Komische APs im WLANmonitor

putzlowitsch · Beitrag von **putzlowitsch** » 14 Mär 2007, 11:27

Seit kurzem tauchen in der Liste der APs massig komische Einträge auf (siehe Bild). Die BSSIDs sehen wie zufällig erstellt aus.

Hat jemand sowas schon mal gesehen? Ist das irgendwie ein Angriffsversuch oder vielleicht nur verücktspielende Hardware?
Von einem meiner APs geht das mit Sicherheit nicht aus, muß irgendwas in meiner Umgebung sein.

Gruß
Ingo

harrymomsen · Beitrag von **harrymomsen** » 14 Mär 2007, 11:56

Da scheint jemand in der Nachbarschaft das Tool "Fake AP" zu benutzen.

Ich zitiere: "Mit Hilfe des Fake-AP-Tools lassen sich gleichzeitig mehrere tausend Access-Points simulieren, so dass ein Angreifer in die Irre geführt wird."

Harry

putzlowitsch · Beitrag von **putzlowitsch** » 14 Mär 2007, 12:11

Moment mal, das ist also kein Angriff sondern es soll Angriffe abwehren?
Wer hat sich denn sowas ausgedacht. Ich halte das für überaus fragwürdig.

Seltsamerweise wir dafür auch ab und zu meine SSID verwendet, was ich nun wieder gar nicht lustig finde.

Aber es wird wohl sowas sein, wie Du schreibst.

Gruß
Ingo

stefanbunzel · Beitrag von **stefanbunzel** » 14 Mär 2007, 20:48

Ich habe das gleiche Phänomen hier in meinem Netz, war aber bisher der Meinung, dass dies von WLAN's kommt, welche in einem Ad-hoc-Modus betrieben werden. Ich glaube nicht, dass einer meiner Nachbarn hier Linux auf seinem PC hat.
Wie könnte man noch rauskriegen, wer oder was das ist?

Stefan

putzlowitsch · Beitrag von **putzlowitsch** » 14 Mär 2007, 21:58

Das mit den Ad-Hoc-Verbindungen dachte ich auch erst. Ich hatte sowas mal testweise in Betrieb. Da wurden zwar auch jedes mal neue BSSIDs erzeugt, die sahen aber immer so aus 02:xx:xx:xx:xx:xx, hatten also am Anfang immer eine 02 zu stehen. Das war also nicht ganz sowas chaotisches wie im Bild oben.

Gruß
Ingo

alf29 · Beitrag von **alf29** » 15 Mär 2007, 05:41

Moin,

ob es sich bei den Netzen um Adhoc-Netze handelt, kann man zur Not direkt im AP in
der Scan-Tabelle nachsehen.

Dieses 'Faken' von APs ist übrigens bestenfalls ein ähnlicher Pseudo-Schutz wie das
Verstecken der SSID, denn durch Beobachten des sonstigen Verkehrs (was neben
diesen Beacons noch läuft) läßt sich sehr einfach herausfinden, welche BSSID denn
nun die richtige ist. Dieses Verschleudern von Fake-Paketen kostet auch einiges an
Bandbreite, je nachdem wie viele dieser Fake-Pakete man verschickt.

Bei Adhoc-Netzen ist eine zufällig ausgewürfelte BSSID dagegen normal und völlig
standardkonform, das gesetze Bit 1 im ersten Byte zeigt an, daß es sich um eine
'locally administered address' handelt, also eine Adresse, die nicht vom IEEE vergeben
wird. In dem Screenshot oben scheit dieses Bit übrigens auch bei allen BSSIDs bis
auf eine gesetzt zu sein - wenn FakeAP für die falschem BSSIDs immer solche Adressen
nimmt (was er erigentlich tun muß, um nicht in Konflikt mit einem anderen AP zu kommen,
dann lassen sich die falschen BSSIDs noch leichter aussortieren.

Gruß Alfred

putzlowitsch · Beitrag von **putzlowitsch** » 15 Mär 2007, 09:11

Danke für die ausführlichen Informationen.

Ich habe mal bei den Scan-Resultaten nachgesehen, tatsächlich werden alle diese "komischen" BSSIDs mit der Betriebsart Adhoc gelistet. Außer der ganz oben (00040e8ec773), das ist wohl ein echter AP (ergibt für die Herstellerkennung auch AVM GmbH).

Wie auch immer, etwas dagegen tun werde ich sowieso nicht können. Ich kann ja nicht mal eben auf Verdacht bei allen Nachbarn klingeln und sagen, sie mögen doch ihre WLAN-Konfiguration ändern.

Vielleicht könnte aber in die nächste Version des WLANmonitors ein Filter eingebaut werden, welches die Anzeige solcher "Geräte" unterdrückt.

Gruß
Ingo