choses que vous avez énumérées ci-dessus?
Veuillez noter que les attaques réelles sont illégales dans de nombreux endroits.Et Upside-Down Ternet et autres peuvent ne plus être aussi utiles maintenant que TLS est si commun.
Teun Vink
2017-01-11 16:28:25 UTC
view on stackexchange narkive permalink

La question est donc de savoir comment trouver leur adresse physique en fonction de l'adresse mac?

Vous ne pouvez pas, les adresses IP et les adresses MAC ne contiennent aucune information de localisation .

Votre point d'accès peut être en mesure de donner des informations sur la force du signal, qui pourraient être utilisées comme une indication de la distance entre le point d'accès et l'appareil. Mais toutes les marques ne sont pas en mesure de le faire et de nombreux autres facteurs peuvent affecter la force du signal.

Votre meilleure option est de vous assurer que votre réseau sans fil est sécurisé: utilisez WPA2, modifiez votre mot de passe et envisagez éventuellement le filtrage MAC.

Je ne pense pas que vous puissiez mettre les adresses IP et MAC dans le même sac.Aucun des deux ne transporte d'informations de localisation en soi.Mais alors que ces derniers n'ont absolument aucun rapport avec l'emplacement, les premiers n'en ont pas en théorie, mais ils le font en pratique.
Il montre un espace IP privé (RFC1918) dans sa capture d'écran.Comment cela contient-il des informations de localisation?S'il s'agissait d'adresses IP publiques, vous pourriez utiliser des bases de données whois et des ressources GeoIP publiques, mais ce n'est pas le cas ici.
Oh, si vous parliez des adresses NAT, alors bien sûr.Je ne regardais pas votre phrase dans ce contexte.
SnakeDoc
2017-01-12 06:01:47 UTC
view on stackexchange narkive permalink

  1. Changez votre mot de passe WiFi - assurez-vous qu'il est fort.

  2. Assurez-vous que vous utilisez WPA / WPA2

  3. Vérifiez vos appareils "branchés". Ils apparaissent également dans la liste MAC, et ce n'est pas parce que quelque chose dit "Android" que c'est un téléphone.

  4. Assurez-vous que le mot de passe administrateur de votre routeur n'est pas la valeur par défaut.

Ce n'est pas parce qu'ils figurent sur cette liste que l'appareil est toujours connecté. Cela aurait pu être votre ami qui est venu plus tôt et son téléphone connecté au WiFi, et vous ne voyez que l'entrée dont le routeur se souvient (afin de pouvoir réattribuer la même adresse IP si cet appareil revient sous peu).

Personne ne pirate votre WiFi. C'est une histoire sexy, mais cela n'arrive tout simplement pas vraiment dans le monde réel aux gens ordinaires. Vous n'êtes pas une cible assez importante et ne valez certainement pas tous les efforts pour casser WPA / WPA2. Suivez les étapes 1 à 4 ci-dessus, et tout ira bien.

xmp125a
2017-01-11 20:58:21 UTC
view on stackexchange narkive permalink

  1. Les adresses MAC sont liées aux fabricants d'équipements. L'adresse MAC peut donc vous indiquer le fournisseur qui a produit l'appareil qui accède à votre réseau, et pas un peu plus e . Vous pouvez utiliser cette page pour une recherche, il y en a probablement beaucoup plus là-bas:

    http://aruljohn.com/mac.pl

  2. S'appuyer uniquement sur la liste blanche des adresses MAC est une très mauvaise pratique du point de vue de la sécurité, car les adresses MAC des ordinateurs personnels (y compris les ordinateurs portables) peuvent être facilement modifiées (ce qui limite l'utilité du MAC recherche quand même). Vous pouvez parier que l'utilisateur malveillant changera son MAC en l'un des adresses de la liste blanche (peut être obtenu en reniflant le trafic), à moins qu'il ne soit absolument ignorant.

    Veuillez utiliser un cryptage approprié sur votre réseau (WPA) .

