प्रतीत होता है कि वायरलेस नेटवर्क से छेड़छाड़ की गई है और इसे लगभग एक मिनट के लिए निष्क्रिय कर दिया जाएगा

मुझे अपने मैक ओएस एक्स सिस्टम पर मुझे एक संदेश मिला है:

प्रतीत होता है कि वायरलेस नेटवर्क से छेड़छाड़ की गई है और इसे लगभग एक मिनट के लिए निष्क्रिय कर दिया जाएगा। ^†

(यह एक वायरलेस WPA2-PSK सुरक्षित नेटवर्क BTW है)

नमूना संदेश:

मैंने अपने राउटर (एक Zyxel P-2602HW-D1A) के लॉग में केवल कुछ (आउटबाउंड) "सिंक फ्लड टीसीपी एटीटैक" लॉग देखे, लेकिन वे एक सप्ताह पहले जैसे थे, इसके अलावा कुछ भी नहीं था। मैक ओएस एक्स पर मुझे इस सुरक्षा भंग होने की घटना का क्या विश्लेषण करना है? क्या मैक ओएस एक्स पर कुछ सुरक्षा लॉग हैं जिनका मैं निरीक्षण कर सकता हूं?

मुझे और क्या उपाय करने चाहिए? और मुझे मैक ओएस एक्स से यह चेतावनी कितनी गंभीर लेनी चाहिए?

सिस्टम : मैकबुक प्रो इंटेल कोर 2 डुओ 2.2 गज़
ओएस : मैक ओएस एक्स 10.5.8
नेटवर्क : वायरलेस डब्ल्यूपीए 2-पीएसके
प्रासंगिक सॉफ्टवेयर : विंडोज एक्सपी के साथ समानताएं डेस्कटॉप (खुला था, लेकिन उस समय रोक दिया गया था)

मेरे नेटवर्क पर अन्य प्रणालियाँ:
Windows XP SP3 डेस्कटॉप (उस समय चल रहा था)

यदि आपको किसी और जानकारी की आवश्यकता है, तो पूछना न भूलें।

^† वास्तविक संदेश डच में था, शायद से निम्नलिखित की तरह कुछ /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / सामग्री / संसाधन / Dutch.lproj :

Het draadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan aangetast है।

वह संदेश जो आपको मिलता है जब AirPort कार्ड / ड्राइवर दो TKIP "MIChael" एमआईसी (संदेश अखंडता जाँच) का पता लगाता है, 60 सेकंड के भीतर विफल रहता है, या एपी द्वारा ऐसी विफलताओं को अधिसूचित किया जाता है।

TKIP एन्क्रिप्शन, जो मूल WPA का आधार था और अभी भी WPA2 के तहत सक्षम हो सकता है जिसे "WPA2 मिश्रित मोड" के रूप में जाना जाता है, में यादृच्छिक एमआईसी विफलताओं की एक छोटी संभावना थी, लेकिन 60 सेकंड के भीतर दो विफलताएं भी यादृच्छिकता होने की संभावना नहीं है, इसलिए डब्ल्यूपीए कल्पना इसे एक हमले के रूप में मानती है, और नेटवर्क को हमलावरों को विफल करने के लिए एक या दो मिनट के लिए नीचे जाने की आवश्यकता होती है।

एईएस-सीसीएमपी एन्क्रिप्शन जो कि डब्ल्यूपीए 2 का आधार है, में एक एमआईसी भी है (ठीक है, वे इसे मैक कहते हैं - संदेश प्रमाणीकरण जांच - यह सीसीएमपी का 'एम' है), लेकिन मैं अपने शीर्ष को वापस नहीं बुलाता हूं यदि AES-CCMP मैक विफलता है तो क्या होना चाहिए। मुझे नहीं लगता कि इसमें नेटवर्क को अस्थायी रूप से डाउन करना शामिल है।

अब तक सबसे संभावित परिदृश्य यह है कि आप बस कुछ बग को हिट करने के लिए हुए थे, जहां एपी या क्लाइंट ने अपने एमआईसी हैंडलिंग को खराब कर दिया था, या जहां एमआईसी-विफलता-हैंडलिंग कोड गलती से चालू हो गया था।

मैंने देखा है कि इस क्षेत्र में वायरलेस कार्ड में कीड़े हैं, विशेष रूप से प्रोमिसस मोड में चल रहे हैं। आप यह सुनिश्चित करना चाहते हैं कि समानताएं या कुछ और आपके वायरलेस कार्ड को जरूरी मोड में नहीं डाल रही हैं। भागो ifconfig en1(यदि en1 आपका AirPort कार्ड है, जैसा कि आमतौर पर है) और PROMISC ध्वज के लिए इंटरफ़ेस फ़्लैग सूची ("UP, BROADCAST ...") को देखें। कुछ VM सॉफ़्टवेयर प्रमुख मोड का उपयोग "ब्रिजित" या "साझा" नेटवर्किंग को सक्षम करने के लिए करते हैं, कम से कम वायर्ड ईथरनेट इंटरफेस के लिए। क्योंकि कई वायरलेस कार्ड अच्छी तरह से प्रोमिसिट मोड को हैंडल नहीं करते हैं, इसलिए अधिकांश आधुनिक वीएम सॉफ़्टवेयर वायरलेस इंटरफ़ेस को प्रोमिसस मोड में नहीं रखने के लिए सावधान हैं।

