AirSnare Users Guide Versão 0.8
download e Configuração Inicial
1)você precisará de uma placa de rede 802.11 b (sem fio). Se o Etherealworks com sua placa de rede, o AirSnare deve fazer o mesmo. (Airsnarevai trabalhar em uma placa de rede com fio).
2) o computador que vai estar executando o AirSnare deve estar associadocom o ponto de acesso. O que isso significa é que o computador deve ter o SSID do cliente sem fio definido como o mesmo SSID do ponto de acesso. (Configurando o SSID no computador AirSnare para: Qualquer um também trabalhou em testes de laboratório.)
3) você deve ter a Biblioteca WinPcap instalada. Se você estiver executando o etéreo (o software sniffer gratuito), então você já tem isso, se não, você pode baixá-lo de http://winpcap.polito.it/.
4) Baixe o AirSnare e instale-o.
5) Inicie O AirSnare. Contanto que você tenha o acima instalado, você não deve obter nenhum erro.
e se eu receber um erro?
Run-timeerror ‘ -2147220992 (80040200)’: “Falha ao carregar o pacote winpcap.dll.Por favor (re)instale as bibliotecas de captura de pacotes winpcap.”
este é fácil… Siga a Etapa 3 acima e baixe e instale as bibliotecas WinPcap.
erro de tempo de execução ‘-2147220982 (8004020a)’: PacketSetHwFilter procedimento falhou código de erro = 0
este não é um bom erro. Isso está dizendo que o software está tendoproblemas colocando sua placa de rede no modo promíscuo. Basicalmenteseu cartão não é compatível. Sua única opção é tentar um cartão diferente.
procedimento packetGetAdapterNames falhou erro
este é um erro fácil……desinstale o WinPcap de qualquer versão do seu sistemae, em seguida, através do link do Menu Iniciar, reinstale o WinPcap para corrigir o problema.
AirSnare está em execução … e agora?
A primeira coisa que você deseja fazer é selecionar seu adaptador na lista de adaptadores instalados na parte superior esquerda da tela AirSnare. Se houver vários adaptadores listados, certifique-se de selecionar seu adaptador currentnetwork.
depois de selecionar o adaptador, clique com o botão direito e selecione “Iniciar”.
clique em Iniciar … Se você receber um erro neste momento, pode ser uma das duas coisas.
- você não selecionou a placa de rede certa na lista de adaptadores.
- sua placa de Interface de rede não é compatível (veja os erros acima)
pressione o botão” Iniciar ”
então agora estamos fora e em execução. A tela AirSnare pode ficar vermelha, pois descobre novos endereços MAC hostis. Assumiremos que, neste ponto, você não editou sua lista de endereços MAC Amigável. Portanto, precisamos preencher sua lista de endereços MAC amigável com todos os endereços MAC das máquinas em sua rede, Isso inclui:
- todos os computadores pessoais em sua rede, Mac, PC, Etc.
- todos os consoles de jogos conectados à internet (ou seja: Xbox, PlayStation, etc.)
- YourRouters MAC address (pode haver um par, a porta WAN, a porta LAN e a porta sem fio se também for um ponto de Acesso Sem Fio). Essas informações geralmente podem ser encontradas na página de Status ou outraspáginas de configuração do roteador.
- impressoras de rede ou dispositivos de servidor de Impressão
- qualquer dispositivo sem fio (Laptop, iPaq, Tablet PC, etc.)
- basicamente qualquer dispositivo que se conecta à Internet através do seu roteador ou ponto de acesso.
então, como obtemos os endereços MAC desses dispositivos?
para todos os dispositivos de rede além de computadores
na parte inferior da maioria dos servidores de impressão, roteadores, switches, etc. existe o rótulo asmall que diz ” MAC:************”. Este é o seu endereço MAC (MediaAccess Control) e é específico para esse dispositivo e esse deviceonly.
obtendo manualmente o endereço MAC.
em uma máquina Windows 95, 98 ou ME, vá para o botão Iniciar e execute e digite: winipcfg
em seguida, pressione enter. Selecione seu adaptador de rede na lista suspensa superior e seu endereço MAC aparecerá na janela de endereço do adaptador, será algo como 00-40-85-2D-43-E6. Anote o número com cuidado e evite erros de Digitação.