Les fabricants d'équipements se voient attribuer des plages d'adresses MAC qu'ils sont censés utiliser, mais ne font souvent aucun effort pour empêcher leurs appareils d'être programmés pour signaler d'autres adresses MAC.En effet, sur de nombreux appareils, il existe une option de configuration qui peut être utilisée pour définir toute adresse MAC que l'opérateur juge appropriée.
"L'adresse MAC peut donc vous indiquer le fournisseur qui a produit le périphérique qui accède à votre réseau" En fait un peu moins, car elles peuvent être [usurpées] (https://en.wikipedia.org/wiki/MAC_spoofing).
Les adresses MAC peuvent être falsifiées.Pour les hackers, ils ne sont pas simplement "un autre vecteur d'authentification", ils commencent plutôt par votre addy MAC.Ils ne se soucient pas de ce qu'ils sont.Peu importe si vous filtrez.Vous arrêtez uniquement les personnes moyennes avec des filtres MAC.Si un collègue venait vers moi et me demandait comment utiliser les adresses MAC pour sécuriser son réseau wifi, je dirais que c'est probablement une très, très mauvaise idée de "sécuriser" votre réseau avec des filtres MAC.Je pourrais même pantomimer les citations avec les doigts quand je dis "sécurisé".Peut-être que changer «extrêmement mauvais» en «extrêmement inefficace» serait plus défendable, cependant.
@jpmc26 Je suis d'accord, et je l'ai divulgué dans ma réponse.Cependant, si vous exploitez un réseau sans aucune sécurité, la plupart des gens ne prendront pas la peine de spoofer MAC sur des appareils où cela ne peut pas être fait facilement (téléphones, tablettes?) Et vous pourrez potentiellement les trouver en identifiant le fournisseur.Seulement dans ce cas.Et oui, dès que vous commencez à ajouter des MAC et que les intrus s'adaptent, cette avenue est terminée.
Shaun Wilson
2017-01-12 10:41:24 UTC
view on stackexchange narkive permalink

Si vous voulez trouver la source, vous devez trianguler le signal wifi avec un point d'accès, soit le routeur lui-même, soit quelque chose de petit comme un raspberry pi ou un ordinateur portable configuré pour ressembler à votre routeur (éteignez le routeur, mappez le zone.)

Le processus est similaire au 'warchalking', vous pouvez vous attendre à être à pied et à vérifier la force du signal sans fil.

Vous pouvez également configurer plusieurs points d'accès autour de la zone, puis voyez à quel (s) hotspot (s) le client se connecte. Cela pourrait vous permettre de mapper leurs mouvements si «ils» sont configurés pour se connecter automatiquement. Encore une fois, vous pouvez également utiliser des pis à la framboise à piles à faible coût. Les hotspots peuvent être placés n'importe où, en théorie, y compris les intersections et les chemins menant dans / hors de votre quartier / complexe. Associez-le à certaines caméras et vous saurez qui utilisait votre wifi.

La reconfiguration de votre réseau nécessite moins de travail (les MAC peuvent être usurpés, donc vous voulez vraiment un meilleur protocole d'authentification et changer régulièrement les secrets / mots de passe / clés).

Vous pouvez également utiliser des antennes directionnelles sur un routeur pour cibler une direction spécifique.Si l'appareil disparaît du tableau, c'est maintenant dans une autre direction.Plus le faisceau est étroit, plus il peut être précis de pointer.En utilisant une cantène, vous pouvez probablement l'utiliser pour la pointer.
Stefan Karlsson
2017-01-12 16:41:46 UTC
view on stackexchange narkive permalink

Une adresse MAC a peut-être été conçue autrefois comme un identifiant unique pour un matériel, mais en réalité c'est juste un paramètre de pilote configurable.

Si vos coupables ont le savoir-faire pour contourner même les mesures de sécurité les plus simples du monde réel, vous pouvez être à peu près sûr qu'ils savent comment changer leur adresse MAC.

Il existe un excellent utilitaire appelé macchanger pour Linux, qui est vraiment facile à utiliser. Pour Windows, votre pilote wifi a cette fonction (à moins que le vendeur n'en ait délibérément supprimé).

