2
Cisco WLC-Log: IDS Signature attack detected
Hallo,
vielleicht kann mir jemand helfen, ich bin heute mein WLC-Log durchgangen und dabei sind mir folgende zwei Meldungen ins Auge gestochen.
1.) IDS Signature attack detected. Signature Type: Standard, Name: NULL probe resp 1, Description: NULL Probe Response - Zero length SSID element, Track: per-Mac, Detecting AP Name: (...), Radio Type: 802.11a, Preced: 2, Hits: 1, Channel: 56, srcMac: (...)
ungefähr 15 Min später dann das:
2.) IDS Signature attack cleared. Signature Type: Standard, Name: NULL probe resp 1, Description: NULL Probe Response - Zero length SSID element, Track: per-Mac, Detecting AP Name: (...) , Radio Type: 802.11a, Preced: 2, Channel: 56
Diese Meldungen häufen sich den Tag über in regelmäßigen Abständen. Es ist laut Log immer nur ein AP betroffen. Was kann ich darunter verstehen ? Es sind keine unbekannten Geräte im Netzwerk. Der betroffene AP wurde bereits rebootet, Meldungen kommen erneut. Es wird als "Angreifer" immer dieselbe Mac-Adresse aufgeführt. Kann ich diese Mac-Adresse sperren ?
Danke für eure Hilfe im Voraus
Grüße Marcel
vielleicht kann mir jemand helfen, ich bin heute mein WLC-Log durchgangen und dabei sind mir folgende zwei Meldungen ins Auge gestochen.
1.) IDS Signature attack detected. Signature Type: Standard, Name: NULL probe resp 1, Description: NULL Probe Response - Zero length SSID element, Track: per-Mac, Detecting AP Name: (...), Radio Type: 802.11a, Preced: 2, Hits: 1, Channel: 56, srcMac: (...)
ungefähr 15 Min später dann das:
2.) IDS Signature attack cleared. Signature Type: Standard, Name: NULL probe resp 1, Description: NULL Probe Response - Zero length SSID element, Track: per-Mac, Detecting AP Name: (...) , Radio Type: 802.11a, Preced: 2, Channel: 56
Diese Meldungen häufen sich den Tag über in regelmäßigen Abständen. Es ist laut Log immer nur ein AP betroffen. Was kann ich darunter verstehen ? Es sind keine unbekannten Geräte im Netzwerk. Der betroffene AP wurde bereits rebootet, Meldungen kommen erneut. Es wird als "Angreifer" immer dieselbe Mac-Adresse aufgeführt. Kann ich diese Mac-Adresse sperren ?
Danke für eure Hilfe im Voraus
Grüße Marcel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 52533619257
Url: https://administrator.de/contentid/52533619257
Printed on: April 27, 2024 at 08:04 o'clock
2 Comments
Latest comment
Cisco Knowledgebase:
https://community.cisco.com/t5/wireless/wlan-controller-message/td-p/203 ...
https://community.cisco.com/t5/wireless/ids-signature-attack/td-p/446778 ...
https://community.cisco.com/t5/wireless/wlan-controller-message/td-p/203 ...
https://community.cisco.com/t5/wireless/ids-signature-attack/td-p/446778 ...
Kann ich diese Mac-Adresse sperren ?
Ja, das geht natürlich aber die Meldung hat keinen bösartigen Hintergrund.