Bienvenido(a), Visitante. Por favor, ingresa o regístrate.
¿Perdiste tu email de activación?
20-11-2017, 20:01 (Lunes)
Inicio Ayuda Reglas Buscar Ingresar Registrarse
Noticias:
Liberada wifislax64-1.1 version final para descargar

Videos Downloader




+  Seguridad Wireless - Wifi
|-+  General
| |-+  Foro libre - Offtopic (Moderador: buite)
| | |-+  Me han clonado la red y la mac, ¿qué puedo hacer?
0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: Me han clonado la red y la mac, ¿qué puedo hacer?  (Leído 766 veces)
Powermode
**
Desconectado Desconectado

Mensajes: 6


Más vale pájaro en mano que ciento volando...


Ver Perfil
« : 09-07-2017, 16:53 (Domingo) »

Hola buenas tardes a la comunidad. Hace ya algunos años que estoy rondando y trasteando con wifislax, aircrack y demás aplicaciones derivadas a pesar de no haberme registrado hasta hoy, porque quisiera solicitar consejo de los más experimentados en la materia.

Vereis, suelo configurar mi red y las que he tenido, porque como digo vengo haciendo pruebas desde hace tiempo y además uso algunas distribuciones junto con windows normalmente, probando y trasteando como digo, que por cierto lié una para instalar wifislax 64 en el portátil, que ya ni recuerdo cómo lo conseguí justo cuando iba a darlo por perdido, bueno al lío que me enrrollo más que una persiana...

Hace un rato que estaba jugando con el móvil online y de repente he "perdido" la conexión, miro en ajustes -> wifi y lo que me encuentro es que me dice "contraseña incorrecta" y a su vez observo que mi red aparece duplicada en modo "abierto" con menor intensidad, que por curiosidad intento conectar y me sale un aviso "por su seguridad debe introducir la clave WPA bla, bla, bla". El caso es que en cuanto he visto esto automáticamente he pensado en LINSET, y obviamente no he introducido la clave, me he desconectado y he apagado el router comprobando que esa red duplicada seguía activa. Al encender el router he entrado en la configuración y comprobado que no había más que mi pc y mi móvil conectados y he revisado el log de actividad, en lo que he comprobado que durante unos 15 minutos mi red ha estado teniendo micro-cortes e intercambios de datos ACK y denegando autentificaciones, por lo que ya si me quedaban pocas dudas sobre si me estaban intentando hackear la red, ya lo tenía más que claro. Acto seguido he entrado en mi wifislax 64 y he pegado un escaneo, comprobando que la red duplicada "abierta", además tiene la MAC del router clonada, nuevamente en el escaneo he apagado mi router y ahí seguía la red falsa mientras la mía había desaparecido.

El tema es que me preocupa un poco el asunto porque recientemente por aquí ha venido mucho niñato de vacaciones y estoy seguro de que alguno me está intentando hackear, ya que con los métodos convencionales lo tiene bastante difícil (al menos dentro de mis conocimientos). Obviamente el WPS lo tengo desactivado, pero ahora recurro a la comunidad con esta pregunta ¿Qué puedo hacer? El filtrado MAC lo veo una chorrada ya que pueden clonarme igualmente la MAC así que no se, por ahora no me han roto la red pero están en ello. Me gustaría saber qué recomendaciones podeis darme, contad que tengo el wifislax 64 por si hay que trabajar algo fuera del router, ya que en el fondo me gustaría joder a quien esté haciendo esto pero me conformo con mantenerme protegido.

Sin más un cordial saludo y estoy atento a los consejos / opiniones al respecto en este asunto. Gracias.  Wink

PWM
En línea
vk496
*******
Desconectado Desconectado

Mensajes: 2192



Ver Perfil WWW
« Respuesta #1 : 09-07-2017, 17:12 (Domingo) »

Hi,

Dos opciones se me ocurren:

Cambia el ESSID de la red y ponlo oculto. Otra opción es poner un segundo punto de acceso, en un canal distinto.

Opciones mucho más avanzadas es tener la red desprotegida y aplicar otras medidas de seguridad. Se me ocurre la idea descabellada de tener el servidor DHCP principal sirviendo una subred que descarte todo paquete, mientras que la segunda (por VLAN) vaya protegida por IPSec (por ejemplo).

Salu2
En línea
drvalium
Moderador Global
*
Desconectado Desconectado

Mensajes: 17545


Misántropo


Ver Perfil
« Respuesta #2 : 09-07-2017, 17:36 (Domingo) »

Si no quieres liarte con cosas técnicas, si te vuelve a atacar, cuando te pida la clave, escribe: Se que intentas pincharme la red-no voy a darte mi clave-deja de molestar

En línea
Shyraz
******
Desconectado Desconectado

Mensajes: 300



Ver Perfil
« Respuesta #3 : 09-07-2017, 19:15 (Domingo) »

Esta última opción drvalium, creo q no valdría, uno escribe su contraseña en el AP falso/clonado y esa pass es contrastada con el handshacke q previamente captura linset, si no coinciden no le devolverá al atacante dicha pass, igual estoy equivocado pero diría q es así.
Lo de poner un nombre en modo advertencia a la red, podría hacerlo con el ESSID q todos pueden ver.
Otra opción sería la del "Cazador cazado", es una herramienta de wifislax, investiga un poco al respecto.

