Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 20-02-2011 08:35:20

pamputt
Membre Hyperactif
Inscription : 17-10-2010
Messages : 63

Comment se protéger d'un WPA downgrade

Bonjour, en lisant ce tuto sur l'utilisation de mdk3, j'ai vu un passage qui explique qu'il est possible de désauthentifier les stations qui émettent du trafic WPA pour forcer le propriétaire à passer en wep. Ma question est toute simple, comment est ce qu'on fait pour se protéger d'une telle attaque tout en restant en WPA ?

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 20-02-2011 11:06:49

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Comment se protéger d'un WPA downgrade

Bonjour, tu as la réponse dans le tuto en fait.

Cette attaque requiert donc que le propriétaire ne soit pas trop débutant (il faut qu’il sache comment (re)passer en
WEP), mais qu’il ne s’y connaisse pas trop non plus (sinon il remarquera l’attaque).

Donc comme d'hab en ce qui me conçerne il faut penser simple et efficace !!!

Change ta clef avec une grosse paire de moufles trop grandes pour toi, et tu devrais te lasser avant de faire la bêtise d'être repassé en wep smile.

[img align=g]http://www.mode-cachemire.com/wp-content/uploads/2009/11/moufles-cachemire.jpg[/img]

Si tu n'as pas de moufles  ?!!

En cas de doute il te suffit pour commencer de scanner le réseau pour voir si tu est floodé.

Si c'est le cas tu mets en place un filtrage d'adresse mac (pas le top) pour commencer et tu va fouiner dans les paramètres de ta box histoire de voir ce qui se trame et si tu as une option pour éviter le flood. (n'ayant pas de box je ne sais pas trop comment c'est fichu ces bêtes la).

Moi perso je seraid tenté de jouer le jeux, un coup d'airbase-ng je me fait un faux Ap en Open et je le laisse venir pour sniffer son traffic histoire de voir ou il va et si je peux obtenir son identité ou si je peux pénétrer sa machine dans le but de récolter des preuves.
Après dans ce cas si il est pas trop con il risque de trouver bizzare de voir deux AP avec le même essid mais pas la même adresse mac c'est sur, mais disont qu'il est naïf smile.

San compter aussi que j'ai toujours un mal de chien à mettre en place une bonne table de routage avec airbase-ng sad
Donc étant un bras cassé avec airbase-ng,  je joue carrément le jeux et je le laisse se connecter directement sur mon routeur (paramétré en wep pour lui laisser le plaisir de casser la clef) et j'utilise airtun-ng, Wireshark et xplico pour surveiller la bête. (Je penche plus pour cette solution )

Dernière solution très simple, quand tu vas détecter l'attaque via un sniff tu vas forçément obtenir son adresse mac,  vraie ou fausse peu importe le fait est qu'il utilise celle ci à ce moment la, rien ne t'empêche de le flooder à son tour, si il est pas trop con il va très vite comprendre et pas insister plus que ça..

Dans tous les cas et je pense que c'est devenu incontournable pour mener toutes sortes d'attaques (entendez attaque  dans un sens préventif bien sur, puisqu'il s'agit de notre réseau dans ce cas), ou d'investigations tout réside dans l'écoute du traffic.

Dernière modification par noireaude (20-02-2011 11:39:45)


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#3 20-02-2011 11:39:45

twone66
Membre Indéboulonnable
Inscription : 17-01-2011
Messages : 116

Re : Comment se protéger d'un WPA downgrade

bjr,

J'ai suivi votre discussion et le post m'intéresse.


J'ai un ami qui connait bien l'informatique, je lui aie dit que j'allais tester son réseau. J'ai donc développer une attaque dans les règles. J'ai capturé un handshake, mais malheureusement, j'avais oublié d'encrypter -w out. donc tout était à recommencer.

quand je suis retourné à l'attaque le lendemain, son adresse  mac ou bssid était modifier, pas l'essid et l'adresse ap de la station ne donnait aucun handshake. Mais le N° de station variait et j'ai eu jusqu'à 5  N° de station différentes avant d'avoir la bonne sur lequel j'ai récupéré un handshake.

Est ce que cela correspond à ce que vous expliquez ?

merci de la réponse twone66

Hors Ligne

#4 20-02-2011 11:46:36

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Comment se protéger d'un WPA downgrade

L'option -w ne sert pas à encrypter pour commencer, c'est un fichier conteneur ou vont être inscrits les informations relative à ton scan, donc le handshake que tu vas capturer va atterir dedans.

C'est ce fichier que tu indiqueras plus tard à ton dico pour le crack.

Pour le reste tu te mélanges un peu les pinceaux entre ap bssid staion etc etc ...

Expliques toi plus clairement.

Bssid = Adresse du routeur/box.
Ap = Routeur/box.

Station= Pc connecté à l'ap.

Qu' est ce qui change exactement l'adresse mac du routeur ou des stations (pc) ?