No Windows 2000 ou XP máquina vá para o botão Iniciar, em seguida, Executar digite: CMD
e Depois carregue em enter (ou abra uma janela de Prompt de Comando)
em Seguida, dentro da janela de comando, digite: ipconfig /all em seguida, pressione enter
Thiswill exibir os adaptadores de rede. Procure a linha que diz “endereço físico”, novamente isso será no formato de00-40-85-2D-43-E6, sempre 6 grupos de 2 dígitos. Escreva estes downcarefully para evitar erros e inseri-los com cuidado para evitar erros de Digitação.
emseu roteador de banda larga ou ponto de acesso sem fio ele será exibido emuma das telas de status. Esteja ciente de que haverá vários MACaddresses para o seu roteador 1 para a porta WAN, 1 para a porta LAN eoutro para a conexão Sem Fio.
emoutros dispositivos, você terá que cavar para encontrá-lo. Verifique a tela de configuração, faça uma pesquisa no Google para encontrar o MAC do seu dispositivo, etc. Se você não pode encontrá-lo você sempre pode se conectar a ointernet de que o dispositivo e ver o “Hostil MAC Janela de inspeção”,e se o seu verificação de email a partir do dispositivo, você deve ver =E-Mail=>ou se o seu navegar na web, você deve ver =WEB=> entradas thewindow. Contanto que você tenha certeza de que está causando essas entradas, entãoVocê pode ter certeza de que será o endereço MAC correto listado.
uma Vezvocê verificou todas as entradas no Auto_trustedMAC.arquivo txt eestão satisfeitos que você possui todos eles, você pode renomear o arquivo totrustedMAC.txt e salve-o.
lista de Mac Amigável
Agoraque você tem a lista de MAC de todos os seus dispositivos que você pode ir toyour computador e iniciar AirSnare. Percorra sua lista de Macs e theones detectados pelo AirSnare. Quando você vê um MAC que você quer estar ema lista de Mac amigável, basta clicar com o botão direito e selecionar “Adicionar ao confiável”.Isso abrirá uma janela que exibe o endereço MAC e a descrição. Deixe o campo MAC sozinho, pois você deseja adicionar esse Macpara a lista amigável. No campo Descrição, Você pode colocar no nomedo equipamento de rede ao qual o MAC corresponde. Em seguida, clique em “OK” para adicioná-lo à lista Amigável.
Agora você pode deixar AirSnare executar e assistir para endereços MAC hostis…
WhenAirSnare detecta um endereço MAC na rede que não está listado na lista de Mac amigável, ele soará um alerta e mudará a cor da tela de fundo para vermelho. Neste ponto, qualquer tráfego enviado desse endereço MAC para a rede será registrado EMA janela hostil do MAC Watch (veja no canto superior direito). Neste ponto, você precisa determinar se o endereço MAC realmente é hostil ouse você talvez tenha perdido um dispositivo em suas redes em algum lugar.
youcan lookup fabricantes por endereço MAC, que irá ajudá-lo a determinarque equipamento este é, Vernon me enviou os seguintes links:
http://standards.ieee.org/regauth/oui/index.shtml – pesquisa IEEE OUI. Digite os primeiros 4 dígitos do endereço MAC na caixa Pesquisar OUI, por exemplo, se você inseriu: “0002a5”, ele retornaria: A Compaq Computer Corporation
http://hacks.oreilly.com/pub/h/826 – Encontrar fabricantes de rádios por MAC address
Menu de Alarmes
Um AirSnare alerta pode ser limpo, indo para o “Alarmes” campo e clicando com o botão direito e selecionando “Reconhece de Alarme”
Detectado possível hostil endereços MAC janela
Qualquer endereço MAC pegou pelo AirSnare que não é
Hostil MAC Assistir a Janela
Thisis onde você pode encontrar para fora o que a hostil MAC é até. Itwill mostrar-lhe o endereço IP de origem e destino que eles vão toand o endereço MAC de origem e destino. Ele também identificará portas comuns, como FTP, Telnet, e-mail, web, DHCP e outros popularports.
escreva para o arquivo de log botão
Ifyou deseja salvar as informações da janela de relógio Mac hostil, rihgt clique em “Escrever para registrar arquivo botão”. Isso salvará as informações em um arquivo no diretório AirSnare no Logsdirectory. Os nomes dos arquivos são salvos como *.Arquivos TXT.
envie NetMsg para o botão
primeiro, para que isso funcione na máquina em que a mensagem está sendo enviada paradeve ser uma máquina Windows NT, 2000 ou XP, ou um Windows 95, 98 ou MEmachine com a execução de mensagens de janela.
