Niekonwencjonalne ataki Wi-Fi.pdf

ATAK

Niekonwencjo

NORBERT KOZŁOWSKI

-nalne ataki

Wi-Fi

Stopień trudności

Niewiele osób zna sposoby na skuteczne zakłócenie działania

całej sieci bezprzewodowej pomimo, że znają pojęcia

typu łamanie klucza WEP, fałszywa autentykacja MAC czy

przechwycenie 4-way handshake.

aplikację mdk3 stworzoną przez ASPj .

Używanie jej ułatwia pracę, ponieważ

zaimplementowane zostały w niej gotowe

schematy pakietów 802.11, które w innym

wypadku musielibyśmy tworzyć ręcznie.

Oczywiście możemy jej używać tylko po

uprzedniej konsultacji z administratorem sieci i

otrzymaniem przyzwolenia.

Nasz poligon to sieć o SSID Khozzy_

Network , pracująca na 14 kanale. Do sieci

podłączony jest klient. Dla stworzenia

fikcyjnych zabezpieczeń zastosowałem

także popularne szyfrowanie WEP. Poniżej

przedstawię składnię programu oraz kilka

przykładowych ataków wraz ze skutkami. Mdk3,

jak widać po wprowadzeniu do konsoli samej

nazwy programu, należy wywołać jako root , w

postaci:

# mdk3 <interfejs> <atak> <parametry ataku>

Jako interfejs należy podać nazwę urządzenia

pracującego w trybie RF_MON (analogia trybu

promiscuous dla sieci LAN). Aby wprowadzić kartę

w ten tryb, należy wydać następujące polecenia:

# iwconig <interfejs> mode Monitor

lub dla kart na chipsecie Atheros:

# airmon-ng stop ath0

# airmon-ng start wii0

lub:

# wlanconig ath0 destroy

# wlanconig ath0 create wlandev wii0

wlanmode monitor (dla sterowników madwii)

Z ARTYKUŁU

DOWIESZ SIĘ

jak w praktyczny sposób

wykorzystać luki bezpieczeństwa

w standardzie 802.11.

Poprzez <atak> rozumiemy rodzaj ataku, jaki

chcemy wykonać. Jest to jedna litera, kojarząca

się z nazwą techniki, np. b dla Beacon Flood

Mode lub d dla Deauthentication Mode . Argument

ten podany jest w ramce opisującej parametry

danego ataku lub też w pomocy, którą możemy

wywołać, wpisując polecenie:

CO POWINIENEŚ

WIEDZIEĆ

mieć ogólne pojęcie o zasadzie

działania sieci bezprzewodowej.

Rysunek 1. Dostępne sieci, widoczne przy użyciu

systemowego narzędzia Windows XP

# mdk3 --fullhelp

22 HAKIN9

4/2009

J ako główne narzędzie wykorzystamy

NIEKONWENCJONALNE ATAKI WI-FI

Beacon Flood Mode

Pierwszym sposobem ataku, na który

zwrócimy uwagę, jest Beacon Flood

Mode . Użycie go spowoduje wysłanie w

eter fałszywych ramek typu beacon w

celu rozgłoszenia obecności fikcyjnych

punktów dostępowych. W praktyce atak

stosowany jest, by uniemożliwić STA

przyłączenie się do właściwego AP

(tworzona jest ogromna ilość fikcyjnych

AP i bardzo ciężko trafić jest na ten

właściwy). Twórcy programu ostrzegają,

iż takie działanie może zakłócić

wskazania programów monitorujących

zachowanie sieci oraz nawet uszkodzić

sterowniki sprzętu. Atak możemy

wykonać z użyciem kilku parametrów,

dzięki którym dostosujemy nasz fałszywy

AP do wymaganej sytuacji. Wykonajmy

więc niezbędne polecenia i zobaczmy,

jakie będą ich rezultaty na komputerze

z zainstalowanym Windows XP SP2. W

konsoli wpisujemy:

# mdk3 ath1 b -w -c 4

Na komputerze ofiary pojawia się bałagan.

Szukając dostępnych, sieci zarówno

standardowym narzędziem systemowym,

jak i NetworkStumblerem, otrzymujemy

Ramki 802.11

Standard IEE 802.11 zdefiniował szereg ramek używanych w pakietach w celu usprawnienia komunikacji między poszczególnymi stacjami

sieci. Każda ramka posiada kilka pól określających warunki panujące w sieci (np. wersja używanego protokołu, aktywne zabezpieczenia WEP),

dodatkowo w każdej w jawny sposób przedstawiony jest adres MAC celu, źródła oraz punktu dostępowego. Ramki zostały podzielone na kilka

podtypów:

* Authentication frame

Wymiana tych pakietów ma miejsce, gdy do Access Pointa (AP) zostaje podłączona nowa stacja robocza (STA). W razie braku szyfrowania STA wysyła

jeden pakiet Authentication, na który generowana jest automatycznie jedna odpowiedź (akceptacja bądź odrzucenie) AP. W razie stosowania szyfrowania

WEP, AP odpowiada z użyciem zaszyfrowanego tekstu i oczekuje na prawidłowo zinterpretowaną odpowiedź STA. Gdy ją otrzyma, oznacza to pomyślne

przeprowadzenie procesu uwierzytelnienia.

