Версия для печати
- Полигон-2 http://poligon2.kp4.ru/
-- Флейм на общие темы http://poligon2.kp4.ru//forum/10
--- Что бы сотворить для Вай-Фай холявщика? http://poligon2.kp4.ru//topic/18903
-- Mihail-1 написал 21 августа 2015 23:34
ПРОШУ НЕ ДАВАТЬ СОВЕТЫ КАК ЗАЩИТИТЬСЯ ОТ ЧУЖОГО ПОДКЛЮЧЕНИЯ И НЕ ОБСУЖДАТЬ СПОСОБЫ ПОДБОРА ПАРОЛЕЙ.
Не я один в доме заметил, что либо в нашем подъезде, либо в соседнем, кто-то занимается подбором паролей к Вай-Фай. У трех соседей в роутере видел чужие подключения. Включищь-выключишь роутер-некоторое время только свои компы, а через небольшой промежуток опять чужой мак появляется. Пробывал снять пароль с Вай-Фая, так этот мак адрес просто регулярно торчит и, судя по скорости работы моего компа, что-то качать любит. В принципе меня это не раздражает, да и соседям по барабану, так - редкие неудобства, когда комп тормозит, но все в основном выкл-вкл и дальше работают. В общем при современных скоростях и обилии точек в подъезде один халявщик никого не раздражает.
Но у меня появилась мысль, а нельзя ли поставить комп с Вай-Фай роутером без пароля и организовать какую-нибудь "ловушку" или "свой интернет" для халявщика. Что "приятное" доброму хакеру можно сделать?
Прошу без стеснения писать сюда любые Ваши, даже бредовые, мысли. Ведь принцип "у меня сегодня радость-я сегодня сделал гадость" вечен
-- zOrg написал 21 августа 2015 23:38
Mihail-1 МАС каждый раз разный? Отфильтровать его по MAC`у.
-- alecv написал 21 августа 2015 23:41
Обычно делают transparent proxy и например переворачивают GIF-ы вверх ногами.
-- Mihail-1 написал 21 августа 2015 23:42
Ни в коем разе не стоит цель его поймать, набить морду, запретить на всех роутерах. Просто повеселиться над товарищем хочется, какую-нибудь подляну устроить. Мака два, видать комп и что-то мобильное, может телефон.
Я не очень в сетях спец, но чую, что повеселиться можно
-- Mihail-1 написал 21 августа 2015 23:44
alecv написал:[q]
transparent proxy и например переворачивают GIF-ы вверх ногами[/q]
Если не сложно-попроще, чтобы непрофессионалы спец жаргон поняли
-- MM написал 22 августа 2015 0:14
Т.е. чужак ломает пароли на раз ?
Если увеличение пароля до 80 кодов не помогает - дело плохо, лучше вообще отключиться от эфирной раздачи, т.к чужак может работать через спецпароль ГБ и устраивать чудовищные провокации - по типу оскорбления представителей высшей власти и т.п., за что хозяин эфирной точки реально может поехать на Севера, причем на долго.
-- Mihail-1 написал 22 августа 2015 0:22
MM я не прошу обсуждать как ломает и для чего, для этого создайте свою тему и там обсуждайте сколько влезет.
У меня раздватричетырепять стоит и Вас не касается для чего я такой поставил. Тут тема о другом
-- easyjohn написал 22 августа 2015 0:23
Mihail-1 написал:[q]
[/q]
Шифрование wpa2 с длинной пароля минимум 15 символов (разный регистр, цифры).
Если и такое сломает, то найти и пожать руку.
Вообще надо нормально сеть строить, что бы избегать проблем с wifi, например: вынос точки в отдельный влан, роутинг влана только в инет, трафик в инет жестко шейпить, фаирволить все, кроме 80 порта, 80-ый пускать через транспарент прокси, как выше уже советовали, на проксе следить куда ходит, закрывать ресурсы по acl.
