Bagaimana saya mendeteksi jika seseorang mencuri bandwidth broadband saya?

23

Saya sangat paranoid tentang koneksi nirkabel dan seseorang mencuri bandwidth broadband saya, yang dapat menyebabkan hal-hal yang lebih buruk.

Pertanyaan saya adalah, bagaimana saya bisa mendeteksi jika bandwidth broadband saya dicuri?

Saya memiliki router nirkabel Belkin SURF + N300.

Idealnya, akan keren jika saya mendapatkan peringatan secara otomatis, tetapi jika itu tidak mungkin, maka proses manual akan baik-baik saja.

oshirowanen
sumber
2
Mengenai bendera di luar topik, bayangkan pertanyaannya adalah "Bagaimana cara mendeteksi pencuri bandwidth dengan Ubuntu?". Jawaban untuk ini untuk sistem operasi yang berbeda akan sangat bervariasi. Karena ini diposkan di sini, mari mulai dengan solusi berbasis Ubuntu.
Oli
4
Jika saya menggunakan windows dan ada jendela tanya, saya akan memposting di sana, tetapi karena saya menggunakan ubuntu, askubuntu harus menjadi tempat terbaik untuk mengajukan pertanyaan seperti itu.
oshirowanen

Jawaban:

19

Saya punya tiga ide untuk Anda. Mereka semua memiliki bagian kompleksitasnya dan Anda dapat mencampur dan mencocokkan sesuai keinginan Anda. Yang pertama mungkin yang paling mudah, tetapi paling tidak kuat (sendiri).

1. Deteksi MAC pasif

Cara standar adalah melacak alamat MAC yang meminta alamat DHCP dari router. Sebagian besar router menyediakan layar gaya "Perangkat Terlampir" yang akan memberi tahu Anda siapa yang terhubung.

Ini tidak otomatis, tetapi Anda dapat (cukup mudah) membuat skrip Bash / Python untuk menarik halaman router ke bawah, parsing alamat MAC dan periksa mereka terhadap daftar alamat MAC yang dikenal / diizinkan.

Masalahnya di sini adalah tidak ada yang instan. Anda mengandalkan router untuk memperbarui halamannya dan Anda harus sering polling ini. Beberapa router tidak akan menyukai ini. Saya memiliki router Edimax jelek yang mogok jika Anda memuat lebih dari 10 halaman dalam satu menit (menyedihkan!) Jadi ini mungkin tidak berfungsi.

Alamat MAC juga sangat palsu. macchangermisalnya, akan membiarkan Anda menipu alamat MAC Anda dalam satu perintah. Saya pikir bahkan Manajer Jaringan akan membiarkan Anda melakukannya. Jika seseorang tidak ingin terdeteksi, mereka akan memonitor lalu lintas jaringan dan memalsukan salah satu perangkat yang valid (dikenal).

2. Aktif mengendus

Di sinilah kita merobek roda dan menggali. Anda akan membutuhkan sesuatu nirkabel atau lain di tempat yang dapat mencegat lalu lintas ke / dari router (idealnya cukup dekat dengan itu).

Singkatnya, Anda terhubung airodump-ngdan Anda melihat orang-orang terhubung ke jaringan Anda. Seharusnya dimungkinkan untuk skrip output ini sehingga ketika perangkat baru muncul dan mulai menggunakan jaringan Anda, Anda dapat langsung melakukan sesuatu .

Idenya adalah Anda menjalankan ini saat boot (sebagai root):

airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0

Ganti BSSID dengan titik akses Anda.

Ini menulis file peningkatan otomatis yang dapat diuraikan secara teratur. Versi di atas menulis file nilai yang dipisahkan koma yang cukup mendasar tetapi jika Anda senang dengan XML (Python dapat membuatnya sangat sederhana) Anda mungkin ingin melihat netxmlformat output untuk airodump.

Apa pun itu, ini memberi Anda informasi rutin tentang perangkat mana yang menggunakan jaringan (dan berapa banyak lalu lintas yang mereka kirim juga). Ini masih bisa salah seperti menggunakan tabel ARP router, tapi itu langsung.

Saat Anda dalam mode promiscuous, jika skrip Anda mengambil klien yang dianggapnya tidak berada di jaringan, Anda dapat menggunakan tcpdumpuntuk menjaring paket dan mencatat pertukaran minat (permintaan HTTP, dll). Ini lebih banyak pemrograman tetapi bisa dilakukan.