* Deauthentication frame

Pakiet Deauthentication wysyłany jest przez STA w celu zakończenia aktualnego połączenia.

* Association Request frame

STA rozpoczyna proces asocjacji, wysyłając pakiet Association Request zawierający informacje o stacji (np. SSID, adres MAC) do AP. Ten, po ich

przeanalizowaniu, może zezwolić (lub nie – np. w przypadku filtrowania adresów MAC) na pełne przyłączenie do sieci.

* Association Response frame

AP po pozytywnej weryfikacji STA ubiegającej się o dostęp do sieci przesyła pakiet Association Response, zawierający informacje potrzebne do

nawiązania połączenia oraz przydziela STA unikalny numer ID. W razie odmowy, STA nie zostaje przyznany dostęp do sieci.

* Reassociation Request frame

Gdy STA zlokalizuje AP o wyższej sile sygnału, automatycznie wyśle pakiet (Reassociation Request) proszący o ponowne przyłączenie do silniejszego

nadajnika w celu poprawienia jakości przesyłania danych.

* Reassociation Response frame

Podobnie jak w przypadku Association Response, nowy AP może zaakceptować i udzielić dostępu do sieci lub odrzucić połączenie.

* Disassociation frame

Pakiet Disassociation wysyłany jest przez STA do innych STA lub AP i informuje o przerwaniu połączenia z siecią. Gdy komputer jest wyłączany, tego

rodzaju pakiety są transmitowane do AP, który zwalnia miejsce w pamięci oraz aktualizuje dane o bieżących połączeniach.

* Beacon frame

Co 100 milisekund AP rozgłasza swoją obecność w eterze poprzez wysyłanie tzw. Beacon frames. Zawierają one informacje niezbędne do

przeprowadzenia procesu uwierzytelnienia i asocjacji oraz pozwalają określić zasięg działania sieci.

* Probe Request frame

STA wysyła prośby Probe do innego STA lub AP w celu uzyskania informacji takich jak np. dane o obecności AP.

* Probe Response frame

STA wysyła odpowiedź na prośbę Probe zawierającą dane (m.in. prędkość, kompatybilność) potrzebne do uzyskania połączenia z siecią znajdującą się w

zasięgu.

4/2009

HAKIN9

ATAK

wyniki podobne do pokazanych na

Rysunkach 1 oraz 2.

Nazwy SSID wybierane były losowo,

więc bez problemu można dostrzec

właściwą nazwę ( Khozzy_Network ), teraz

jednak skomplikujemy nieco sytuację:

nad połączeniami przenoszonymi w

powietrzu i możemy decydować o tym,

kiedy je zakończyć. Deauthentication

Mode może wyrzucić z sieci wszystko

w swoim zasięgu. Oczywiście atak

wysyła podrobione przez nas ramki

Deauthentication.

Ramka Parametry Deauthentication

# mdk3 ath1 b -n "Khozzy_Network" -w

-c 4

Windows nie wie, który AP jest poprawny

i odmawia połączenia (Rysunki 3 i 4). Cel

zostaje osiągnięty.

Authentication DoS Mode

Drugi atak polega na przyłączeniu do

AP bardzo dużej ilości STA poprzez

wysyłanie ramek Authentication. Atak ten

może zamrozić lub uszkodzić niektóre

AP. Opcje, z jakimi możemy go wywołać,

są zaprezentowane w ramce Parametry

Authentication DoS Mode (a) . Zobaczmy,

jak wygląda sytuacja przed, w trakcie i

po ataku. W tym celu użyjemy aplikacji

airodump-ng, aby na bieżąco śledzić

zachowanie klientów korzystających z

sieci.

Rysunek 2. Dostępne sieci, widoczne przy użyciu aplikacji NetworkStumbler

# airodump-ng -c 4 --bssid 00:04:ED:

78:C7:6A ath1

Jak widać, na Rysunku 5, do AP

przyłączony jest tylko jeden klient o adresie

MAC 00:11:95:68:5C:90. Wykonajmy atak,

wpisując poniższe polecenie w drugiej

konsoli, i zobaczmy, jak wpłynie ono na

okno programu.

# mdk3 ath1 a -a 00:04:ED:78:

C7:6A

Access Point musi utrzymywać połączenie

z rosnącą z każdą chwilą liczbą fałszywych

klientów (Rysunki 6 oraz 7). Po pewnym czasie

skutkuje to zawieszeniem się AP.

Deauthentication Mode

Mój ulubiony atak. Nie sposób mu

zapobiec. Mamy całkowitą kontrolę

Rysunek 3. NetworkStumbler widzi dużą liczbę sieci o tym samym identyfikatorze

Parametry Deauthentication Mode (d)

• -w <plik> – biała lista adresów MAC STA, które nie będą atakowane,

• -b <plik> – czarna lista MAC, te adresy mdk3 atakuje,

• -s <pps> – liczba pakietów przesyłanych w czasie jednej sekundy,

• -c <kanał> – praca na określonym kanale (zwiększa efektywność ataku), jeśli kanał nie jest określony, program przeskakuje przez wszystkie

możliwe kanały pracy karty sieciowej.