Но на бюджетном обороудовании ты такое не провернешь.
-- MM написал 22 августа 2015 0:28
Mihail-1 написал:[q]
MM я не прошу обсуждать как ломает и для чего, для этого создайте свою тему и там обсуждайте сколько влезет.
У меня раздватричетырепять стоит и Вас не касается для чего я такой поставил. Тут тема о другом[/q]
Кое-какой хам больше от меня приемников не дождется.
-- Mihail-1 написал 22 августа 2015 0:28
easyjohnMM, если не сложно, удалите свои сообщения, не засоряйте тему ( см. мое сообщение от 22 августа 2015 0:22)
-- easyjohn написал 22 августа 2015 0:30
Mihail-1 написал:[q]
Если не сложно-попроще, чтобы непрофессионалы спец жаргон поняли[/q]
Условно говоря - роутинг и пакет фильтеринг IP, это примерно 2-3 месячный курс обучения.
Не имея этих знаний, сложно сделать правильно. По этому советы наши будут относительно бесполезны.
А серебняной пули с одной кнопкой "сделать хорошо" тут нет.
-- Mihail-1 написал 22 августа 2015 0:30
MM ещё раз пишу, что у меня пароль 12345, мне кажется тоько дебил его не подберет.
Я не ставлю тут вопрос как защитить Вай-Фай.
-- Mihail-1 написал 22 августа 2015 0:33
easyjohn а что может сделать фильтринг АйПи?
Защитить от чужого подключения? Мне не надо защищать.
-- easyjohn написал 22 августа 2015 0:36
Mihail-1 написал:[q]
easyjohn, [skip] не засоряйте тему[/q]
О, ну с таким подходом, ты быстро добъешься результата. Гений.
Mihail-1 написал:[q]
easyjohn а что может сделать фильтринг АйПи?[/q]
Ага, ты даже общего представления об ip сетях не имеешь, судя по тому, что даже правильно прочитать написанное не смог.
-- Mihail-1 написал 22 августа 2015 0:38
easyjohn СМ., ПОЖАЛУЙСТА, первую строку первого сообщения. Михаил
-- easyjohn написал 22 августа 2015 0:42
Mihail-1 написал:[q]
easyjohn СМ., ПОЖАЛУЙСТА, первую строку первого сообщения. Михаил[/q]
Успокойся, Михаил. Зачем так кричать. Все прекрасно видят твое сообщение.
Просто ты не в состоянии понять, что тебе отвечают.
-- Mihail-1 написал 22 августа 2015 0:47
пока ни одного предложения как подшутить над присосанцем не услышал , хотя, может, easyjohn и прав, просто не понял
-- Fe-Restorator написал 22 августа 2015 1:53
Mihail-1 написал:[q]
пока ни одного предложения как подшутить над присосанцем не услышал[/q]
Лучшей шуткой, в твоём случае, будет "неожиданная" невозможность присосанцу подключиьтся к твоей сети. Сие заставит человечка совершать дополнительные телодвижения, например, поменять своё оборудование. Шутка наиболее безопасна для тебя, ибо нахал морду бить на предмет "почему, :№;"@, меня отключил?" не пойдёт, запалу мало и другие соседи имеются...
Достигается сие именно блокировкой хоста по МАС-адресу, что легко выполнить даже на бытовых коробкороутерах, особой квалификации не надобно. Суть явления: DHCP сервак твоего роутера будет сперва проверять МАС запрашивающего соединение компа, и в случае совпадения со "штрафником", IP-адрес выдан не будет. Нахалу помашет крылом "розовая птица Обломинго".
Более интересный вариант - поднять на коробкороутере простой веб-сервер, с единственной, абсолютно пустой страницей, стартующей автоматически, при заходе на роутер по http протоколу. Единственное наполнение - простая фраза "Не влезай - убьёт", "У тебя 2 минуты, чтоб покинуть эту страницу и не быть пойманным" или иная, того-ж толку. Толька не стоит явно хамить, вроде "Йа до тэбэ дабэрузь!", эффект будет обратным: амбал с битой нарисуется аккурат за дверью.
