LabEx
EntrerRejoindre

Détecter une attaque de désauthentification Fluxion avec Wireshark

Beginner
Pratiquer maintenant

Introduction

Dans ce laboratoire, vous endosserez le rôle d'un analyste en sécurité réseau. Votre tâche consistera à surveiller un réseau Wi-Fi et à détecter un type courant d'attaque sans fil : une attaque de désauthentification (deauth). Cette attaque est utilisée pour déconnecter les clients d'un réseau Wi-Fi, souvent comme une étape préliminaire à d'autres attaques, comme la mise en place d'un point d'accès "evil twin".

Vous utiliserez deux outils principaux :

  • Fluxion : Un outil d'audit de sécurité utilisé ici pour simuler l'attaque de désauthentification.
  • Wireshark : Un puissant analyseur de protocoles réseau qui vous permet de capturer et d'inspecter le trafic réseau en temps réel.

À la fin de ce laboratoire, vous serez capable de démarrer une capture réseau, de filtrer le trafic malveillant et d'identifier les caractéristiques clés d'une attaque de désauthentification. C'est une compétence fondamentale pour toute personne intéressée par la sécurité des réseaux sans fil.

Démarrer une capture Wireshark sur le bon canal Wi-Fi

Dans cette étape, vous allez préparer votre interface sans fil à la surveillance et commencer à capturer le trafic avec Wireshark. Une carte réseau sans fil doit être mise en "mode moniteur" pour capturer tout le trafic Wi-Fi dans l'air, pas seulement le trafic adressé à votre appareil.

Tout d'abord, ouvrez un terminal depuis le menu des applications. Nous utiliserons la suite aircrack-ng pour gérer notre interface sans fil. Supposons que votre interface sans fil soit wlan0. Nous allons créer une interface de surveillance nommée wlan0mon.

Exécutez la commande suivante pour démarrer le mode moniteur :

sudo airmon-ng start wlan0

Vous devriez voir une sortie confirmant que le mode moniteur a été activé sur une nouvelle interface, probablement nommée wlan0mon.

Ensuite, lancez Wireshark avec les privilèges sudo pour accéder aux interfaces réseau.

sudo wireshark

Lorsque la fenêtre Wireshark s'ouvre, vous verrez une liste des interfaces réseau disponibles. Trouvez et double-cliquez sur votre interface en mode moniteur (wlan0mon) pour commencer à capturer les paquets. La fenêtre principale commencera immédiatement à se remplir de trafic Wi-Fi capturé.

Pour l'instant, laissez simplement la capture s'exécuter. Nous lancerons l'attaque à l'étape suivante, puis nous reviendrons pour analyser le trafic.

Lancer une attaque de désauthentification Fluxion contre une cible

Dans cette étape, vous utiliserez Fluxion pour lancer l'attaque de désauthentification. Cela générera le trafic malveillant que vous détecterez dans Wireshark.

Ouvrez une nouvelle fenêtre de terminal, en gardant votre premier terminal et Wireshark en cours d'exécution. Dans le nouveau terminal, démarrez Fluxion avec les privilèges sudo.

sudo fluxion

Fluxion possède une interface pilotée par menu. Suivez attentivement ces instructions :

  1. Si une langue vous est demandée, entrez 1 pour l'anglais et appuyez sur Entrée.
  2. Fluxion recherchera les adaptateurs sans fil. Il devrait trouver wlan0mon. Entrez le numéro correspondant à wlan0mon (généralement 1) et appuyez sur Entrée.
  3. Ensuite, il vous demandera un canal à scanner. Choisissez 1 pour "All channels" (Tous les canaux) et appuyez sur Entrée. Une nouvelle fenêtre apparaîtra, scannant les réseaux Wi-Fi à proximité.
  4. Attendez environ 15 à 20 secondes que le scan trouve des réseaux, puis fermez la fenêtre du scanner (celle intitulée "airodump-ng").
  5. Vous verrez une liste des réseaux cibles dans votre terminal. Pour ce laboratoire, supposons que vous ciblez un réseau nommé "TestNet". Entrez le numéro correspondant à "TestNet" et appuyez sur Entrée.
  6. Une liste d'options d'attaque vous sera présentée. Nous voulons effectuer une attaque de désauthentification. Sélectionnez l'option FakeAP - Hostapd.
  7. Pour le certificat SSL, vous pouvez l'ignorer.
  8. Fluxion vous demandera ensuite quelle méthode d'attaque de désauthentification utiliser. Choisissez l'option de désauthentification aircrack-ng. Cela commencera à inonder le réseau cible avec des trames de désauthentification.

Laissez Fluxion en cours d'exécution dans cet état. Il attaque maintenant activement le réseau cible. À l'étape suivante, nous reviendrons à Wireshark pour observer les effets.

Appliquer le filtre Wireshark 'wlan.fc.type_subtype == 0x0c'

Dans cette étape, vous allez appliquer un filtre d'affichage dans Wireshark pour isoler les trames de désauthentification de tout le reste du trafic réseau. C'est l'étape la plus cruciale pour détecter l'attaque.