Si c'est les staions et que tu voyais 5 adresses macs différentes c'est qu'il y avait 5 pc connectés vraissemblablement à l'ap.

Si c'est le bssid qui changeait, j'ai pu le constater sur la freebox d'une amie, le bssid de son ap change régulièrement, je lui ai demandé pourquoi elle n'a pas su me répondre ne l'ayant pas paramétré elle même.
J'ai voulou fouiner etla faire passer en wpa mais elle n'a pas voulu ( elle a préféré passer de suite à d'autres activités qui feraient rougir le plus chaste des bovins et dont ma mère m'a interdit de parler ici).

Enfin bref je m'égare la  smile.

Dernière modification par noireaude (20-02-2011 12:17:24)


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#5 20-02-2011 11:49:39

pamputt
Membre Hyperactif
Inscription : 17-10-2010
Messages : 63

Re : Comment se protéger d'un WPA downgrade

Merci de ta réponse Noireaude. Tournons la question autrement maintenant. Si quelqu'un veut m'embêter et décide d'utiliser cette attaque sur mon réseau pour m'empêcher d'utiliser mon WPA. L'attaquant ne veut pas utiliser ma connexion ou même essayer de casser ma clé ; il veut juste m'embêter. Comment est ce que je fais pour me protéger de ça ? La seule solution est de récupérer son adresse MAC et d'essayer de trouver qui c'est pour qu'on s'explique en face ?

Hors Ligne

#6 20-02-2011 11:59:05

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Comment se protéger d'un WPA downgrade

Si tu n'as pas d'options dans ta box qui te protège de ce genre de flood (je pense qu'il y en a une) , oui c'est ce que tu dois faire.

Le meilleur moyen est de passer en wep (histoire que cela ne fasse pas trop gros), tu le laisse claquer ta clef et tu le surveilles.

Après il y en a d'autres certainement plus techniques mais aussi peut être plus dur à mettre en place , tu ne devrais pas tarder à avoir d'autres réponses de membres plus calés techniquement qui vont t'aiguiller dans ce sens si c'est ce que tu cherches.

Pour ce qui est de l'explication en face, c'est le truc qui dégénère vite en général, je te conseil de passer par des voies plus fines voir administratives ( quoi que dans le commissariat du coin tu risque de tomber sur des gens qui ne vont même pas comprendre de quoi tu parles hi hi  ...)

Dernière modification par noireaude (20-02-2011 12:16:14)


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#7 20-02-2011 11:59:28

twone66
Membre Indéboulonnable
Inscription : 17-01-2011
Messages : 116

Re : Comment se protéger d'un WPA downgrade

Re bjr

pour répondre précisement à tes questions

l'essid ést filleau

le bssid original était c6:c2:d6:ce:fd:08 il est devenu 00:20:00:5a:ce

dans la commande

airo-dump-ng -w out --encrypt wpa -c canal --bssid mon0

Tu as en 1ère ligne le Bssid  puis les indication pwr rqx data etx

en 2ème ligne tu as bssid     Station   pwr rqx etx

le N° de station changeait, j'ai eu jusqu'à 5 station différents. Seul la station 0c:60:76:7c:9a:90 m'a permis d'attraper un hanshake

J'espère avoir été clair twone66

Hors Ligne

#8 20-02-2011 12:06:45

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Comment se protéger d'un WPA downgrade

Je pense qu'en effet il y avait plusieurs stations sur l'ap si j'ai bien compris.

Le fait que tu n'ais attrapé un hanshake que sur l'une d'entre elle s'explique par le fait que celui ci n'est échangé entre l'ap et la station qu'une fois au moment de la connection de la dite station.

Donc comme tu étais présent à ce moment la tu as attrapé au vol le hanshake de la station qui venait de se connecter.

Cela dit tu (on)  es(t) un peu hors sujet avec le post initial si tu as une question plus précise au niveau de la capture tu devrais ouvrir un sujet spécifique.

Dernière modification par noireaude (20-02-2011 12:13:29)


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#9 20-02-2011 12:24:05

twone66
Membre Indéboulonnable
Inscription : 17-01-2011
Messages : 116

Re : Comment se protéger d'un WPA downgrade

merci pour tes explications.

Koala m'avait qu'il pouvait y avoir plusieurs ordi sur la même AP.

J'en déduis donc que ce N° de station où j'ai attrapé le handshake doit être le serveur ?

Et est ce que mon ami à modifier sa mac adresse suite à mon attaque, j'avais lu que c'était indécelable car hors réseau.

apparement dans votre discussion, il ressort que l'on peut voir une attaque, qu'en est-il?

Merci twone66

Hors Ligne

#10 20-02-2011 12:29:54

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Comment se protéger d'un WPA downgrade

noireaude a écrit :

Change ta clef avec une grosse paire de moufles trop grandes pour toi, et tu devrais te lasser avant de faire la bêtise d'être repassé en wep smile.