Для сего метода потребуется кастомная прошивка, с возможностью подтянуть в неё сервак из репозитория. Или переделать фабричную прошивку, чтоб взамен "веб-морды" роутера выводилась эта страница.
Не настолько просто, и потребуется некое знание Linux-а.
Следующий шаг по пути усложнения - поставить некий сервак аутентификации и перенаправить на него поток с коробкороутера. Практически все они умеют RADIUS-технологию. Аббревиатуру можно расшифровать в инете. Радиус-сервер достаточно хорош, чтоб заблокировать доступ хосту исходя из "почерка его работы" в сети, а не только по стандартным параметрам вроде IP и МАС.
Можно совместить радиус со хранилищем вирусни. Например, выдавать адрес и тут-же перенаправлять присосанца на отдельный HoneyPot-сервак, где уже и пасутся зловреды, и стоит ПО слежения от тех-же "гэбистов", и просто "стукачок в органы" какой-нть...
Но сие - опасно, за дверью могут оказаться как тот-ж амбал, так и спецы-ФСБ-шники, если твоя "коллекция" каким-то боком протечёт в сеть.
PS. Не ругайся на easyjohn или MM, они предложили то-ж самое, токма весьма сухим "гиковским" языком с примесью "белого порошка ЧСВ" (зовётся "перхоть"
, всегда сыпется с "тру гиков" ). Не научились оне говорить по-человечески, всё норовят "по-королевски".
См. мультфильм "12 месяцев".
-- Alex_Vac написал 22 августа 2015 5:48
Я бы создал прикольную страничку с шуткой, и перенаправлял все запросы с чужих МАК-ов на неё.
Лучше всего если на этой страничке будет находится какая нибудь персональная информация о человеке который подключается.
Так как известны МАК-и и пароль, снифером перехватить пакеты и просмотреть что и куда он выходит и что делает вообще в сети.
Таким образом, если повезет и человек выходит в соц.сети, почту, форумы, можно уловить что это за личность.
Можно даже организовать для него персональный фишинг сайт, например клон одноклассников, если он туда выходит, но вы это не потяните, а чужие услуги будут стоить денег.
-- rw6hrm написал 22 августа 2015 8:33
Alex_Vac написал:[q]
создал прикольную страничку с шуткой, и перенаправлял все запросы с чужих МАК-ов на неё.[/q]
Берётся старый компик с Виндой, на него накатывается банальный Small HTTP Server (https://ru.wikipedia.org/wiki/Small_HTTP_Server), на котором поднимается свой DNS с перенаправлением всех вызовов на 127.0.0.1, т.е. на "страничку с шуткой". К машинке подключается полностью открытая точка доступа. Вот пусть халявщик там и лазиет, однозначно при наличии открытой сети его не будут интересовать закрытые.
А все остальные предложенные способы требуют как минимум хороший софтовый роутер или микротик на крайний случай...
-- ViktorAG написал 22 августа 2015 8:40
1. Переключил МАС фильтр в режим разрешения, теперь приходящие ко мне гости, чтобы получить инет должны "прописаться"
в таблице разрешённых МАС адресов. Немного неудобно, но зато защищает от непрошенных гостей.
2. Ограничил максимальное число одновременно подключённых клиентов необходимым минимумом.
3. При покупке роутера выбирал не самую навороченную модель, а чтобы "дальнобойность" не выходила за пределы квартиры.
ограничился DIR-300. И для бюджета полезно.
Теперь никто не взломает сервер пентагона из под моего айпишнега.
rw6hrm ему не просто халява нужна (при нынешних ценах на инет у нас сплошная халява), ему надо обязательно взломать, поднять свой ЧСВ.
-- maxfox написал 22 августа 2015 9:29
ViktorAG написал:[q]
Теперь никто не взломает сервер пентагона из под моего айпишнега.[/q]
Не факт!
