Zdravim.
Obracim se zde na vas o radu, ohledne toho, jakym zpusobem by se dalo odhalit zdroj podivneho ruseni, se kterym se obcas setkavame v nekterych lokalitach. Popisu priklad na nasledujici situaci, kterou jiz delsi dobu resime:
Jeden z klientu nam hlasil, ze mu vecer vypadne na ruzne dlouhou dobu internet. Nejcasteji je ten vypadek par minutovy, v nekterych pripadech trval i 60 minut. (presne 60 minut, ani o minutu navic). Ve chvili vypadku, mu nejdou nacist stranky, nejede IPTV a dalsi. Antena je vsak po celou dobu spojena s AP, lze se na ni dostat, vidim v DHCP pripojena zarizeni. Ping z anteny smerem ven na adresy v internetu normalne projde, ping na klientuv router taky vraci odpoved. Ve skenu z anteny od klienta a od AP nevidim zadne jine AP co by kolidovalo frekvenci. Klientovi se pred par mesici menila antena za novou, vymenili jsme antenu i na AP. Problem vsak neustal. Zaznamenali jsme navic, ze se tak deje vzdy ve stejny cas, s rozdilem priblizne +- 3 minuty. Z nashromazdenych dat jsem objevil, ze tak nastava v podstate kazdy den. Na rychlost si nestezuje, s tou problem neni, meri normalne podle sveho tarifu.
Pri dalsim patrani jsem zjistil ze se antena odmlci po radiove casti, po LAN normalne komunikuje (nechal jsem si vystup pingu zapisovat do souboru v /tmp). Ve stejnou chvili se mi vsak stejne zachovala i antena na AP, kdy se odmlcela a nedalo se ani prokliknout ve web rozhrani. Pres LAN vsak komunikaci s Mikrotikem na AP normalne mela. Na rozhrani nevidime zadne FCS errory a v logu nejsou zadne zaznamy o spadnutem portu. Tudiz mam v podezreni, ze se deje neco neobvykleho v miste kde mame AP. Jak jiz pisu vyse, ve skenu neni videt, ze by nekdo na stejnem kanalu jak my, vysilal. Pokud si vsak pustim AirView z UBNT rozhrani, vidim ve spektrometru ruseni.
Druha vec co jsem zaznamenal v logu na AP je nasledujici vypis, kdy MAC adresa v nem uvedena, nepatri zadne antene ktera je v nasi siti a navic ani v logu neni zadny zaznam o tom ze by se pokousela o autentifikaci:
Apr 8 08:41:01 wireless: ath0 Received deauth from 00:27:22:14:98:a0. Reason: Class 2 frame received from nonauthenticated STA (6)
Ma hlavni otazka tedy zni: Jakym zpusobem bychom mohli zdroj tohoto podivneho vysilani? Uvazoval jsem uz i o porizeni nejakeho SDR, jako treba HackRF + Portapack H2 a projet se po okoli a proskenovat si jej. Vyuzivate nekdo SDR v takovychto situacich, nebo je to nesmysl? Snad jsem to popsal vse, pripadne nejake dodatecne info doplnim.
Predem diky za podnety, ktere by vas k tomuto problemu napadly.