Cisco WLC-Log: IDS Signature attack detected
Hallo,
vielleicht kann mir jemand helfen, ich bin heute mein WLC-Log durchgangen und dabei sind mir folgende zwei Meldungen ins Auge gestochen.
1.) IDS Signature attack detected. Signature Type: Standard, Name: NULL probe resp 1, Description: NULL Probe Response - Zero length SSID element, Track: per-Mac, Detecting AP Name: (...), Radio Type: 802.11a, Preced: 2, Hits: 1, Channel: 56, srcMac: (...)
ungefähr 15 Min später dann das:
2.) IDS Signature attack cleared. Signature Type: Standard, Name: NULL probe resp 1, Description: NULL Probe Response - Zero length SSID element, Track: per-Mac, Detecting AP Name: (...) , Radio Type: 802.11a, Preced: 2, Channel: 56
Diese Meldungen häufen sich den Tag über in regelmäßigen Abständen. Es ist laut Log immer nur ein AP betroffen. Was kann ich darunter verstehen ? Es sind keine unbekannten Geräte im Netzwerk. Der betroffene AP wurde bereits rebootet, Meldungen kommen erneut. Es wird als "Angreifer" immer dieselbe Mac-Adresse aufgeführt. Kann ich diese Mac-Adresse sperren ?
Danke für eure Hilfe im Voraus
Grüße Marcel
vielleicht kann mir jemand helfen, ich bin heute mein WLC-Log durchgangen und dabei sind mir folgende zwei Meldungen ins Auge gestochen.
1.) IDS Signature attack detected. Signature Type: Standard, Name: NULL probe resp 1, Description: NULL Probe Response - Zero length SSID element, Track: per-Mac, Detecting AP Name: (...), Radio Type: 802.11a, Preced: 2, Hits: 1, Channel: 56, srcMac: (...)
ungefähr 15 Min später dann das:
2.) IDS Signature attack cleared. Signature Type: Standard, Name: NULL probe resp 1, Description: NULL Probe Response - Zero length SSID element, Track: per-Mac, Detecting AP Name: (...) , Radio Type: 802.11a, Preced: 2, Channel: 56
Diese Meldungen häufen sich den Tag über in regelmäßigen Abständen. Es ist laut Log immer nur ein AP betroffen. Was kann ich darunter verstehen ? Es sind keine unbekannten Geräte im Netzwerk. Der betroffene AP wurde bereits rebootet, Meldungen kommen erneut. Es wird als "Angreifer" immer dieselbe Mac-Adresse aufgeführt. Kann ich diese Mac-Adresse sperren ?
Danke für eure Hilfe im Voraus
Grüße Marcel
Please also mark the comments that contributed to the solution of the article
Content-Key: 52533619257
Url: https://administrator.de/contentid/52533619257
Printed on: April 27, 2024 at 08:04 o'clock
2 Comments
Latest comment
Cisco Knowledgebase:
https://community.cisco.com/t5/wireless/wlan-controller-message/td-p/203 ...
https://community.cisco.com/t5/wireless/ids-signature-attack/td-p/446778 ...
https://community.cisco.com/t5/wireless/wlan-controller-message/td-p/203 ...
https://community.cisco.com/t5/wireless/ids-signature-attack/td-p/446778 ...
Kann ich diese Mac-Adresse sperren ?
Ja, das geht natürlich aber die Meldung hat keinen bösartigen Hintergrund.