Detectar un sniffer en mi red

Yo creo que es más posible que tenga la misma MAC, porque al comprobar que sus MAC son rechazadas, ha creido que tendrías el filtro MAC para permitir solo tus MACs, y por eso te la ha clonado, para poder saltarse dicho filtro.

Por otro lado, si quieres comprobar si te esta haciendo un man-in-the-middle, creo que con vigilar el tráfico de tu PC vale, con WireShark, comprueba que los paquetes que te llegan no pasen o vayan en algún momento a su IP.

Y si quieres denunciar, simplemente ve e infórmate a comisaría, porque eso de recopilar información por tu cuenta no se si vale para algo, e incluso luego pueda volverse en tu contra...

WaterDark escribió:Yo creo que es más posible que tenga la misma MAC, porque al comprobar que sus MAC son rechazadas, ha creido que tendrías el filtro MAC para permitir solo tus MACs, y por eso te la ha clonado, para poder saltarse dicho filtro.

Por otro lado, si quieres comprobar si te esta haciendo un man-in-the-middle, creo que con vigilar el tráfico de tu PC vale, con WireShark, comprueba que los paquetes que te llegan no pasen o vayan en algún momento a su IP.

Y si quieres denunciar, simplemente ve e infórmate a comisaría, porque eso de recopilar información por tu cuenta no se si vale para algo, e incluso luego pueda volverse en tu contra...

Claro, ése es el punto. Tiene una MAC idéntica a la de mi dispositivo, ya que tengo un filtrado de MAC por lista negra (en vez de una lista blanca).
Lo que no entiendo es porqué no sale en la lista de clientes conectados en el router... Incluso en varias aplicaciones que estoy probando ésa IP no me sale. Sin embargo, con zANTI sí que aparece(tendría que probar con wifislax a ver si también aparece por ahí).
Por otro lado, lo de preguntar... seguramente me dirán lo de siempre: cambia tus claves y blablabla, o que incluso sea paranoia mía. Por éso prefería la opción de recopilar información sobre los dispositivos que se conecten.

PD: Ten en cuenta que de redes soy un noob total, así que tota la terminología y procedimientos aplicables a mi problema me suenan a chino.

EDIT: Yendo un poco más allá, ¿hay alguna forma de 'enlazar' una MAC con un dispositivo concreto, y que no admita una conexión de una MAC utilizada por un dispositivo que no es el que se supone que debe ser?

Me he confundido un poco, había pensado que cuando decías de detectar un sniffer, te referías a si estaba haciéndote un man-in-the-middle, lo que es algo grave de verdad.
No creo que puedas detectar si alguien esta escuchando paquetes para luego sacar la clave, ya que es algo pasivo.

Respecto a verificar que no son cosas tuyas, como el PING a la IP no es fiable, ya que el objetivo puede perfectamente hacerse el mudo, hay que fijarse en la capa inferior que son las direcciones MAC, ya hacerse el mudo a ese nivel requiere software más especializado del que se suele usar.

Si estas usando Windows, con los siguientes comandos podrías comprobar si realmente hay una máquina con esa IP en la red.
Lo primero que tienes que hacer es desconectar/apagar tu aparato que tenga la MAC que te han clonado, para que así solo quede el intruso con la MAC clonada.
Luego abres la línea de comandos(cmd) con derechos de administrador http://www.witigos.es/abrir-una-consola ... ndows-8-1/
Y ahora escribes:
arp -d * (Olvida todas las MAC de la red que conoce tu PC)
ping 192.168.1.51 -n 1 (Al hacer un PING a la IP objetivo, el sistema operativo primero busca la MAC del objetivo)
arp -a 192.168.1.51 (Comprobamos si la MAC se encontró)
Si en el último paso te sale información con la MAC de esa IP, es que esa máquina si está en la red, aunque no responda a los PINGs.



Y no, no creo que se pueda filtrar por algo más distintivo que una MAC.
De todas formas con todo lo que has hecho debería ser muy difícil que entraran en tu red.
Creo que es más posible que te hayas confundido y realmente no ha entrado nadie de nuevo.


