Comment détecter si quelqu'un vole ma bande passante haut débit?

23

Je suis très paranoïaque à propos des connexions sans fil et de quelqu'un qui vole ma bande passante à large bande, ce qui pourrait conduire à des choses pires.

Ma question est, comment puis-je détecter si ma bande passante haut débit est volée?

J'ai un routeur sans fil Belkin SURF + N300.

Idéalement, ce serait cool que je sois alerté automatiquement, mais si ce n'est pas possible, alors un processus manuel serait bien.

oshirowanen
la source
2
En ce qui concerne les indicateurs hors sujet, imaginez que la question est "Comment détecter les voleurs de bande passante avec Ubuntu?". Les réponses à cela pour différents systèmes d'exploitation varieront considérablement. Étant donné que cela a été publié ici, allons-y avec les solutions basées sur Ubuntu.
Oli
4
Si j'utilisais des fenêtres et qu'il y avait un askwindows, j'aurais posté là-bas, mais comme j'utilise ubuntu, askubuntu doit être le meilleur endroit pour poser une telle question.
oshirowanen

Réponses:

19

J'ai trois idées pour toi. Ils ont tous leur part de complexité et vous pouvez mélanger et assortir comme bon vous semble. Le premier est probablement le plus simple, mais le moins robuste (seul).

1. Détection passive MAC

La manière standard serait de garder une trace des adresses MAC qui demandent des adresses DHCP au routeur. La plupart des routeurs fournissent un écran de style «Périphériques connectés» qui vous indiquera qui se connecte.

Ce n'est pas automatique, mais vous pouvez (assez facilement) créer un script Bash / Python pour tirer la page du routeur vers le bas, analyser les adresses MAC et les comparer à une liste d'adresses MAC connues / autorisées.

Le problème ici est que rien n'est instantané. Vous comptez sur le routeur pour mettre à jour sa page et vous devez l'interroger fréquemment. Certains routeurs n'aimeront pas cela. J'ai un routeur Edimax merdique qui se bloque si vous chargez plus de 10 pages en une minute (pathétique!), Donc cela pourrait ne pas fonctionner.

Les adresses MAC sont également terriblement usurpées. macchangerpar exemple, vous permettra d'usurper votre adresse MAC en une seule commande. Je pense que même Network Manager vous permettra de le faire. Si quelqu'un ne veut pas être détecté, il surveillera le trafic réseau et usurpera l'un des appareils valides (connus).

2. Reniflement actif

C'est là que nous déchirons les roues et creusons. Vous aurez besoin de quelque chose ou autre sans fil de rechange dans un endroit qui peut intercepter le trafic vers / depuis le routeur (idéalement assez proche de lui).

En bref, vous vous connectez airodump-nget vous regardez les gens connectés à votre réseau. Il devrait être possible de créer un script pour cette sortie. Ainsi, lorsqu'un nouveau périphérique apparaît et commence à utiliser votre réseau, vous pouvez instantanément faire quelque chose .

L'idée serait que vous exécutiez cela au démarrage (en tant que root):

airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0

Remplacez le BSSID par celui de votre point d'accès.

Cela écrit un fichier auto-incrémenté qui peut être analysé régulièrement. La version ci-dessus écrit un fichier de valeurs séparées par des virgules qui est assez basique mais si vous êtes satisfait de XML (Python peut le rendre assez simple), vous voudrez peut-être regarder le netxmlformat de sortie pour airodump.

Quoi qu'il en soit, cela vous donne des informations régulières sur les appareils qui utilisent le réseau (et la quantité de trafic qu'ils envoient également). C'est toujours aussi faillible que d'utiliser la table ARP du routeur, mais c'est en direct.

Pendant que vous êtes en mode promiscuité, si votre script détecte un client qu'il pense qu'il ne devrait pas être sur le réseau, vous pouvez utiliser tcpdumppour parcourir les paquets et consigner les échanges d'intérêt (requêtes HTTP, etc.). C'est plus de programmation mais cela peut être fait.