Je préconise même les gants de boxe, c'est plus sûr ! big_smile

Il n'y a pas moyen d'empêcher l'attaque WPA downgrade, à moins de faire cesser les émissions de la machine attaquante ; il y a plusieurs solutions pour ça : installer un blindage en plomb autour de la zone concernée, ou casser les dents du propriétaire de la machine (éclater ladite machine est un +) smile
Il y a peu de chance qu'un attaquant veuille juste "t'embêter" avec cette attaque, si c'était le cas il lancerait juste un deauth flood qui aurait le même effet mais empêcherait même le trafic WEP. On peut donc supposer qu'il veut effectivement profiter de ta connexion, et là j'aime bien la solution de Noireaude mais je l'affinerais un peu : Tu désactives le wifi de ta box, tu te branches en câble dessus (comme ça au moins t'es tranquille) et tu lances un fakeAP avec l'adresse MAC de la box, en WEP ou en OPN, puis tu laisses l'attaquant se connecter dessus et tu pièges ça comme il faut pour trouver qui c'est wink

Twone66, je confirme que ton problème n'a rien à voir avec le WPA downgrade, donc merci de créer un nouveau sujet si tu veux en parler.

Hors Ligne

#11 20-02-2011 12:37:27

pamputt
Membre Hyperactif
Inscription : 17-10-2010
Messages : 63

Re : Comment se protéger d'un WPA downgrade

D'accord merci pour vos réponses, ça a répondu à mes interrogations. La réponse est donc il faut être plus malin que l'attaquant en le piégeant lui-même.

Hors Ligne

#12 20-02-2011 12:41:45

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Comment se protéger d'un WPA downgrade

Le terme "station" correspond à l'adresse mac d'un pc.

Le hanshake transite sur le réseau entre l'ap et la station lors de la connection de celle ci.

Donc tu l'attrapes au vol quand un pc se connecte à l'ap à ce titre une nouvelle adresse mac apparait et tu peux en effet déduire que c'est elle qui est à l'origine de la capture.

Pour ce qui est de voir une attaque, ça va de soi. tu ne peux que constater qu'il y a un problème si tu te ramasse des paquets de désauthentification en boucle.

Le résulta est que tu ne peux plus te connecter.

En premier lieu pas de quoi s'inquiéter cela arrive souvent on redémarre le routeur ou le pc et tout rentre dans l'ordre, dès fois cela provient du fai il suffit d'attendre et ça rentre dans l'ordre.

Si malgrès tout tu as un doute ou si tu vois que le problème ne s'arrange pas, alors la première chose à faire est de voir ce qui transit par ton réseau.

Pour se faire tu as Wireshark qui est très bien, tu le lance et tu écoutes tous les paquets qui transitent par ton réseau, si tu est floodé par une adresse mac qui t'envoies des requêtes de désauthentification ça va apparaitre gros comme un bovin dans Wireshark.

Il ne te reste plus alors qu'à faire comprendre au type qui est derrière ça que tu as remarqué la manoeuvre  pour ça je t'ai donné quelques pistes plus haut.


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#13 20-02-2011 12:45:04

pamputt
Membre Hyperactif
Inscription : 17-10-2010
Messages : 63

Re : Comment se protéger d'un WPA downgrade

En fait j'ai encore une question, à quelle moment est ce qu'on son adresse MAC apparait ? Je peux la récupérer comment ?

Hors Ligne

#14 20-02-2011 12:47:05

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Comment se protéger d'un WPA downgrade

J'avais pas pensé à désactiver le Wifi pour ne pas qu'il y ait deux fois le nom du réseau sad c'est une honte, tout fout le camp, je me fais vieux, je suis fini  !!!


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#15 20-02-2011 12:48:12

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : Comment se protéger d'un WPA downgrade

Si ta effectivement quelqu'un sur ton réseau, fais lui un rogue couplé avec une attaque metasploit ou kametasploit pour savoir qui c'est puis redirige le vers une page html que t'auras fais et tu mets un truc humoristique dedans pour lui faire comprendre qu'il est grillé big_smile

Hors Ligne

#16 20-02-2011 12:49:24

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Comment se protéger d'un WPA downgrade

pamputt a écrit :

En fait j'ai encore une question, à quelle moment est ce qu'on son adresse MAC apparait ? Je peux la récupérer comment ?

Dès que le flood commence.

Elle sont indiquées par wireshark quand tu écoutes ton réseau, il n'y a qu'à lire les trames, les adresses mac circulent toujours en clair sur les réseaux.

T'as solution est pas mal koala mais il faut tenir compte de la difficulté de mise en place, je pense que pamput doit s'informer un peu plus sur les bases avant de se lancer dans ce genre de manips, car ça parait peu réaliste pour le moment.

Dernière modification par noireaude (20-02-2011 12:53:03)


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.03 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]