LabEx
EntrarÚnete

Detectar un ataque de desautenticación de Fluxion con Wireshark

Beginner
Practicar Ahora

Introducción

En este laboratorio, asumirá el rol de un analista de seguridad de redes. Su tarea será monitorear una red Wi-Fi y detectar un tipo común de ataque inalámbrico: un ataque de desautenticación (deauth). Este ataque se utiliza para desconectar clientes de una red Wi-Fi, a menudo como un paso preliminar para otros ataques, como la configuración de un punto de acceso "evil twin" (gemelo malvado).

Utilizará dos herramientas principales:

  • Fluxion: Una herramienta de auditoría de seguridad utilizada aquí para simular el ataque de desautenticación.
  • Wireshark: Un potente analizador de protocolos de red que le permite capturar e inspeccionar el tráfico de red en tiempo real.

Al final de este laboratorio, podrá iniciar una captura de red, filtrar el tráfico malicioso e identificar las características clave de un ataque de desautenticación. Esta es una habilidad fundamental para cualquier persona interesada en la seguridad de redes inalámbricas.

Iniciar una captura de Wireshark en el canal Wi-Fi correcto

En este paso, preparará su interfaz inalámbrica para el monitoreo e iniciará la captura de tráfico con Wireshark. Una tarjeta de red inalámbrica debe ponerse en "modo monitor" para capturar todo el tráfico Wi-Fi en el aire, no solo el tráfico dirigido a su dispositivo.

Primero, abra una terminal desde el menú de aplicaciones. Utilizaremos la suite aircrack-ng para administrar nuestra interfaz inalámbrica. Asumiremos que su interfaz inalámbrica es wlan0. Crearemos una interfaz de monitoreo llamada wlan0mon.

Ejecute el siguiente comando para iniciar el modo monitor:

sudo airmon-ng start wlan0

Debería ver una salida que confirma que el modo monitor se ha habilitado en una nueva interfaz, probablemente llamada wlan0mon.

A continuación, inicie Wireshark con privilegios de sudo para acceder a las interfaces de red.

sudo wireshark

Cuando se abra la ventana de Wireshark, verá una lista de las interfaces de red disponibles. Busque y haga doble clic en su interfaz en modo monitor (wlan0mon) para comenzar a capturar paquetes. La ventana principal comenzará a llenarse inmediatamente con el tráfico Wi-Fi capturado.

Por ahora, simplemente deje que la captura se ejecute. Lanzaremos el ataque en el siguiente paso y luego volveremos para analizar el tráfico.

Lanzar un ataque de desautenticación con Fluxion contra un objetivo

En este paso, utilizará Fluxion para lanzar el ataque de desautenticación. Esto generará el tráfico malicioso que detectará en Wireshark.

Abra una nueva ventana de terminal, manteniendo su primera terminal y Wireshark en ejecución. En la nueva terminal, inicie Fluxion con privilegios de sudo.

sudo fluxion

Fluxion tiene una interfaz basada en menús. Siga estas instrucciones cuidadosamente:

  1. Si se le solicita un idioma, ingrese 1 para Inglés y presione Enter.
  2. Fluxion buscará adaptadores inalámbricos. Debería encontrar wlan0mon. Ingrese el número correspondiente a wlan0mon (generalmente 1) y presione Enter.
  3. A continuación, le pedirá un canal para escanear. Elija 1 para "Todos los canales" y presione Enter. Aparecerá una nueva ventana, escaneando redes Wi-Fi cercanas.
  4. Espere unos 15-20 segundos para que el escaneo encuentre algunas redes, luego cierre la ventana del escáner (la titulada "airodump-ng").
  5. Verá una lista de redes objetivo en su terminal. Para este laboratorio, asumiremos que está atacando una red llamada "TestNet". Ingrese el número correspondiente a "TestNet" y presione Enter.
  6. Se le presentará una lista de opciones de ataque. Queremos realizar un ataque de desautenticación. Seleccione la opción FakeAP - Hostapd.
  7. Para el certificado SSL, puede omitirlo.
  8. Fluxion le preguntará qué método de ataque de desautenticación utilizar. Elija la opción de desautenticación aircrack-ng. Esto comenzará a inundar la red objetivo con tramas de desautenticación.

Deje Fluxion ejecutándose en este estado. Ahora está atacando activamente la red objetivo. En el siguiente paso, volveremos a Wireshark para ver los efectos.

Aplicar el filtro de Wireshark 'wlan.fc.type_subtype == 0x0c'

En este paso, aplicará un filtro de visualización en Wireshark para aislar las tramas de desautenticación de todo el demás tráfico de red. Este es el paso más crucial para detectar el ataque.