1. Если он ломает Wi-Fi, то он видит все мак адреса подключенные к роутеру. Сегодня гость есть - завтра нет, а мак Адрес прописан в таблице на роутере, подменил мак и подключился.
2. Каждый раз не будешь заходить на роутер и менять кол-во пользователей, а если и будешь, и при этом заходиш через Wi-Fi так это вообще сказка - он просто подслушает, а логин и пароль при входе на роутер передается нешифрованным.
3. Есть направленные антенны и чувствительные девайсы.
-- easyjohn написал 22 августа 2015 10:38
Fe-Restorator написал:[q]
блокировкой хоста по МАС-адресу[/q]
Не остановит даже ребенка, подмена мака есть в готовых скриптах, доступных каждому.
Alex_Vac написал:[q]
Я бы создал прикольную страничку с шуткой, и перенаправлял все запросы с чужих МАК-ов на неё.[/q]
Нужен пакетфильтр.
rw6hrm написал:[q]
Берётся старый компик с Виндой, на него накатывается банальный Small HTTP Server[/q]
Подмена днс или пакетрфильтр? Подмена днс обходится элементарно. Достаточно гугловые днс у себя прописать.
rw6hrm написал:[q]
при наличии открытой сети его не будут интересовать закрытые.[/q]
Отсуствие выхода наружу сразу делает эту сеть никому не интересной.
-- Mihail-1 написал 22 августа 2015 11:18
MaxFox написал:[q]
Если он ломает Wi-Fi, то он видит все мак адреса подключенные к роутеру.[/q]
Увы, на роутере пароль у меня нормальный и имя кривое, так что более чем уверен, что в настройки роутера он не войдет, хотя, если ошибаюсь, то подскажите какой есть способ обойти логин и пароль входа в настройки роутера.
Fe-Restorator
Alex_Vacrw6hrm Ваша идея создать для присосанца свой "интернет" понравилась. Сам, естественно не справлюсь, но малого напрягу, зря что ли всю бурсу кормил
-- Mihail-1 написал 22 августа 2015 11:26
Fe-Restorator написал:[q]
всё норовят "по-королевски".[/q]
Вот в этом моя беда, ну, не учил я комп терминологию. В школе самой крутью табулятор был, проводками распечатку ведомостей учили нас корректировать, в бурсе по нашей специальности у нас зачет без оценки был по орг. структуре ВЦ на ЕС-ках.
-- Fe-Restorator написал 22 августа 2015 12:45
easyjohn написал:[q]
Не остановит даже ребенка, подмена мака есть в готовых скриптах, доступных каждому.[/q]
Всё в этой жизни ломаемо и в пепел превращаемо. Вопрос лишь в трудозатратах и наличии аппаратных ресурсов.
Организовать СОРМ на дому и поддерживать его работу в режиме 24/366 не удастся ни одному среднестатистическому юзверю, а гикам это выгодно только в плане карьерного роста/повышения квалификации.
Вот и рекомендую лишь то, что есть под руками, в составе того-ж коробкороутера, даж без шаманства с прошивками. (В репозиториях есть некие "зачатки сорма", ежли-что, насколько эффективны - не пробовал.)
Абсолютизм мнения "всё это детский лепет, надо делать профессионально" побереги для другого обсуждения, ограничься условиями текущей задачи: коробкороутером + слабым знанием ОС и роди наконец дельный совет "как быть?".
Mihail-1, в коробкороутерах есть возможность включать/отключать радио по таймеру, выставляется период активности в течение суток. Можно воспользоваться этим и отрубать оное с 18-00 до 7-00 следующего дня. Облом с подключением присосанцу гарантирован, выкачка ночных торрентов - тож накрыта тазом. Да, ты сам тож с планшетом не помедитируешь на троне, всему есть своя цена.
