LabEx
EntrarÚnete

Descubrir un SSID Oculto usando airodump-ng

Beginner
Practicar Ahora

Introducción

Las redes inalámbricas se pueden configurar para no transmitir su Identificador de Conjunto de Servicios (SSID), lo que las hace "ocultas". Si bien esto proporciona una capa menor de ofuscación, no es una medida de seguridad robusta. Un atacante aún puede descubrir el SSID utilizando herramientas de análisis de red.

En este laboratorio, aprenderá el proceso de descubrimiento de un SSID oculto. Utilizará airodump-ng para monitorear el tráfico inalámbrico e identificar una red oculta, y luego utilizará aireplay-ng para realizar un ataque de desautenticación. Este ataque fuerza a un cliente conectado a desconectarse brevemente y luego reconectarse, revelando el SSID de la red durante el proceso de reasociación.

Trabajaremos en un entorno inalámbrico simulado preparado para este laboratorio.

Iniciar airodump-ng en modo de escaneo general

En este paso, iniciará airodump-ng, una herramienta para capturar tramas 802.11. La utilizaremos para escanear todas las redes inalámbricas cercanas. El entorno de laboratorio se ha configurado con una interfaz de monitoreo llamada wlan2mon.

Primero, abra una terminal. Todos los comandos en este laboratorio se ejecutarán en la terminal.

Ahora, ejecute airodump-ng en la interfaz de monitoreo. Esto requiere privilegios de sudo.

sudo airodump-ng wlan2mon

Después de ejecutar el comando, su terminal se llenará de información sobre las redes Wi-Fi cercanas. Deje que este comando continúe ejecutándose, ya que observaremos su salida en los siguientes pasos.

Debería ver una pantalla similar a esta, que se actualiza en tiempo real:

CH  6 ][ Elapsed: 10 s ][ 2023-10-27 10:00

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 XX:XX:XX:XX:XX:XX  -30       10        0    0   6  54e  OPN              <length:  0>

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Mantenga esta terminal abierta y ejecutando airodump-ng. Necesitará abrir una nueva terminal para los comandos del Paso 4.

Identificar una red con un ESSID '<length 0>'

En este paso, analizará la salida de airodump-ng para encontrar la red oculta.

Observe la terminal donde se está ejecutando airodump-ng. Las redes ocultas se identifican por un ESSID (nombre de red) que no se transmite. airodump-ng muestra esto como <length: 0>.

En la salida, debería ver una línea similar a esta:

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 XX:XX:XX:XX:XX:XX  -30       10        0    0   6  54e  OPN              <length:  0>

Esta línea representa nuestra red oculta objetivo. Tome nota de dos piezas importantes de información de esta línea:

  • BSSID: La dirección MAC del punto de acceso. En el ejemplo, es XX:XX:XX:XX:XX:XX.
  • CH: El canal en el que opera la red. En el ejemplo, es 6.

Necesitará el BSSID para el ataque de desautenticación en un paso posterior. Para su conveniencia en este laboratorio, el BSSID del AP simulado se ha guardado en un archivo. Puede verlo ejecutando cat /tmp/bssid.txt en una nueva terminal si es necesario.

Esperar a que un cliente se conecte para revelar el SSID

En este paso, discutiremos el método pasivo para descubrir un SSID oculto.

Una forma de descubrir el SSID es simplemente esperar. Cuando un cliente legítimo se conecta a la red oculta, envía solicitudes de sondeo (probe requests) y solicitudes de asociación (association requests) que contienen el SSID. Si airodump-ng se está ejecutando y escuchando en el canal correcto, capturará estos paquetes y mostrará el SSID.

La salida de airodump-ng muestra dos secciones. La sección superior lista los Puntos de Acceso (APs), y la sección inferior lista los clientes conectados (Estaciones).

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 XX:XX:XX:XX:XX:XX  -30       10        0    0   6  54e  OPN              <length:  0>

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe
 XX:XX:XX:XX:XX:XX  YY:YY:YY:YY:YY:YY  -40    0- 1      0        1

En el ejemplo anterior, un cliente con la dirección MAC YY:YY:YY:YY:YY:YY está conectado a nuestro AP oculto (XX:XX:XX:XX:XX:XX).

Sin embargo, esperar a que un cliente se conecte puede llevar mucho tiempo. En el siguiente paso, utilizaremos un método activo para forzar la situación y revelar el SSID mucho más rápidamente.

Forzar un ataque de desautenticación para revelar el SSID

En este paso, forzaremos activamente que el SSID se revele utilizando un ataque de desautenticación con aireplay-ng. Este ataque envía paquetes especiales a un cliente conectado, lo que provoca que se desconecte de la red. Un cliente bien comportado intentará reconectarse inmediatamente, y durante este apretón de manos de reconexión, revelará el SSID.

Primero, necesita abrir una nueva terminal. No cierre la terminal que ejecuta airodump-ng.

En la nueva terminal, construirá el comando aireplay-ng. El formato del comando es:
sudo aireplay-ng --deauth <número_de_paquetes> -a <BSSID_del_AP> <interfaz>

  • --deauth 5: Enviaremos 5 paquetes de desautenticación.
  • -a <BSSID_del_AP>: Este es el BSSID de la red oculta que identificó en el Paso 2.
  • wlan2mon: Esta es nuestra interfaz de monitoreo.

Para facilitar las cosas, puede obtener el BSSID del archivo que preparamos. Ejecute este comando para lanzar el ataque:

sudo aireplay-ng --deauth 5 -a $(cat /tmp/bssid.txt) wlan2mon

Verá una salida que indica que se están enviando los paquetes de desautenticación.

10:05:10  Waiting for beacon frame (BSSID: XX:XX:XX:XX:XX:XX) on channel 6
10:05:10  Sending 64 directed DeAuths. STMAC: [YY:YY:YY:YY:YY:YY] [ 0|63 ACKs]
...

Ahora, cambie rápidamente su vista a la primera terminal que ejecuta airodump-ng para observar el resultado en el siguiente paso.

Anotar el SSID Revelado en la Pantalla de airodump-ng

En este paso final, observará los resultados del ataque de desautenticación.

Vuelva a su primera terminal, la que está ejecutando airodump-ng. Después del ataque de desautenticación, el cliente se reconectó al punto de acceso. Durante este proceso, airodump-ng capturó el SSID.

La línea que anteriormente mostraba <length: 0> para el ESSID ahora debería mostrar el nombre real de la red, LabExHidden.

Antes del ataque:

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 XX:XX:XX:XX:XX:XX  -30       10        0    0   6  54e  OPN              <length:  0>

Después del ataque:

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 XX:XX:XX:XX:XX:XX  -32       25        1    0   6  54e  OPN              LabExHidden

¡Ha descubierto con éxito el SSID de la red oculta!

Ahora puede cerrar ambas terminales escribiendo exit o usando Ctrl+C para detener primero los procesos en ejecución.

Resumen

En este laboratorio, aprendió una técnica práctica para descubrir redes Wi-Fi ocultas. Vio que ocultar un SSID no es una medida de seguridad efectiva, ya que se puede descubrir fácilmente.

Practicó el uso de herramientas clave de la suite aircrack-ng:

  • airodump-ng: Para escanear redes inalámbricas e identificar una oculta por su ESSID <length: 0>.
  • aireplay-ng: Para realizar un ataque de desautenticación, forzando a un cliente conectado a revelar el SSID al reconectarse.

Este proceso de monitoreo pasivo seguido de un ataque activo es un concepto fundamental en la auditoría de seguridad inalámbrica.