Retournez à votre fenêtre Wireshark en cours d'exécution. Vous verrez de nombreux paquets 802.11 différents, ce qui peut être déroutant. Pour trouver les paquets spécifiques qui nous intéressent, nous utilisons un filtre d'affichage.

Les trames de désauthentification ont une valeur de type et de sous-type spécifique dans le champ de contrôle de trame 802.11. Wireshark nous permet de filtrer sur cette base. Le filtre pour les trames de désauthentification est wlan.fc.type_subtype == 0x0c.

  1. Localisez la barre de filtre d'affichage en haut de la fenêtre Wireshark. C'est un long champ de saisie de texte, souvent avec un fond vert ou rouge.
  2. Tapez le filtre suivant dans la barre :
wlan.fc.type_subtype == 0x0c
  1. Appuyez sur la touche Entrée ou cliquez sur le bouton "Appliquer" (généralement une flèche) à droite de la barre de filtre.

Une fois le filtre appliqué, la liste des paquets sera mise à jour. Au lieu de voir tout le trafic, vous ne devriez maintenant voir que les paquets identifiés comme trames de "Deauthentication". Si la liste est vide, attendez quelques instants que de nouveaux paquets soient capturés et filtrés.

Observer le flot de trames de désauthentification

Dans cette étape, vous observerez les résultats de votre filtre. Avec l'attaque en cours et le filtre appliqué, vous devriez voir un schéma clair d'activité malveillante.

Regardez le panneau principal de la liste des paquets dans Wireshark. Vous devriez voir un flux continu de nouveaux paquets apparaître, tous correspondant à votre filtre. C'est à quoi ressemble un "flot" de désauthentification. L'attaquant envoie ces paquets de manière répétée pour s'assurer que les clients sont déconnectés de manière persistante.

Portez attention aux colonnes suivantes dans la liste des paquets :

  • No.: Le numéro du paquet dans la capture. Vous verrez ce numéro augmenter rapidement.
  • Time: L'horodatage de la capture du paquet.
  • Source: L'adresse MAC source de l'expéditeur.
  • Destination: L'adresse MAC de destination. Il s'agit souvent de l'adresse de diffusion (ff:ff:ff:ff:ff:ff) pour désauthentifier tous les clients, ou de l'adresse MAC d'un client spécifique.
  • Protocol: Ceci devrait afficher 802.11.
  • Info: Ceci fournit un résumé, qui devrait clairement indiquer "Deauthentication".

Le volume important de ces trames est le premier indicateur majeur d'une attaque. Un réseau en fonctionnement normal peut voir quelques trames de désauthentification lorsqu'un appareil se déconnecte légitimement, mais un flot constant est un signe définitif d'une attaque.

Analyser l'adresse MAC source des trames de désauthentification

Dans cette étape, vous effectuerez la dernière partie de l'analyse pour confirmer l'attaque. Vous examinerez l'adresse MAC source des trames de désauthentification.

Lors d'une attaque de désauthentification, l'attaquant n'utilise pas sa propre adresse MAC. Au lieu de cela, il "usurpe" l'adresse MAC du point d'accès (AP) légitime. Il se fait passer pour l'AP disant aux clients de se déconnecter. Cela rend l'attaque plus efficace car les clients font confiance aux trames de gestion qui semblent provenir de l'AP auquel ils sont connectés.

Regardez la colonne Source dans votre capture Wireshark. Vous verrez que toutes les trames de désauthentification proviennent de la même adresse MAC. Cette adresse MAC est le BSSID (l'adresse MAC) du point d'accès "TestNet" que vous avez ciblé avec Fluxion à l'étape 2.

En usurpant l'adresse MAC de l'AP, l'attaquant trompe les appareils clients pour qu'ils obéissent à la commande de désauthentification. Pour un analyste réseau, observer un flot de trames de désauthentification qui proviennent toutes de l'adresse MAC de l'AP est une preuve concluante d'une attaque de désauthentification.

Vous pouvez maintenant arrêter la capture Wireshark (bouton carré rouge) et fermer le terminal Fluxion pour mettre fin à l'attaque.

Résumé

Félicitations pour avoir terminé ce laboratoire ! Vous avez simulé et détecté avec succès une attaque de désauthentification Wi-Fi.

Vous avez appris à :

  • Mettre une interface sans fil en mode moniteur à l'aide de airmon-ng.
  • Lancer une attaque de désauthentification à l'aide de l'outil Fluxion à des fins éducatives.
  • Capturer le trafic sans fil en direct à l'aide de Wireshark.
  • Appliquer un filtre d'affichage spécifique (wlan.fc.type_subtype == 0x0c) pour isoler les trames de désauthentification.
  • Identifier les indicateurs clés d'une attaque de désauthentification : un flot de paquets de désauthentification et une adresse MAC source usurpée qui correspond au point d'accès légitime.

Ces compétences sont fondamentales pour la surveillance et la défense des réseaux sans fil, formant une base solide pour une analyse de cybersécurité plus avancée.