LabEx
LoginBeitreten

Fluxion Deauthentifizierungsangriff mit Wireshark erkennen

Beginner
Jetzt üben

Einleitung

In diesem Labor schlüpfen Sie in die Rolle eines Netzwerksicherheitsanalysten. Ihre Aufgabe ist es, ein Wi-Fi-Netzwerk zu überwachen und einen gängigen Typ von drahtlosen Angriffen zu erkennen: einen Deauthentifizierungsangriff (deauth attack). Dieser Angriff wird verwendet, um Clients von einem Wi-Fi-Netzwerk zu trennen, oft als vorbereitender Schritt für andere Angriffe, wie z. B. die Einrichtung eines Evil-Twin-Access-Points.

Sie werden zwei Hauptwerkzeuge verwenden:

  • Fluxion: Ein Tool zur Sicherheitsüberprüfung, das hier zur Simulation des Deauthentifizierungsangriffs verwendet wird.
  • Wireshark: Ein leistungsstarker Netzwerkprotokollanalysator, mit dem Sie Netzwerkverkehr in Echtzeit erfassen und inspizieren können.

Am Ende dieses Labors werden Sie in der Lage sein, eine Netzwerkerfassung zu starten, bösartigen Datenverkehr herauszufiltern und die Hauptmerkmale eines Deauthentifizierungsangriffs zu identifizieren. Dies ist eine grundlegende Fähigkeit für jeden, der sich für die Sicherheit drahtloser Netzwerke interessiert.

Starten einer Wireshark-Erfassung auf dem richtigen Wi-Fi-Kanal

In diesem Schritt bereiten Sie Ihre drahtlose Schnittstelle für die Überwachung vor und starten die Erfassung von Datenverkehr mit Wireshark. Eine drahtlose Netzwerkkarte muss in den "Monitor-Modus" versetzt werden, um den gesamten Wi-Fi-Datenverkehr in der Luft zu erfassen, nicht nur den Datenverkehr, der an Ihr Gerät gerichtet ist.

Öffnen Sie zuerst ein Terminal aus dem Anwendungsmenü. Wir werden die aircrack-ng-Suite zur Verwaltung unserer drahtlosen Schnittstelle verwenden. Nehmen wir an, Ihre drahtlose Schnittstelle ist wlan0. Wir werden eine Überwachungsschnittstelle namens wlan0mon erstellen.

Führen Sie den folgenden Befehl aus, um den Monitor-Modus zu starten:

sudo airmon-ng start wlan0

Sie sollten eine Ausgabe sehen, die bestätigt, dass der Monitor-Modus auf einer neuen Schnittstelle aktiviert wurde, die wahrscheinlich wlan0mon heißt.

Starten Sie als Nächstes Wireshark mit sudo-Berechtigungen, um auf die Netzwerkschnittstellen zugreifen zu können.

sudo wireshark

Wenn sich das Wireshark-Fenster öffnet, sehen Sie eine Liste der verfügbaren Netzwerkschnittstellen. Suchen Sie Ihre Monitor-Modus-Schnittstelle (wlan0mon) und doppelklicken Sie darauf, um mit der Erfassung von Paketen zu beginnen. Das Hauptfenster wird sich sofort mit dem erfassten Wi-Fi-Datenverkehr füllen.

Lassen Sie die Erfassung vorerst einfach laufen. Wir werden den Angriff im nächsten Schritt starten und dann zurückkehren, um den Datenverkehr zu analysieren.

Starten eines Fluxion Deauth-Angriffs gegen ein Ziel

In diesem Schritt verwenden Sie Fluxion, um den Deauthentifizierungsangriff zu starten. Dies generiert den bösartigen Datenverkehr, den Sie in Wireshark erkennen werden.