Regrese a su ventana de Wireshark en ejecución. Verá muchos paquetes 802.11 diferentes, lo que puede ser abrumador. Para encontrar los paquetes específicos que nos interesan, usamos un filtro de visualización.

Las tramas de desautenticación tienen un tipo y subtipo específico en el campo de control de trama 802.11. Wireshark nos permite filtrar basándonos en esto. El filtro para tramas de desautenticación es wlan.fc.type_subtype == 0x0c.

  1. Localice la barra de filtro de visualización en la parte superior de la ventana de Wireshark. Es un campo de entrada de texto largo, a menudo con un fondo verde o rojo.
  2. Escriba el siguiente filtro en la barra:
wlan.fc.type_subtype == 0x0c
  1. Presione la tecla Enter o haga clic en el botón "Aplicar" (generalmente una flecha) a la derecha de la barra de filtro.

Una vez aplicado el filtro, la lista de paquetes se actualizará. En lugar de ver todo el tráfico, ahora solo debería ver los paquetes que se identifican como tramas de "Desautenticación". Si la lista está vacía, espere unos momentos a que se capturen y filtren nuevos paquetes.

Observar el flujo de tramas de desautenticación

En este paso, observará los resultados de su filtro. Con el ataque en ejecución y el filtro aplicado, debería ver un patrón claro de actividad maliciosa.

Mire el panel principal de la lista de paquetes en Wireshark. Debería ver un flujo continuo de paquetes nuevos apareciendo, todos los cuales coinciden con su filtro. Así es como se ve una "inundación" de desautenticación. El atacante está enviando estos paquetes repetidamente para asegurar que los clientes se desconecten persistentemente.

Preste atención a las siguientes columnas en la lista de paquetes:

  • No.: El número de paquete en la captura. Verá que este número aumenta rápidamente.
  • Time: La marca de tiempo cuando se capturó el paquete.
  • Source: La dirección MAC de origen del remitente.
  • Destination: La dirección MAC de destino. A menudo es la dirección de difusión (ff:ff:ff:ff:ff:ff) para desautenticar a todos los clientes, o la dirección MAC de un cliente específico.
  • Protocol: Debería mostrar 802.11.
  • Info: Esto proporciona un resumen, que debería indicar claramente "Deauthentication".

El gran volumen de estas tramas es el primer indicador importante de un ataque. Una red en operación normal podría ver algunas tramas de desautenticación cuando un dispositivo se desconecta legítimamente, pero un flujo constante es una señal definitiva de un ataque.

Analizar la MAC de origen de las tramas de desautenticación

En este paso, realizará la última parte del análisis para confirmar el ataque. Examinará la dirección MAC de origen de las tramas de desautenticación.

En un ataque de desautenticación, el atacante no utiliza su propia dirección MAC. En su lugar, "falsifica" la dirección MAC del Punto de Acceso (AP) legítimo. Pretende ser el AP indicando a los clientes que se desconecten. Esto hace que el ataque sea más efectivo porque los clientes confían en las tramas de gestión que parecen provenir del AP al que están conectados.

Observe la columna Source en su captura de Wireshark. Verá que todas las tramas de desautenticación provienen de la misma dirección MAC. Esta dirección MAC es el BSSID (la dirección MAC) del AP "TestNet" que usted apuntó con Fluxion en el Paso 2.

Al falsificar la dirección MAC del AP, el atacante engaña a los dispositivos cliente para que obedezcan el comando de desautenticación. Para un analista de red, observar un flujo de tramas de desautenticación que se originan todas de la dirección MAC del AP es evidencia concluyente de un ataque de desautenticación.

Ahora puede detener la captura de Wireshark (botón cuadrado rojo) y cerrar la terminal de Fluxion para finalizar el ataque.

Resumen

¡Felicitaciones por completar este laboratorio! Ha simulado y detectado con éxito un ataque de desautenticación de Wi-Fi.

Aprendió a:

  • Poner una interfaz inalámbrica en modo monitor usando airmon-ng.
  • Lanzar un ataque de desautenticación utilizando la herramienta Fluxion con fines educativos.
  • Capturar tráfico inalámbrico en vivo usando Wireshark.
  • Aplicar un filtro de visualización específico (wlan.fc.type_subtype == 0x0c) para aislar las tramas de desautenticación.
  • Identificar los indicadores clave de un ataque de desautenticación: un flujo de paquetes de desautenticación y una dirección MAC de origen falsificada que coincide con el Punto de Acceso legítimo.

Estas habilidades son fundamentales para la monitorización y defensa de redes inalámbricas, formando una base sólida para un análisis de ciberseguridad más avanzado.