Edit: Si estas usando Windows Vista/7 o superior, creo que el comando PING te da pistas de si realmente la MAC existe.
Si te dice "Host de destino inaccesible" es que la MAC no existe.
Si te dice algo como tiempo de espera agotado, creo que la MAC si existe.

WaterDark escribió:Y no, no creo que se pueda filtrar por algo más distintivo que una MAC.

Depende del router.

Se puede vincular MAC a IP. Si en un momento dado ya hay otro dispositivo con la misma IP en la red, se avisará de colisión de IP.

JohnH escribió:

WaterDark escribió:Y no, no creo que se pueda filtrar por algo más distintivo que una MAC.

Depende del router.

Se puede vincular MAC a IP. Si en un momento dado ya hay otro dispositivo con la misma IP en la red, se avisará de colisión de IP.

Si te refieres al DHCP estático, no es realmente un filtro y es tan fácil de saltar como usar una IP manual, además eso de que te avise es muy relativo... a veces el último en conectarse recibe el aviso o simplemente no pilla IP automática(como si no hubiese servidor DHCP)

Muchas gracias por las respuestas.

He cambiado de nuevo la clave, por otra bastante más larga y puñetera, y la IP sospechosa ha desaparecido de la lista. Éso, junto con el cifrado WPA2+AES (deshabilitada compatibilidad con WPA), el WPS deshabilitado, señal de antena rebajada al 20%, filtrado MAC y retocado alguna opción del firewall... quizás me faltaría cambiar otra vez el SSID, aunque si ha utilizado MAC spoofing supongo que sería una tontería (¿o no? ).

También había pensado en el DHCP, pero como dice el compañero @WaterDark , es bastante relativo. De todas formas, en cuanto tenga tiempo quiero revisar todo con más calma a ver...


EDIT: Revisando los logs del router, después de retocar el firewall, me ha salido ésto:



¿Indicaría ésto un intento de sniffing?

Menudo floddeo le estaban dando a tu Router...

Denúncialo

@viper2 Eso parece que viene de internet. No tiene nada que ver con la wifi.
¿Tienes un servidor web en el PC con IP 192.168.1.36? ¿O tienes el DMZ activo para esa IP?

Que te escaneen los puertos típicos desde internet es muy normal, hay muchas botnets constantemente analizando en busca de maquinas con fallos de seguridad que puedan aprovechar.

WaterDark escribió:@viper2 Eso parece que viene de internet. No tiene nada que ver con la wifi.
¿Tienes un servidor web en el PC con IP 192.168.1.36? ¿O tienes el DMZ activo para esa IP?

Que te escaneen los puertos típicos desde internet es muy normal, hay muchas botnets constantemente analizando en busca de maquinas con fallos de seguridad que puedan aprovechar.

Sí, parecen IPs públicas, pero ni lo uno, ni lo otro. Ni tengo servidor ni DMZ ahí. De hecho es un simple móvil. También he registrado ataques así contra otro móvil que tengo, así como en un portátil que está limpio, por éso me extraña.

@viper2 Perdón, me confundí de nuevo
El tráfico tiene como origen un servidor web en internet (y no como destino en tu red), y de hecho algunas IPs parecen ser de Google, así que es posible que el router esté detectando un ataque donde no lo hay.

WaterDark escribió:@viper2 Perdón, me confundí de nuevo
El tráfico tiene como origen un servidor web en internet (y no como destino en tu red), y de hecho algunas IPs parecen ser de Google, así que es posible que el router esté detectando un ataque donde no lo hay.

Ah, vale...
Bueno, de momento lo dejaré así por si el vecino parásito ataca de nuevo...
Por otro lado, tengo la dirección MAC de todos los dispositivos que estaban chupando del bote, ¿valdría para denunciar?

@viper2 No creo que cualquier dato que hayas recopilado tu sirva de prueba. En todo caso puede servir de guía.
Y si ya no se conecta nadie, pues no vas a probar nada.

No te calientes mucho la cabeza, que habiendo quitado el WPS y teniendo una clave decente puesta por tí, no deberían volverse a meter en tu Wifi.