Öffnen Sie ein neues Terminalfenster, während Ihr erstes Terminal und Wireshark weiterhin ausgeführt werden. Starten Sie in dem neuen Terminal Fluxion mit sudo-Berechtigungen.

sudo fluxion

Fluxion verfügt über eine menügeführte Benutzeroberfläche. Befolgen Sie diese Anweisungen sorgfältig:

  1. Wenn Sie nach einer Sprache gefragt werden, geben Sie 1 für Englisch ein und drücken Sie Enter.
  2. Fluxion sucht nach drahtlosen Adaptern. Es sollte wlan0mon finden. Geben Sie die Nummer ein, die wlan0mon entspricht (normalerweise 1), und drücken Sie Enter.
  3. Als Nächstes wird nach einem zu scannenden Kanal gefragt. Wählen Sie 1 für "Alle Kanäle" und drücken Sie Enter. Ein neues Fenster wird geöffnet, das in der Nähe befindliche Wi-Fi-Netzwerke scannt.
  4. Warten Sie etwa 15-20 Sekunden, bis der Scan einige Netzwerke gefunden hat, und schließen Sie dann das Scanner-Fenster (das mit "airodump-ng" betitelte).
  5. Sie sehen eine Liste von Zielnetzwerken in Ihrem Terminal. Für dieses Labor nehmen wir an, dass Sie ein Netzwerk namens "TestNet" als Ziel haben. Geben Sie die Nummer ein, die "TestNet" entspricht, und drücken Sie Enter.
  6. Sie erhalten eine Liste von Angriffsoptionen. Wir möchten einen Deauth-Angriff durchführen. Wählen Sie die Option FakeAP - Hostapd.
  7. Für das SSL-Zertifikat können Sie es überspringen.
  8. Fluxion fragt Sie dann, welche Deauthentifizierungsmethode verwendet werden soll. Wählen Sie die aircrack-ng-Deauth-Option. Dies beginnt, das Zielnetzwerk mit Deauthentifizierungs-Frames zu fluten.

Lassen Sie Fluxion in diesem Zustand laufen. Es greift nun aktiv das Zielnetzwerk an. Im nächsten Schritt wechseln wir zurück zu Wireshark, um die Auswirkungen zu sehen.

Anwenden des Wireshark-Filters 'wlan.fc.type_subtype == 0x0c'

In diesem Schritt wenden Sie einen Anzeige-Filter (display filter) in Wireshark an, um die Deauthentifizierungs-Frames von allem anderen Netzwerkverkehr zu isolieren. Dies ist der wichtigste Schritt zur Erkennung des Angriffs.

Kehren Sie zu Ihrem laufenden Wireshark-Fenster zurück. Sie werden viele verschiedene 802.11-Pakete sehen, was überwältigend sein kann. Um die spezifischen Pakete zu finden, die uns interessieren, verwenden wir einen Anzeige-Filter.

Deauthentifizierungs-Frames haben einen spezifischen Typ und Subtyp-Wert im 802.11 Frame Control-Feld. Wireshark ermöglicht es uns, danach zu filtern. Der Filter für Deauthentifizierungs-Frames lautet wlan.fc.type_subtype == 0x0c.

  1. Suchen Sie die Anzeige-Filterleiste (display filter bar) am oberen Rand des Wireshark-Fensters. Es ist ein langes Texteingabefeld, oft mit einem grünen oder roten Hintergrund.
  2. Geben Sie den folgenden Filter in die Leiste ein:
wlan.fc.type_subtype == 0x0c
  1. Drücken Sie die Enter-Taste oder klicken Sie auf die Schaltfläche "Anwenden" (Apply) (normalerweise ein Pfeil) rechts neben der Filterleiste.

Sobald der Filter angewendet wurde, wird die Paketliste aktualisiert. Anstatt allen Datenverkehr zu sehen, sollten Sie nun nur noch Pakete sehen, die als "Deauthentication"-Frames identifiziert sind. Wenn die Liste leer ist, warten Sie einige Augenblicke, bis neue Pakete erfasst und gefiltert wurden.

Beobachten des Stroms von Deauthentifizierungs-Frames

In diesem Schritt beobachten Sie die Ergebnisse Ihres Filters. Wenn der Angriff läuft und der Filter angewendet ist, sollten Sie ein klares Muster bösartiger Aktivitäten sehen.