24 HAKIN9 4/2009

NIEKONWENCJONALNE ATAKI WI-FI

Mode (d) wskazuje, w jaki sposób można

konfigurować atak.

# mdk3 ath1 d

W mojej testowej sieci znajduje się jeden

bezprzewodowy klient. Po wykonaniu ataku

momentalnie zostaje od niej odłączony.

Atak jest domyślnie cały czas wykonywany,

ponieważ STA po rozłączeniu będzie

próbowała ponownie łączyć się z AP

(Rysunek 8).

Secret Destruction Mode

Na zagranicznych forach poświęconych

bezpieczeństwu sieci bezprzewodowych

możemy się spotkać z określeniem Secret

Destruction Mode .

Jest to połączenie wyżej

wymienionych ataków, czyli kombinacja

złożona z:

• ataku Beacon Flood, generującego

fałszywe AP z podrobionym SSID-em,

• ataku Authentication DoS,

wymierzonemu przeciw prawdziwemu

AP (z opcją -i), który spowoduje, że

serwer może być zbyt obciążony

odpowiedziami do fałszywych klientów,

aby obsłużyć żądanie prawdziwego

użytkownika,

• ataku Deauthentication, powodujący

odcięcie od sieci tych, którzy zdążyli się

jakimś cudem połączyć z prawdziwym

AP.

Rysunek 5. Sieć Khozzy_Network z jednym przyłączonym klientem

Rysunek 4. System Windows odmawia

połączenia się z docelową siecią po

wykonaniu ataku

Rysunek 6. Atakt Authentication DoS Mode

Parametry Authentication DoS Mode (a)

• -a <ap_mac> – adres MAC AP ofiary, w przypadku niesprecyzowania go zaatakowane zostaną wszystkie AP w zasięgu,

• -c – nie sprawdza powodzenia ataku,

• -i <ap_ mac> – inteligentny test (opcje -a i -c są ignorowane). Różni się tym, iż fałszywe STA są cały czas podłączone do AP poprzez

wysyłanie pakietów podtrzymujących połączenie,

• -s <pps> – określa liczbę pakietów przesyłanych w czasie jednej sekundy.

4/2009

HAKIN9

ATAK

Sekwencja działająca przez kilkanaście

minut, pomimo dezaktywacji wszystkich

klientów, powoduje zamęt w niektórych

systemach wykrywania intruzów.

Ciekawym efektem było całkowite

zamrożenie AP (brak reakcji na przycisk

reset na obudowie urządzenia!). Jedynym

sposobem przywrócenia pierwotnego

stanu działania było wyjęcie wtyczki z

gniazdka i oczekiwanie na zaprzestanie

ataku przez intruza.

Queensland DoS

Prawdopodobnie najbardziej niszczycielski

atak na sieci bezprzewodowe. Jeżeli

karta zostanie wprowadzona w tryb

ciągłej transmisji na danym kanale

(ang. continuous transmit mode ), cały

ruch zostanie wstrzymany. Klienci będą

zmuszeni zresetować swoje połączenia lub

komputery.

Wykonanie ataku na

kartach z chipsetem Atheros:

• Pobranie źródeł madwifi-dfs

Rysunek 7. Fałszywe STA zostały przyłączone do AP dzięki atakowi Authentication DoS

# svn checkout http://svn.madwii.org/

branches/madwii-dfs/

• Modyfikacja pliku if_ath_radar.c

# nano madwii-dfs/ath/if_ath_radar.c

Z lini 152 usuwamy 'inline' z prototypu

funkcji interval_to_frequency . Z lini

W Sieci

Rysunek 8. Proces rozłączania STA od AP. Atak Deauthentication

• http://www.networld.pl/news/91312/Nowy

.standard.bezpiecznej.komunikacji.bezpr

zewodowej.html – zapowiedź standardu

802.11w,

• http://www.networkworld.com/

columnists/2006/052906-wireless-

security.html – oficjalna strona

standardu 802.11w,

• http://pl.wikipedia.org/wiki/802.11

– informacje o standardach 802.11.

Parametry Beacon Flood Mode (b)

• -n <ssid> – określa identyfikator spoofowanej sieci (w przeciwnym wypadku użyte zostaną losowe znaki),

• -f <plik> – określa plik z zapisanymi SSID umożliwiającymi podszywanie się pod sieć,

• -d – sieć rozgłasza się jako Ad-hoc,

• -w – sieć rozgłasza się jako szyfrowana kluczem WEP,

• -t – jak wyżej, tylko WPA TKIP,

• -a – jak wyżej, tylko WPA AES,

• -h – sieci pracują na różnych kanałach,

• -c <kanał> – określony kanał pracy,

• -s <pps> – określa ile pakietów zostanie wysłane w ciągu sekundy.

26 HAKIN9 4/2009

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: