Здається, що бездротова мережа була порушена і буде відключена приблизно на хвилину

Щойно я отримав повідомлення в моїй системі Mac OS X про те, що:

Здається, що бездротова мережа була порушена і буде відключена приблизно на хвилину. ^†

(Це бездротова мережа, захищена WPA2-PSK BTW)

Приклад повідомлення:

Я заглянув у журнали свого маршрутизатора (Zyxel P-2602HW-D1A) лише для того, щоб побачити кілька (вихідних) журналів "syn poplav TCP ATTACK", але це були як тиждень тому, крім цього нічого. Які інструменти в Mac OS X я маю для аналізу цього порушення безпеки? Чи є деякі журнали безпеки на Mac OS X, які я можу перевірити?

Які ще вимірювання слід зробити? І наскільки серйозно я повинен сприймати це попередження від Mac OS X?

Система : Macbook Pro Intel Core 2 Duo 2.2 Ghz
ОС : Mac OS X 10.5.8
Мережа : бездротовий WPA2-PSK
Відповідне програмне забезпечення : Parallels Desktop з Windows XP (було відкрито, але на час зупинено)

Інші системи в моїй мережі:
робочий стіл Windows XP SP3 (працював у той час)

Якщо вам потрібна додаткова інформація, не поспішайте питати.

^† Фактичне повідомлення було голландською мовою, ймовірно, щось подібне до /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Зміст / Ресурси / Dutch.lproj :

Het draadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan is aangetast.

Це повідомлення, яке ви отримуєте, коли картка / драйвер AirPort виявляє два відмови TICP "MIChael" MIC (перевірка доброчесності повідомлення) протягом 60 секунд або повідомляється про такі збої AP.

Шифрування TKIP, яке було покладено в основу оригінальної WPA і все ще може бути включене під WPA2 у тому, що відомо як "Змішаний режим WPA2", мала невелику ймовірність випадкових відмов MIC, але два відмови протягом 60 секунд занадто навряд чи можуть бути випадковістю, тому Специфікація WPA трактує це як напад і вимагає, щоб мережа знизилася на хвилину-дві, щоб зірвати нападників.

Шифрування AES-CCMP, що є основою WPA2, також має MIC (ну, вони називають це MAC - перевірка автентичності повідомлення - це "M" CCMP), але я не згадую верхню частину свого визначте, що має статися, якщо стався збій AES-CCMP MAC. Я не думаю, що це передбачає тимчасове відключення мережі.

Напевно, найімовірніший сценарій - це те, що ви просто потрапили в якусь помилку, де або AP або клієнт закрутили свою обробку MIC, або де випадково спрацьовував код обробки помилок MIC.

Я бачив, що в цій області є бездротові картки, особливо це працює в розбещеному режимі. Ви можете переконатися, що Parallels або щось інше не переводить вашу бездротову карту в розмитий режим. Запустіть ifconfig en1(якщо en1 - це Ваша картка AirPort, як це зазвичай є) і перегляньте у списку прапорців інтерфейсу ("Вгору, БРОШКА ...") прапор PROMISC. Деяке програмне забезпечення VM використовує режим проміску для включення "мостових" або "спільних" мереж, принаймні для дротових інтерфейсів Ethernet. Оскільки багато бездротових карт не справляються з розбещеним режимом, більшість сучасних програм VM обережні, щоб не перевести бездротовий інтерфейс у розрядний режим.

Можливо, але малоймовірно, що хтось возився з вами, підробивши фрейм 802.11 з автоматичним підтвердженням відповідного коду причини, про який клієнт потім послушно повідомив про стек.

На сьогоднішній день найменш вірогідний сценарій - це те, що хтось насправді здійснював атаку на вашу мережу.

Якщо проблема повториться, трасування пакета в режимі монітора 802.11 - це, мабуть, найкращий спосіб записати атаку. Але я відчуваю, що пояснення того, як зробити гарний слід пакетів 802.11 в режимі монітора під 10.5.8, виходить за рамки цієї відповіді. Я це згадаю/var/log/system.log може розповісти вам більше про те, що бачив клієнт / драйвер AirPort у той час, і ви можете трохи підвищити рівень журналу за допомогою

sudo /usr/libexec/airportd -d

Snow Leopard має набагато кращий журнал налагодження AirPort, тому якщо ви оновите до Snow Leopard, команда така:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

На сніговому леопарді нюхати легко:

sudo /usr/libexec/airportd en1 sniff 1

(Цей приклад передбачає, що ваша картка AirPort є en1, а ваша AP - на каналі 1.)

Відповідно до цієї теми , повідомлення надходить від драйвера AirPort, коли він виявляє проблему з перевіркою цілісності повідомлення TKIP або пов'язаною контрольною сумою.

Таким чином, або ваша мережа порушена атаками ін'єкцій TKIP , або просто маршрутизатор неправильно обчислює MIC або контрольну суму, або пакети пошкоджуються під час передачі через перешкоди інших маршрутизаторів, що працюють на подібних діапазонах частот .

Запропонований спосіб уникнути цього - це перейти на інший маршрутизатор або, якщо можливо, використовувати тільки шифрування WPA2.

Див.: Як уникнути стандартної атаки бездротової безпеки WPA?

TKIP був створений як швидке виправлення для старших AP та клієнтів, які були каліками WEP. Замість того, щоб використовувати той самий ключ для шифрування кожного пакету, TKIP використовує RC4 з іншим ключем для кожного пакету. Ці ключі в пакеті нейтралізують сухарі для шифрування WEP. Крім того, TKIP використовує перевірену цілісність перевірки цілісності повідомлень (MIC) для виявлення пакетів, які відтворюються або підробляються. Будь-хто може надіслати (тобто вводити) зашифрований TKIP пакет, який був захоплений та модифікований, але ці пакети відкидаються, оскільки MIC та контрольна сума не відповідають даним, переданим пакетом. AP, які використовують TKIP, зазвичай передають повідомлення про помилку, коли приймається перший поганий MIC.Якщо другий поганий пакет надходить протягом 60 секунд, AP перестає прослуховувати ще на хвилину, а потім "відновлює" WLAN, вимагаючи від всіх клієнтів почати використовувати новий "парний головний ключ" для генерації як ключа MIC, так і тих, що шифруються на пакет. ключі.

Це закупорило зенітні отвори, залишені WEP. Усі продукти, сертифіковані за WPA, можуть використовувати TKIP та його MIC, щоб протистояти атак підслуховування, підробки та повторного нападу даних.