Betrachten Sie den Hauptbereich der Paketliste in Wireshark. Sie sollten einen kontinuierlichen Strom neuer Pakete sehen, die alle Ihrem Filter entsprechen. So sieht eine Deauthentifizierungs-"Flut" aus. Der Angreifer sendet diese Pakete wiederholt, um sicherzustellen, dass Clients dauerhaft getrennt werden.

Achten Sie auf die folgenden Spalten in der Paketliste:

  • No.: Die Paketnummer in der Erfassung. Sie werden sehen, wie diese Nummer schnell ansteigt.
  • Time: Der Zeitstempel, wann das Paket erfasst wurde.
  • Source: Die Quell-MAC-Adresse des Senders.
  • Destination: Die Ziel-MAC-Adresse. Dies ist oft die Broadcast-Adresse (ff:ff:ff:ff:ff:ff), um alle Clients zu deauthentifizieren, oder die MAC-Adresse eines bestimmten Clients.
  • Protocol: Hier sollte 802.11 angezeigt werden.
  • Info: Dies liefert eine Zusammenfassung, die klar "Deauthentication" angeben sollte.

Das schiere Volumen dieser Frames ist der erste wichtige Indikator für einen Angriff. Ein Netzwerk im normalen Betrieb kann einige Deauthentifizierungs-Frames sehen, wenn ein Gerät sich ordnungsgemäß trennt, aber eine ständige Flut ist ein eindeutiges Zeichen für einen Angriff.

Analyse der Quell-MAC-Adresse der Deauth-Frames

In diesem Schritt führen Sie den letzten Teil der Analyse durch, um den Angriff zu bestätigen. Sie untersuchen die Quell-MAC-Adresse der Deauthentifizierungs-Frames.

Bei einem Deauthentifizierungsangriff verwendet der Angreifer nicht seine eigene MAC-Adresse. Stattdessen "spoofed" er die MAC-Adresse des legitimen Access Points (AP). Er gibt vor, der AP zu sein, der den Clients mitteilt, sich zu trennen. Dies macht den Angriff effektiver, da Clients Management-Frames vertrauen, die vom AP zu stammen scheinen, mit dem sie verbunden sind.

Betrachten Sie die Spalte Source in Ihrer Wireshark-Erfassung. Sie werden sehen, dass alle Deauthentifizierungs-Frames von derselben MAC-Adresse stammen. Diese MAC-Adresse ist die BSSID (die MAC-Adresse) des "TestNet"-AP, den Sie in Schritt 2 mit Fluxion anvisiert haben.

Durch das Spoofen der MAC-Adresse des APs bringt der Angreifer die Client-Geräte dazu, dem Deauthentifizierungsbefehl Folge zu leisten. Für einen Netzwerkanalysten ist die Beobachtung einer Flut von Deauthentifizierungs-Frames, die alle von der MAC-Adresse des APs stammen, ein schlüssiger Beweis für einen Deauthentifizierungsangriff.

Sie können nun die Wireshark-Erfassung stoppen (rotes Quadrat-Symbol) und das Fluxion-Terminal schließen, um den Angriff zu beenden.

Zusammenfassung

Herzlichen Glückwunsch zum Abschluss dieses Labs! Sie haben erfolgreich einen Wi-Fi-Deauthentifizierungsangriff simuliert und erkannt.

Sie haben gelernt, wie Sie:

  • Eine drahtlose Schnittstelle mithilfe von airmon-ng in den Monitor-Modus versetzen.
  • Einen Deauthentifizierungsangriff zu Bildungszwecken mit dem Tool Fluxion starten.
  • Live-Funkverkehr mit Wireshark erfassen.
  • Einen spezifischen Anzeige-Filter (wlan.fc.type_subtype == 0x0c) anwenden, um Deauthentifizierungs-Frames zu isolieren.
  • Die wichtigsten Indikatoren eines Deauth-Angriffs identifizieren: eine Flut von Deauthentifizierungs-Paketen und eine gefälschte Quell-MAC-Adresse, die mit dem legitimen Access Point übereinstimmt.

Diese Fähigkeiten sind grundlegend für die Überwachung und Verteidigung drahtloser Netzwerke und bilden eine solide Grundlage für fortgeschrittenere Cybersicherheitsanalysen.