यह संभव है, लेकिन संभावना नहीं है, कि कोई व्यक्ति प्रासंगिक कारण कोड के साथ 802.11 डी-कोर फ्रेम बनाकर आपके साथ खिलवाड़ कर रहा था, जिसे क्लाइंट ने विधिवत रूप से स्टैक को रिपोर्ट किया था।

अब तक कम से कम संभावना परिदृश्य यह है कि कोई वास्तव में आपके नेटवर्क पर हमला शुरू कर रहा था।

यदि समस्या फिर से होती है, तो 802.11 मॉनिटर-मोड पैकेट ट्रेस शायद हमले को रिकॉर्ड करने का सबसे अच्छा तरीका है। लेकिन मुझे लगता है कि 10.5.8 के तहत एक अच्छा 802.11 मॉनिटर-मोड पैकेट ट्रेस कैसे करना है, यह समझाना इस उत्तर के दायरे से परे है। मैं उस समय का उल्लेख करूंगा जो /var/log/system.logआपको उस समय AirPort क्लाइंट / ड्राइवर सॉफ़्टवेयर के बारे में और अधिक बताएगा, और आप लॉग इन को एक साथ बढ़ा सकते हैं

sudo /usr/libexec/airportd -d

स्नो लेपर्ड में एयरपार्ट डिबग लॉगिंग बहुत बेहतर है, इसलिए यदि आप स्नो लेपर्ड में अपग्रेड करते हैं, तो कमांड है:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

स्नो लेपर्ड पर सूँघना आसान है:

sudo /usr/libexec/airportd en1 sniff 1

(यह उदाहरण मानता है कि आपका AirPort कार्ड en1 है, और आपका AP चैनल 1 पर है)

इस थ्रेड के अनुसार , यह संदेश AirPort ड्राइवर से आता है जब यह TKIP संदेश इंटीग्रिटी चेक या संबद्ध चेकसम के साथ किसी समस्या का पता लगाता है ।

इसलिए मूल रूप से या तो आपके नेटवर्क को टीकेआईपी इंजेक्शन हमलों से समझौता किया जाता है , या बस राउटर गलत तरीके से एमआईसी या चेकसम की गणना कर रहा है, या समान आवृत्ति सीमाओं पर काम करने वाले अन्य राउटरों के हस्तक्षेप के कारण ट्रांसमिशन के दौरान पैकेट दूषित हो गए हैं ।

इससे बचने का सुझाया तरीका एक अलग राउटर में बदलना है या यदि संभव हो तो केवल WPA2 एन्क्रिप्शन का उपयोग करें।

देखें: WPA वायरलेस सुरक्षा मानक हमले से कैसे बचें?

TKP पुराने APs और WEP द्वारा अपंग किए गए ग्राहकों के लिए एक त्वरित समाधान के रूप में बनाया गया था। हर पैकेट को एन्क्रिप्ट करने के लिए एक ही कुंजी का उपयोग करने के बजाय, TKIP प्रत्येक पैकेट के लिए एक अलग कुंजी के साथ RC4 का उपयोग करता है। ये प्रति-पैकेट कुंजी WEP एन्क्रिप्शन पटाखे को बेअसर करती हैं। इसके अलावा, TKIP उन पैकेटों का पता लगाने के लिए एक कुंजी संदेश वफ़ादारी जाँच (MIC) का उपयोग करता है जो कि रिप्ले या जाली हैं। कोई भी एक TKIP- एन्क्रिप्टेड पैकेट भेज सकता है (जिसे इंजेक्ट किया गया है) जिसे कैप्चर और संशोधित किया गया है, लेकिन उन पैकेटों को गिरा दिया जाता है क्योंकि एमआईसी और चेकसम पैकेट द्वारा किए गए डेटा से मेल नहीं खाते हैं। टीकेआईपी का उपयोग करने वाले एपी आमतौर पर पहली खराब एमआईसी प्राप्त होने पर एक त्रुटि रिपोर्ट प्रसारित करते हैं।यदि कोई दूसरा खराब पैकेट 60 सेकंड के भीतर आता है, तो एपी एक और मिनट के लिए सुनना बंद कर देता है और फिर WLAN को "रीकी" करता है, जिससे सभी ग्राहकों को एमआईसी कुंजी और प्रति-पैकेट एन्क्रिप्शन दोनों उत्पन्न करने के लिए एक नई "जोड़ीदार मास्टर कुंजी" का उपयोग करना शुरू करना पड़ता है। चांबियाँ।

यह WEP द्वारा छोड़े गए गैपिंग प्लग को प्लग करता है। सभी डब्ल्यूपीए-प्रमाणित उत्पाद टीकेआईपी और इसके एमआईसी का उपयोग 802.11 डेटा ईगर्सड्रोपिंग, जालसाजी और फिर से खेलना हमलों का विरोध करने के लिए कर सकते हैं।