C'est un problème de sécurité que les gens pensent qu'une adresse MAC est quelque chose d'immuable. Considérez que l'adresse MAC est envoyée non cryptée avec chaque paquet, de sorte que n'importe qui peut se masquer comme n'importe qui d'autre, en ce qui concerne l'adresse MAC. Trouver une adresse MAC ne vous donne presque rien pour les identifier. Pensez-y uniquement comme un paramètre utilisé pour faire fonctionner la communication de bas niveau, rien de plus.

John U
2017-01-12 18:08:47 UTC
view on stackexchange narkive permalink

En suivant les suggestions extrêmement néfastes de ThoriumBR, vous pourriez éventuellement (si les auteurs ne sont pas intelligents) créer une page de piège qui demande l'emplacement de l'appareil - de toute évidence, la plupart des ordinateurs ne l'auront pas, et les types soucieux de la sécurité l'éteindront, mais la plupart des mobiles par défaut, les services de localisation sont activés, ce qui vous permet d'acquérir une coordonnée GPS ou une localisation (moins précise) en fonction des SSID des points d'accès à proximité.

La triangulation des périphériques wifi par la force du signal, etc. mais ce n'est pas le cas, il y a eu tellement de tentatives et personne ne l'a encore réussi à un niveau convaincant. Ce à quoi les forces de l'ordre ont accès, c'est la triangulation basée sur les emplacements des tours de téléphonie cellulaire qui peuvent "voir" le téléphone, cela nécessite évidemment un accès au réseau backend du transporteur et vous ne l'obtenez pas.

Localisation GPS que vous pouvez obtenir via une simple page Web servie à partir de votre réseau avec du javascript.

En général cependant - sécurisez votre routeur , créez un MAC liste blanche, peut-être passer à un routeur meilleur / plus intelligent avec une sécurité plus forte, etc. et / ou OpenWRT si le vôtre présente une faiblesse connue ou est un appareil bon marché de qualité grand public.

Joseph Poirier
2017-01-13 01:30:22 UTC
view on stackexchange narkive permalink

Capturez HostTrace .. si vous avez HostTrace et MAC, il devrait être facile pour une équipe de déterminer l'emplacement. Pour info: certains équipements permettent l'usurpation d'adresse MAC, donc je capture toujours aussi le nom du PC.

Méthode serveur old school .. Request.ServerVariables [""]. Les commandes NET nécessitent [control.] 

  control.Request.ServerVariables ["HTTP_X_FORWARDED_FOR"] control.Request.ServerVariables ["REMOTE_ADDR"] control.Request.UserHostAddresscontrol.Request.ServerVariables ["REMOTE_HOST"] control.Request.UserBercontrows.Request.UserBontrowsControl .Request.Browser.Platformcontrol.Request.UserAgent; // trace // utilisez ceci pour tracer toutes les adresses IP renvoyées sur l'utilisateur lorsqu'il est connecté.string [] pop = System.Net.Dns.GetHostEntry (control.Request.UserHostAddress). HostName.Split (nouveau Char [] {'.'});
OP veut savoir comment localiser géographiquement une personne à partir d'une adresse MAC.Comment votre message répond-il à cela?Je ne vois pas comment ça marche.
si vous utilisez la méthode de trace, vous pouvez tracer le routeur au routeur au PC.Cela suffit généralement.Souvent, les points de présence (POP) en cours de route ont des noms similaires à ceux des aéroports, comme OHTOL pour Toledo, Ohio.
ps.Techniquement, ce n'est pas la même question que celle de 2015. Cependant, s'il y avait une réponse valable sur l'autre question, je pourrais voir l'indiquer.Mais dans l'état actuel des choses, les réponses de l'autre question n'ont vraiment aucun rapport avec celle-ci.En fait, sans une seule réponse de valeur, l'équipe du forum devrait probablement simplement supprimer l'autre question si elle est résolue.
Je suis revenu pour revoir ma réponse ici, j'en avais besoin pour un autre plugin de site Web sur lequel je travaille.LOL.Je suis complètement choqué que quelqu'un ait marqué cette question comme un double d'un type de question complètement différent.Cette question est du point de vue du serveur. L'autre question nécessiterait un renifleur global ou une balise de géolocalisation pour résoudre le problème.Il s'agit d'un PC volé.Un administrateur devrait vraiment examiner les différences entre ces deux questions.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...