3. Sidik jari dengan nmap

Metode lain adalah menyapu jaringan untuk klien dengan nmap. Biasanya, Anda mungkin berpikir, ini tidak akan banyak membantu Anda, jika seseorang memblokir ping, itu mungkin tidak muncul.

Saya sarankan Anda menggunakan ini bersama dengan salah satu dari dua metode lainnya. 1akan memberi Anda alamat IP sehingga Anda dapat nmap secara langsung. 2tidak akan memberi Anda IP tetapi itu akan memberi tahu Anda berapa banyak klien yang nmapharus ditemukan, pada saat yang tepat. Pastikan semua perangkat Anda dapat di-ping.

Ketika nmapdijalankan (mis. sudo nmap -O 192.168.1.1/24) Ia akan mencoba mencari host dan kemudian akan melakukan port-scan pada mereka untuk mengetahui apa itu. Daftar periksa Anda harus mencakup bagaimana masing-masing perangkat Anda harus merespons nmap.

Jika Anda ingin melangkah lebih jauh, Anda dapat menjalankan server sederhana di setiap komputer Anda. Hanya sesuatu yang menerima koneksi dan kemudian menjatuhkannya. Singkatnya: Sesuatu untuk nmapdicari. Jika ternyata terbuka, itu mungkin komputer Anda.

4. Amankan jaringan Anda dengan lebih baik

Anda harus benar-benar melakukan ini terlebih dahulu jika Anda khawatir. Gunakan WPA2 / AES. Jangan pernah menggunakan WEP (retak dalam waktu sekitar lima menit).

Jika Anda masih khawatir seseorang akan menemukan kunci (WPA2 membutuhkan banyak data dan waktu komputasi untuk memecahkannya), pindahlah ke model RADIUS. Ini adalah kerangka kerja otentikasi yang mengatur kunci satu kali untuk setiap pengguna. PITA untuk mengaturnya.

Tapi yang harus dilakukan ..?

Jika saya tidak senang dengan hal-hal, saya mungkin akan secara manual menonton airodump. Jika saya masih tidak bahagia, saya akan mulai sidik jari hal-hal yang saya lihat. Agak sulit (tidak berarti mustahil) untuk skrip sekalipun.

Script yang paling mudah adalah router-scraping dengan fingerprinting from nmap. Singkat dan sederhana.

Oli
sumber
5

Saran saya, Oli 1.

Jika "penyerang" Anda mendapatkan akses tanpa perlu mem-spoof alamat mac-nya, ia akan menganggap Anda bahwa tidak mungkin Anda memonitor alamat MAC Anda.

Gunakan dhcpd Anda sendiri dengan suatu acara untuk memicu email jika perlu.

Saya akan harus melakukan riset, tetapi jika itu saya, saya akan menjalankan dhcpd saya sendiri pada kotak linux yang terhubung ke router (atau menggunakan openwrt), dan kemudian surel saya jika ada jika macaddress meminta alamat whats bukan pada daftar putih.

EDIT: http://linux.die.net/man/5/dhcpd.conf memiliki semua sumber daya yang Anda butuhkan untuk menyelesaikan ini. Buat saja acara untuk mengeksekusi skrip yang akan memeriksa daftar putih, jika alamat mac tidak ada dalam daftar putih, minta ia mengirimkan sendiri email. Lihat juga http://ubuntuforums.org/showthread.php?t=1328967

pengguna606723
sumber
2
Pertanyaannya tentang Wifi. Merekomendasikan kepada pengguna untuk tidak menggunakan Wifi tidak berguna untuk situasi tersebut.
Thomas Ward
1
Saya suka ide menjalankan sendiri dhcpd. Apakah menyulitkan pengaturan jaringan sedikit tetapi di sana Anda pergi.
Oli
1
Ya sedikit. Tetapi hanya perlu 10 menit untuk pengaturan. Jujur, saya akan menggunakan openwrt sebagai gantinya. 'N3000' adalah deskripsi yang sangat kabur dari sebuah router, tapi saya pikir dia akan menjalankan openwrt. Dengan cara ini jaringan tidak akan 'turun' jika kotak dengan dhcpd melakukannya.
user606723