3. Empreintes digitales avec nmap

Une autre méthode consiste à balayer le réseau pour les clients avec nmap. Normalement, vous pourriez penser que cela ne vous aiderait pas trop, si quelqu'un bloque les pings, cela pourrait ne pas apparaître.

Je vous suggère de l'utiliser en conjonction avec l'une des deux autres méthodes. 1vous donnera l'adresse IP afin que vous puissiez nmap directement. 2ne vous donnera pas d'adresse IP, mais il vous permettra de savoir combien de clients nmapdevraient s'attendre à trouver, à ce moment précis. Assurez-vous que tous vos appareils sont pingables.

Lors de l' nmapexécution (par exemple sudo nmap -O 192.168.1.1/24), il essaiera de trouver des hôtes, puis effectuera une analyse de port sur eux pour déterminer ce qu'ils sont. Votre liste de contrôle doit inclure la réponse de chacun de vos appareils nmap.

Si vous voulez aller plus loin, vous pouvez exécuter un simple serveur sur chacun de vos ordinateurs. Juste quelque chose qui a accepté une connexion et l'a ensuite abandonnée. En bref: quelque chose nmapà rechercher. S'il le trouve ouvert, c'est probablement votre ordinateur.

4. Sécurisez mieux votre réseau

Vous devriez en fait le faire en premier si vous êtes inquiet. Utilisez WPA2 / AES. N'utilisez jamais de WEP (se fissure en cinq minutes environ).

Si vous craignez toujours que quelqu'un découvre la clé (WPA2 prend beaucoup de données et de temps de calcul pour se fissurer), passez à un modèle RADIUS. Il s'agit d'un cadre d'authentification qui définit une clé unique pour chaque utilisateur. PITA à mettre en place cependant.

Mais que faire ..?

Si je n'étais pas satisfait des choses, je regarderais probablement manuellement airodump. Si je n'étais toujours pas heureux, je commencerais à prendre les empreintes digitales des choses que j'ai vues. Un peu difficile (en aucun cas impossible) à écrire cependant.

Le plus simple à scripter sera le raclage de routeur avec empreinte digitale nmap. Court et simple.

Oli
la source
5

Ma suggestion, Oli's 1.

Si votre "attaquant" y accède sans avoir besoin d'usurper son adresse mac, il supposera que vous ne contrôlez pas vos adresses MAC.

Utilisez votre propre dhcpd avec un événement pour déclencher un e-mail si nécessaire.

Je vais devoir faire des recherches, mais si c'était moi, je lancerais mon propre dhcpd sur une boîte linux connectée au routeur (ou utiliser openwrt), puis je m'envoie un e-mail s'il y a là si une macaddress demande une adresse ce qui n'est pas sur une liste blanche.

EDIT: http://linux.die.net/man/5/dhcpd.conf a toutes les ressources dont vous avez besoin pour y parvenir. Créez simplement un événement pour exécuter un script qui vérifiera sur une liste blanche, si l'adresse mac n'est pas sur la liste blanche, faites-vous envoyer un e-mail. Voir également http://ubuntuforums.org/showthread.php?t=1328967

user606723
la source
2
La question concerne le Wifi. Recommander à un utilisateur de ne pas utiliser le Wifi n'est pas utile à la situation.
Thomas Ward
1
J'aime l'idée de gérer le vôtre dhcpd. Cela complique légèrement la configuration du réseau, mais c'est parti.
Oli
1
Oui, légèrement. Mais la configuration ne prendrait que 10 minutes. Honnêtement, j'utiliserais plutôt openwrt. 'N3000' est une description vraiment vague d'un routeur, mais je pense qu'il fonctionnera en openwrt. De cette façon, le réseau ne tomberait pas si la boîte avec le dhcpd le faisait.
user606723