O módulo AirHorn
este é o pedaço de AirSnare que envia a mensagem para o endereço IPINDICADO. O módulo AirHorn configura-se automaticamente paraenviar mensagens. Para abrir o módulo AirHorn clique com o botão direito do mouse no MACAddress que deseja enviá-lo para o botão”enviar NetMsg para” na janela de relógio UnfriendlyMAC. Agora temos a janela AirHorn aberta.
este módulo só funcionará a partir de uma máquina Windows NT, XP ou 2000!
o servidor, enviar para E Enviar são todos configurados automaticamente quando você abre o AirHorn. O computador Rceiving deve ter o Firewall do Windows InternetConnection (ICF) e o serviço messenger habilitado (bothundone pelo Windows XP SP2). O computador de envio não precisa ter o Firewall de conexão com a Internet do Windows desligado e o serviço de mensagemenabled.
As Opções de Menu
Scan MAC Tráfego – Diz AirSnare para incluir MAC os pacotes em seu digitalização
Análise de Tráfego de TCP – Diz AirSnare para incluir pacotes TCP na sua digitalização
Analisar o Tráfego de UDP – Diz AirSnare para incluir pacotes UDP na sua digitalização
Play WAV som de alerta – executa um arquivo WAV de alerta sobre os alto-falantes do PC. Você pode alterar os sons WAV gravando seus próprios alertas e renomeando-os para os sons de alerta de arquivo WAV airsnare apropriados.
enviar e – mail em alerta-envia um e-mail quando um alarme de intrusão é ativado. Isso requer que o módulo de Correio Aéreo seja configurado e configuredproperly. Veja a janela do Correio aéreo abaixo.
o menu de rastreamento
Justuse a faixa com a opção AirSnare. Existem muitas variáveispara obter etéreo para trabalhar. Se funciona para você, ótimo, se não funciona… use a opção AirSnare é muito mais rápido. Execute o Etherealon outra máquina para capturar dados de pacotes.
o menu Janela
DHCP Requests
isso abre uma janela mostrando todas as solicitações DHCP que ocorreram para esta sessão.
janela AirHorn
abre a janela do módulo AirHorn. Isso é descrito acima em “O módulo AirHorn”
Correio Aéreo
no menu Opções, clique na guia Correio Aéreo .
A primeira caixa é o endereço do seu servidor de correio SMTP. Se você tiver um no local, basta digitar o nome do computador, se for externo ou do yourISP, digite o endereço IP ou o nome DNS. (ou seja, mymailserver, 127.0.0.1, smtp.myisphost.com)
Thesecond caixa é o endereço de E-Mail, Digite o endereço de E-mail que você deseja um alarme enviado para via E-Mail quando uma pessoa não autorizada cinnectsto seu ponto de Acesso Sem Fio.
Thethird box é o endereço de E-mail, digite seu endereço de E-mail addresshere. Em seguida, preencha o nome para e o endereço de E-mail para, oendereço para onde você deseja que o alerta vá. O assunto não pode bechanged, em seguida, digite uma mensagem para o corpo do e-mail, algo parecido com “uma intrusão foi detectada na rede. Consulte a máquina airsnare para obter mais informações.”
A 5ª caixa é simplesmente o que a mensagem dirá quando você a receber.
menu de Ajuda
o Menu Ajuda oferece a opção Sobre. Isso para mim é a parte mais importante, pois explica as longas horas que coloquei neste programa e pede que você doe ao projeto para ajudar a mantê-lo e apoiar outros desenvolvimentos como ele. Se você usar AirSnare eencontrar útil, espero que você faça uma doação. Obrigado epor favor, aproveite o programa.
fóruns AirSnare
os fóruns Airsnare estão em funcionamento. Por favor, visite-os e postany perguntas ou histórias de detecção. Espero que este seja um lugar comum para informações AirSnare e para compartilhar informações eideas sobre segurança de rede e detecção de intrusão que você está usando ou arecurious sobre. Acho que vai demorar um pouco para começar, masdeve ser um bom recurso para os usuários do AirSnare.