Enviado desde el móvil

En línea

Si crees que los pobres votan a la izquierda y los ricos a la derecha ¿Quién crees que intentará que haya más pobres? ¿Y más ricos?. Pues eso.
drvalium
Moderador Global
*
Desconectado Desconectado

Mensajes: 17545


Misántropo


Ver Perfil
« Respuesta #4 : 09-07-2017, 20:31 (Domingo) »

esa pass es contrastada con el handshacke q previamente captura linset, si no coinciden no le devolverá al atacante dicha pass, igual estoy equivocado pero diría q es así.

hora ya se para que quiere el handshake, llevaba meses preguntándomelo Grin Grin Grin
En línea
Powermode
**
Desconectado Desconectado

Mensajes: 6


Más vale pájaro en mano que ciento volando...


Ver Perfil
« Respuesta #5 : 10-07-2017, 00:43 (Lunes) »

Hola y gracias por las respuestas. La falsa red de momento ha desaparecido varias horas ya, imagino que se habrán cansado.

Lo del cazador cazado ya lo conocía, de hecho le he pegado un vistazo cuando he pasado el airodump esta tarde, pero creo que para que le aparezca el index.html con el mensaje que le ponga debe conectarse a la red, cosa que no ha pasado. Cuando he trasteado normalmente LINSET y WIFIMOSYS para mi son las opciones para cuando todo lo demás te ha fallado, como último recurso porque como sabéis eso es lanzarlo y esperar que piquen, por lo que aparte de paciencia hace falta suerte. Por cierto el dia que descubrí WIFIMOSYS acabé llorando de la risa, en mi vida pensé que existiría una aplicación (o script) con ese nombre tan cachondo, lo mejor es cuando ves eso de que es la abreviatura de wifi monitoring system jajajaja.

Bueno pues tengo en cuenta un par de apuntes que me llevo hoy, tengo varios routers y en especial un tp-link que he usado muchas veces como repetidor pero dudo que eso me resuelva nada.

Bueno saludos y gracias, si noto algo raro vuelvo a este post a comentaros.
En línea
Vodker
******
Desconectado Desconectado

Mensajes: 260



Ver Perfil
« Respuesta #6 : 10-07-2017, 03:36 (Lunes) »

Ocultando la red y cambiando su nombre suele funcionar en la mayoría de ocasiones (en las que el atacante no tiene mucha idea más allá de poner siguiente->siguiente en algún script).
Aún así, si sigue atacando, entra a su falso AP e introduce alguna contraseña del tipo "YoTambienSeUsarWifimosys", porque si tienes la suerte de que el tío ese use el script Wifimosys podrá ver la contraseña errónea (tu mensaje) en su pantalla y con eso bastará para saber que le has pillado.

Saludos.

PD: Por cierto, es WIFI MOron' SYStem (Sistema Wifi para gilipo**as) XDDDDDD
« Última modificación: 10-07-2017, 11:35 (Lunes) por Vodker » En línea

Aprendiendo... o al menos intentándolo.
Powermode
**
Desconectado Desconectado

Mensajes: 6


Más vale pájaro en mano que ciento volando...


Ver Perfil
« Respuesta #7 : 10-07-2017, 12:37 (Lunes) »

Es verdad, pues lo recordaba como monitoring  Angry Angry Evil
En línea
Kozaki666
Alégrame el dia...
Colaborador
*
Desconectado Desconectado

Mensajes: 2540


Trogloditus Maximus


Ver Perfil
« Respuesta #8 : 11-07-2017, 12:19 (Martes) »

[mode_coña=on] Propuesta de essid directamente para esos casos:  "Tu_Linset_Yo_Glock"

Tonterías las justas.  Grin Grin Grin [/mode]
En línea

"Sólo se sabe realmente dónde está el límite cuando se traspasa..."
Páginas: [1] Ir Arriba Imprimir 
« anterior próximo »
Ir a:  


Ingresar con nombre de usuario, contraseña y duración de la sesión

Las cookies de este sitio web se usan para personalizar el contenido y los anuncios, ofrecer funciones de redes sociales y analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de redes sociales, publicidad y análisis web, quienes pueden combinarla con otra información que les haya proporcionado o que hayan recopilado a partir del uso que haya hecho de sus servicios
Si continúa navegando consideramos que acepta su uso. OK Más información | Y más
Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines
SMFAds for Free Forums