在过去一周左右的时间里,我家里的 wifi 一直存在问题,而且我的邻居似乎设置了一个 Pineapple 或类似的东西,它正在运行已知的信标攻击和/或 Karma/Dogma。它还会干扰连接到我的 WPA2 AP 的设备。
症状:
- 20 或 30 个 SSID 的轮换列表显示常见名称(attwifi、Google Starbucks、wifi...)和非常具体的名称(城市图书馆 wifi 的 SSID、随机默认路由器 SSID,如 SpectrumXXXX、Fios-XXXX)。
- 连接到其中一个 SSID 会提示登录,这会向 Android、iOS 和 MacOS 设备(但不是 Windows 10 设备)显示虚假的 FB、Google 或其他网络钓鱼页面
- 似乎存在某种 wifi 干扰。我的 WPA2 AP 在我家中的信号比流氓 AP 更强,但设备需要 10-30 分钟才能自动连接到我的网络。设备说已连接,没有互联网,并且在反复重新连接后最终将开始工作,或者让设备运行将允许它连接。这对于智能电视来说尤其烦人,要等待 20 分钟才能开始运行。
- 邪恶双胞胎看起来很简单,它为所有 SSID 提供相同的 MAC,从 00:13:37 开始,始终是通道 11,仅 2.4 Ghz
- 东西很强大。我在手机上使用了一个 stumbler 应用程序,它的信号半径超过 250m,而且似乎没有方向性。靠得太近(距离它约 100 英尺)会导致我手机的 wifi 停止响应,并且我收到一条关于 wifi 被卡住的消息。100 英尺在马路中间,所以当我在我家附近开车时,它的强度足以让我的手机出错。
MAC 地址表明它可能是 PineAP,或者可能是运行 wifiPhisher 的设备。回显的 AP 名称似乎可以由 wifi 收割机收集,或者可能来自 stumbler 或数据库。
我主要对我的接入点的干扰感到沮丧。我在我的 AP(Unifi)和路由器(Frontier,运行 DHCP)中似乎没有任何问题,没有额外的客户端或奇怪的流量,但它们的数据收集能力有限。我刚刚订购了一个 Alfa wifi 适配器,看看我是否可以检测到 aireplay 或其他一些异常活动,表明我的 AP 受到 DoS 或 deauth 或其他一些攻击。
我需要寻找什么来检测攻击?我猜如果它正在发生,airodump 应该会给我一个攻击的迹象,但我真的不知道要寻找什么。
如何防止自动连接到 SSID 或阻止恶意 AP?
处理设备的任何其他想法?
是否有一个简单的工具可以用数据向网络钓鱼表单发送垃圾邮件?似乎在循环中向恶意 AP 提交垃圾登录最终会填满存储空间并可能干扰其操作,另外还有一个好处是可以隐藏粗心的人输入的任何真实凭据。
澄清
大多数评论都建议使用两种方法之一,与邻居交谈或报警。我理解这些选项,但在我这样做之前我想了解更多的意图和风险。
打个比方,如果一个邻居把他们的 1000 瓦泛光灯开着,它照在我卧室的窗户上,那真的很烦人,而且邻居也很不体贴。正确的反应是去和邻居谈谈。如果邻居躲在灌木丛中,拍摄视频并向我家照灯,那么邻居就是罪犯,应该联系执法部门。
我试图判断邻居是否买了一个新玩具,只是把它插在电源上,还是有恶意。如果是第一次,那么礼貌地询问将解决问题。如果是第二个,那么礼貌地询问会让他们意识到他们已被检测到,并可能导致更难以检测的更微妙的方法。将垃圾提交给他们的设备相当于打开我的泛光灯照亮他们的房子,也许是被动的攻击性,但也是对社会整合的推动。
我需要寻找什么来检测主动攻击与刚刚运行的库存渗透测试设备?在 airodump 中会很明显吗?还是其他什么工具?还有什么我应该寻找的吗?
为了回答一些问题,我在德克萨斯州的一个郊区城市,我不希望当地执法部门能够理解,除非我牵着他们的鼻子走(如果我很幸运的话)。FCC、FBI 或类似机构可能对此有点兴趣,但攻击某些家庭 wifi 或以超过允许的 1 瓦的功率传输是非常轻微的。
我没有看到设备主动冒充我的 SSID,而且它肯定没有提供 WPA,所以对我的连接的干扰要么是噪音,要么是主动 deauth 攻击(我如何检测到这一点?)
此外,该设备不提供功能性互联网连接。在网络钓鱼页面之后,它会转到类似 401 的消息,仅此而已,因此它不能嗅探没有发生的 http 流量。