Comment détecter si quelqu'un vole ma bande passante large bande?

J'ai trois idées pour vous. Ils ont tous leur part de complexité et vous pouvez les mélanger à votre guise. Le premier est probablement le plus facile, mais le moins robuste (à lui seul).

1. Détection passive de MAC

La méthode standard serait de garder trace des adresses MAC qui demandent des adresses DHCP au routeur. La plupart des routeurs fournissent un écran de type "Périphériques connectés" qui vous indiquera qui se connecte.

Ce n'est pas automatique, mais vous pouvez (assez facilement) écrire un script Bash/Python pour extraire la page du routeur, analyser les adresses MAC et les comparer à une liste d'adresses MAC connues/autorisées.

Le problème ici est que rien n’est instantané. Vous comptez sur le routeur pour mettre à jour sa page et vous devez l'interroger fréquemment. Certains routeurs ne vont pas aimer ça. J'ai un routeur Edimax merdique qui se bloque si vous chargez plus de 10 pages en une minute (pathétique!) Donc cela pourrait ne pas fonctionner.

Les adresses MAC sont également faussement fausses. macchangerpar exemple, vous permettra d'usurper votre adresse MAC en une seule commande. Je pense que même le gestionnaire de réseau vous laissera le faire. Si quelqu'un ne veut pas être détecté, il surveillera le trafic réseau et utilisera l'un des périphériques (connus) valides.

2. reniflement actif

C’est là que nous récupérons les roues et que nous entrons dans Dig. Vous aurez besoin d’un dispositif de rechange sans fil dans un endroit pouvant intercepter le trafic en provenance/à destination du routeur (idéalement à proximité).

En bref, vous raccordez airodump-ng et vous regardez les personnes connectées à votre réseau. Il devrait être possible de créer un script pour cette sortie. Ainsi, lorsqu'un nouveau périphérique apparaît et commence à utiliser votre réseau, vous pouvez instantanément faire quelque chose .

L'idée serait que vous exécutiez ceci au démarrage (en tant que root):

airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0

Remplacez le BSSID par celui de votre point d'accès.

Ceci écrit un fichier auto-incrémenté qui peut être analysé régulièrement. La version ci-dessus écrit un fichier de valeurs séparées par des virgules, ce qui est assez basique, mais si vous êtes satisfait du XML (Python peut vous simplifier la tâche), vous pouvez consulter le format de sortie netxmlpour airodump.

Dans les deux cas, cela vous donne des informations régulières sur les appareils qui utilisent le réseau (et sur le trafic qu’ils envoient également). C'est toujours aussi faillible que d'utiliser la table ARP du routeur, mais c'est en direct.

En mode promiscuité, si votre script sélectionne un client qui, à son avis, ne devrait pas figurer sur le réseau, vous pouvez utiliser tcpdumppour rechercher les paquets et enregistrer les échanges qui vous intéressent (requêtes HTTP, etc.). C'est plus de programmation mais cela peut être fait.

3. Empreinte digitale avec nmapname__

Une autre méthode consiste à balayer le réseau pour les clients avec nmapname__. Normalement, vous pourriez penser que cela ne vous aiderait pas trop. Si quelqu'un bloque les pings, cela pourrait ne pas apparaître.

Je vous suggère de l’utiliser conjointement avec l’une ou l’autre des deux méthodes. 1 vous donnera l'adresse IP afin que vous puissiez nmap directement. 2 ne vous donnera pas d'adresse IP, mais vous indiquera combien de clients nmapdevraient s'attendre à trouver, à ce moment précis. Assurez-vous que tous vos appareils sont pingables.

Lorsque nmapest exécuté (par exemple, Sudo nmap -O 192.168.1.1/24), il essaie de trouver des hôtes, puis effectue une analyse des ports pour déterminer leur identité. Votre liste de contrôle doit indiquer comment chacun de vos appareils doit répondre à nmapname__.

Si vous voulez aller plus loin, vous pouvez utiliser un simple serveur sur chacun de vos ordinateurs. Juste quelque chose qui a accepté une connexion et l'a ensuite abandonnée. En bref: Quelque chose à rechercher pour nmapname__. S'il le trouve ouvert, c'est probablement votre ordinateur.

4. Sécurisez mieux votre réseau

Vous devriez réellement le faire en premier si vous êtes inquiet. Utilisez WPA2/AES. Ne jamais utiliser WEP (fissures dans environ cinq minutes).

Si vous êtes toujours , quelqu'un pourrait découvrir la clé (WPA2 prend un beaucoup de données et de temps de calcul pour craquer) , déplacez vers un modèle RADIUS. C'est un framework d'authentification qui configure une clé unique pour chaque utilisateur. PITA à mettre en place cependant.

Mais que faire ..?

Si les choses ne me satisfaisaient pas, je regarderais probablement manuellement Airodump. Si je n'étais toujours pas heureux, je commencerais à prendre les empreintes digitales des choses que j'ai vues. Un peu difficile (en aucun cas impossible) pour écrire un script.

Le script le plus simple est le nettoyage du routeur avec l’empreinte de nmapname__. Court et simple.