Curiosity is insubordination in its purest form. -Vladimir Nabokov

sábado, 1 de julio de 2006

NetStumbler detection

Netstumbler es bastante "ruidoso".

Podriamos aplicar un filtro en Ethereal tal que asi:
(wlan.fc.type_subtype eq 32 and llc.oui eq 0x00601d and 11.pid eq 0x0001) and (data[4:4] eq 41:6c:6c:20 or data[4:4] eq 6c:46:72:75 or data[4:4] eq 20:20:20:20)

y ya tendriamos una firma de ataque de Netstumbler, tal y como se describe en el articulo Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection de Joshua Wright. Verificado.

Si lo queremos hacer con Snort-Wireless, podemos detectar trafico procedente de Netstumbler mediante el AntiStumbler Preprocessor. Hay que modificar el snort.conf añadiendo
preprocessor antistumbler: pets_sonda [num], period_sonda [num], period_expirac [num]

donde
pets_sonda: Es el numero de peticiones sonda que activa una alarma.
period_sonda: Es el periodo de tiempo en segundos para el que se mantiene la cuenta de peticiones sonda con SSID nulo.
period_expirac: Es el tiempo en segundos antes de que se elimine al ataque detectado de la lista.

Algunas caracteristicas que identifican a Netstumbler:

Envia un campo de sonda de datos con encapsulado LLC a los APs que:

-Usan un Identificador Unico de Organizacion (OID) con el valor 0x00601d y un identificador de protocolo (PID) con valor 0x0001.
-Los marcos tienen una carga de datos de 58 bytes.

Algunas versiones de NetStumbler añaden una cadena ASCII unica a esta carga de datos:

-NetStumbler 3.2.0: "Flurble glonk bloopit, bnip Frundletrune"
-NetStumbler 3.2.3: "All your 802.11b are belong to us"
-NetStumbler 3.3.0: "intentionally blank 1"

Otra "feature" de NetStumbler es que transmite peticiones sonda a una frecuencia mayor que la frecuencia de envio de peticiones sonda de los barridos habituales. Este informe requiere una comprobacion adicional.

Tambien podemos jugar hasta conseguir otra manera mas ingeniosa de hacerlo.

¿Podemos detectar NetStumbler con nuestro AP? Hay una maravilla con Linksys que se llama NSSpyglass..

Instalamos NSSPYGlass:

1
. Requisito -> winpcap

2. El equipo donde va a correr NSSpyglash tiene que estar asociado el AP.

3. Instalamos.

4. Configuramos. Editamos el archivo NSSpyglass.ini y cambiamos la primera linea por la MAC del AP al que intentamos asociar. Y listo, arrancamos NSSpyglass

Por cierto, requiere las winpcap.

¿Alternativas a NetStumbler?

He leido que MiniStumbler, el hermano pequeño de NetStumbler para Pocket PC, no envia sondas de datos a los APs descubiertos, por lo que es mas dificil de identificar. No lo he comprobado.

Y kismet es bastante mas silencioso, su barrido es pasivo.

Related Posts by Categories



0 comentarios :