Не в тему: один человечек просил ограничить его детей от инета с N до M часов, чтоб уроки учили и спали крепче. С телевизором он справился сам, выкинул нафиг. Закавыка: сам он хотел оставаться онлайн даже в "комендантский час". Покупка профи-аппаратуры за офигеард монет отметалась разом. В итоге, в цепочку поставлены 2 коробкороутера, настроенных на радиоработу в разные промежутки времени. Ибо сами коробкИ достались человечку почти бесплатно. Разные сетки, разные настройки, домочадцы взламывать не умеют... Не совсем твой случай, но... можно включать второй коробок в вечернее время, оставив его открытым для присосанца. Контролировать трафик/рубить, перенаправлять, сниффить... Лучше - вести лог траффика, ежли какие "фесебешники" нагрянут - оправдаться будет чем, лог им покажешь.
PS. Можно, по совету easyjohn-а, заразиться абсолютизмом: вовсе выключить радио и пользовать проводное подключение того-ж коробкороутера. Пусть присосанец по воздуху взламывает витую пару...
PPS. С узконаправленностью антенн связываться - неоднозначное занятие. Квартиру ниже/выше всё равно "засветит", эт те не лом и не сигара, окромя того появится другой присосанец, токма уже на дальней дистанции. Ну и слепые зоны в твоём доме появятся, из-за той-же направленности.
Можно попробовать уменьшить мощность радио (есть в коробкороутерах) чтоб её едва хватало для устойчивой связи внутри дома, и катастрофически не хватало наружу: постоянно рвущийся коннект зело насолит любому присосанцу.
Если оборудовал в доме т.н. "тёплый пол", это + тебе в карму: фольгированная подложка пола непроницаема для радиоволн, её-б заземлить и будет совсем хорошо. Присосанцы из нижних квартир идут в пивной ларёк, всей толпой... Металлизировать всё подряд не получится, конечно, жить "в жестянке" - эт бред, хоть и убережёт от поражающих воздействий.
Заодно:
1) сбросить настройки коробкороутера в дефолтные и настроить их заново.
2) поменять оба логин-пароля, и на сам роутер, и на доступ к сети. Сделать их полностью разными. Менные действия проводить по-шнурку, никакого радио, не ленись.
3) Поглядеть, который пароль будет взломан.
4) неплохо-бы меж первым и вторым пунктами обновить прошивку роутера, возможно, в ней есть некая закладка, backdoor, пользуемый присосанцем, через коий можно взломать вообще всё.
В обновлённой прошивке он может отсутствовать/быть иным, хацкеру придётся попотеть. Часто такое встречается в купленных с-рук железках, оттого от них и избавляются/намеренно подбрасывают. Как быстро развить ботнет? Продай десяток роутеров с "закладками" в прошивке...
-- maxfox написал 22 августа 2015 12:53
Mihail-1 написал:[q]
Увы, на роутере пароль у меня нормальный и имя кривое, так что более чем уверен, что в настройки роутера он не войдет, хотя, если ошибаюсь, то подскажите какой есть способ обойти логин и пароль входа в настройки роутера.[/q]
Как я уже писал выше, если он подключается к вашему роутеру, то он логин и пароль подслушает в том виде в каком Вы их вводите, кривые они или прямые.
Также ломать пароль на wi-fi можно через WPS (Wi-fi Protected Setup), но это только на более ранних роутерах, в данный момент производители латают эту дырку. Всего 11000 переборов пинов WPS и пароль WI-fi в кармане, вне зависимости от сложности и длины пароля! А если есть WPS pin, то используя софтину от одного производителя можно подключиться к чужому роутеру и зайти на него или даже перенастроить его (это не всегда работает, да и свежие роутеры имеют кнопку WPS без нажатия которой не подключишся).
Как-то так.
-- Fe-Restorator написал 22 августа 2015 13:05
MaxFox написал:[q]
Как я уже писал выше, если он подключается к вашему роутеру, то он логин и пароль подслушает в том виде в каком Вы их вводите, кривые они или прямые.[/q]
Выключить радио, сменить пароли, включить радио. Попробуй подслушать вводимое.
-- maxfox написал 22 августа 2015 16:52
Fe-Restorator написал:[q]
Выключить радио, сменить пароли, включить радио. Попробуй подслушать вводимое.[/q]
Тогда так придется делать каждый раз, когда заходишь на роутер, а если стоит мак фильтр, то это придется делать может не часто, но время от времени.
-- Fe-Restorator написал 22 августа 2015 19:50
Странно. Проверил свой асус - пароль на сеть передаётся шифрованным, на роутер - тем паче. Можно, канеш, подслушать сам "шифропакет" и затем его воспроизвести, при везении взом получится, но это нетривиально. И логи будут пёстрые: "два раза вошёл, ни разу не вышел"...
-- maxfox написал 22 августа 2015 21:44
Действительно странно! Пароль на сеть естественно передается не то, что шифрованным, а в виде хеша пароля. А пароль на роутер - хз, может у меня устаревшая информация.
-- ViktorAG написал 22 августа 2015 23:21
MaxFox написал:[q]
Не факт!
1. Если он ломает Wi-Fi, то он видит все мак адреса подключенные к роутеру. Сегодня гость есть - завтра нет, а мак Адрес прописан в таблице на роутере, подменил мак и подключился.[/q]
Как пропишу, так и выпишу.
MaxFox написал:[q]
2. Каждый раз не будешь заходить на роутер и менять кол-во пользователей, а если и будешь, и при этом заходиш через Wi-Fi так это вообще сказка - он просто подслушает, а логин и пароль при входе на роутер передается нешифрованным.[/q]
Никакого радио в админке, только по проводам.
MaxFox написал:[q]
3. Есть направленные антенны и чувствительные девайсы.[/q]
Вспомним притчу о Буридановом осле. Тот издох, выбирая из двух одинаковых стогов сена. Но если одна куча больше другой, то осёл хацкер попрётся к большей, соседской.
Fe-Restorator написал:[q]
Если оборудовал в доме т.н. "тёплый пол", это + тебе в карму: фольгированная подложка пола непроницаема для радиоволн, её-б заземлить и будет совсем хорошо. Присосанцы из нижних квартир идут в пивной ларёк, всей толпой... Металлизировать всё подряд не получится, конечно, жить "в жестянке" - эт бред, хоть и убережёт от поражающих воздействий.[/q]
Идея не нова, хотя и универсальна:
-- maxfox написал 22 августа 2015 23:56
ViktorAG написал:[q]
Вспомним притчу о Буридановом осле.[/q]
Ну так он и к маленькой вернется рано или поздно... пока лбом в стену не упрется
-- Fe-Restorator написал 23 августа 2015 0:25
ViktorAG написал:[q]
Идея не нова, хотя и универсальна:[/q]
Последняя шарашка, где на всех этажах жили психи - называлась "гулаг". До него - "канатчикова дача".
Универсальное решение универсальной идеи.
-- CodeMaster написал 30 августа 2015 8:40
Mihail-1 написал:[q]
Не я один в доме заметил, что либо в нашем подъезде, либо в соседнем, кто-то занимается подбором паролей к Вай-Фай. У трех соседей в роутере видел чужие подключения.[/q]
Шютку-юмор надо либо устраивать одновременно у всех соседей, ибо увидев её, чел просто уйдёт в другую сеть. Либо делать её незаметной, например, чел скачивает файл, но он, например, при размере больше 1 гига оказывается битым.
З.Ы. Сам работаю через чужую сеть, там и сигнал и скорость лучше. Считаю пароль "12345" прямым приглашением пользоваться сетью ;-)
Этот форум работает на скрипте Intellect Board
© 2004-2007, 4X_Pro, Объединенный Открытый Проект
©2001 Iezekil, ©2002–2019 Serge, ©2019 unterwulf