LabEx
ログイン登録

Wireshark で Fluxion のディアセンティフィケーション攻撃を検出する

Beginner
オンラインで実践に進む

はじめに

この実験(Lab)では、ネットワークセキュリティアナリストの役割を担います。あなたのタスクは、Wi-Fi ネットワークを監視し、一般的な無線攻撃の一種であるディアセンティフィケーション(deauth)攻撃を検出することです。この攻撃は、Wi-Fi ネットワークからクライアントを切断するために使用され、しばしば、悪意のあるアクセスポイント(evil twin access point)のセットアップなどの他の攻撃の予備ステップとして行われます。

主に 2 つのツールを使用します。

  • Fluxion: ここではディアセンティフィケーション攻撃をシミュレートするために使用されるセキュリティ監査ツールです。
  • Wireshark: ネットワークトラフィックをリアルタイムでキャプチャおよび検査できる強力なネットワークプロトコルアナライザーです。

この実験(Lab)の終わりまでに、ネットワークキャプチャを開始し、悪意のあるトラフィックをフィルタリングし、ディアセンティフィケーション攻撃の主要な特徴を特定できるようになります。これは、無線ネットワークセキュリティに興味のあるすべての人にとって基本的なスキルです。

正しい Wi-Fi チャネルで Wireshark キャプチャを開始する

このステップでは、ワイヤレスインターフェイスを監視用に準備し、Wireshark でトラフィックのキャプチャを開始します。ワイヤレスネットワークカードは、「モニターモード」に設定する必要があります。これにより、デバイス宛てのトラフィックだけでなく、空中のすべての Wi-Fi トラフィックをキャプチャできます。

まず、アプリケーションメニューからターミナルを開きます。ワイヤレスインターフェイスの管理にはaircrack-ngスイートを使用します。ワイヤレスインターフェイスがwlan0であると仮定します。wlan0monという名前の監視インターフェイスを作成します。

モニターモードを開始するには、次のコマンドを実行します。

sudo airmon-ng start wlan0

新しいインターフェイス(おそらくwlan0monという名前)でモニターモードが有効になったことを確認する出力が表示されるはずです。

次に、ネットワークインターフェイスにアクセスするために、sudo権限で Wireshark を起動します。

sudo wireshark

Wireshark ウィンドウが開くと、利用可能なネットワークインターフェイスのリストが表示されます。モニターモードインターフェイス(wlan0mon)を見つけてダブルクリックし、パケットのキャプチャを開始します。メインウィンドウには、キャプチャされた Wi-Fi トラフィックがすぐに表示され始めます。

今は、キャプチャを実行したままにしておきます。次のステップで攻撃を開始し、その後トラフィックを分析するために戻ってきます。

ターゲットに対して Fluxion ディアセンティフィケーション攻撃を開始する

このステップでは、Fluxion を使用してディアセンティフィケーション攻撃を起動します。これにより、Wireshark で検出する悪意のあるトラフィックが生成されます。

新しいターミナルウィンドウを開き、最初のターミナルと Wireshark を実行したままにします。新しいターミナルで、sudo権限で Fluxion を開始します。

sudo fluxion

Fluxion はメニュー駆動型のインターフェイスを備えています。以下の指示に注意深く従ってください。

  1. 言語を尋ねられたら、英語の場合は1を入力して Enter キーを押します。
  2. Fluxion はワイヤレスアダプターを検索します。wlan0monが見つかるはずです。wlan0monに対応する番号(通常は1)を入力して Enter キーを押します。
  3. 次に、スキャンするチャネルを尋ねられます。「すべてのチャネル」を選択するために1を選び、Enter キーを押します。新しいウィンドウがポップアップ表示され、近くの Wi-Fi ネットワークをスキャンします。
  4. スキャンでいくつかのネットワークが見つかるまで約 15〜20 秒待ち、その後スキャナーウィンドウ(「airodump-ng」というタイトルのウィンドウ)を閉じます。
  5. ターミナルにターゲットネットワークのリストが表示されます。この実験(Lab)では、「TestNet」という名前のネットワークをターゲットにしていると仮定します。「TestNet」に対応する番号を入力して Enter キーを押します。
  6. 攻撃オプションのリストが表示されます。ディアセンティフィケーション攻撃を実行したいので、FakeAP - Hostapdオプションを選択します。
  7. SSL 証明書については、スキップできます。
  8. 次に、Fluxion はどのディアセンティフィケーション攻撃方法を使用するか尋ねます。aircrack-ngのディアセンティフィケーションオプションを選択します。これにより、ターゲットネットワークにディアセンティフィケーションフレームが大量に送信され始めます。

この状態で Fluxion を実行したままにします。現在、ターゲットネットワークに対して積極的に攻撃を行っています。次のステップでは、Wireshark に戻ってその影響を確認します。

Wireshark フィルター「wlan.fc.type_subtype == 0x0c」を適用する

このステップでは、Wireshark で表示フィルターを適用して、他のすべてのネットワークトラフィックからディアセンティフィケーションフレームを分離します。これは、攻撃を検出する上で最も重要なステップです。

実行中の Wireshark ウィンドウに戻ります。非常に多くの異なる 802.11 パケットが表示されており、圧倒される可能性があります。関心のある特定のパケットを見つけるために、表示フィルターを使用します。

ディアセンティフィケーションフレームは、802.11 フレーム制御フィールドに特定のタイプとサブタイプの値を持っています。Wireshark では、これに基づいてフィルターをかけることができます。ディアセンティフィケーションフレームのフィルターはwlan.fc.type_subtype == 0x0cです。

  1. Wireshark ウィンドウの上部にある表示フィルターバーを見つけます。これは長いテキスト入力フィールドで、多くの場合、緑または赤の背景があります。
  2. フィルターバーに次のフィルターを入力します。
wlan.fc.type_subtype == 0x0c
  1. Enterキーを押すか、フィルターバーの右側にある「適用」ボタン(通常は矢印)をクリックします。

フィルターが適用されると、パケットリストが更新されます。すべてのトラフィックが表示される代わりに、現在は「Deauthentication」フレームとして識別されたパケットのみが表示されるはずです。リストが空の場合は、新しいパケットがキャプチャおよびフィルターされるまで数分お待ちください。

ディアセンティフィケーションフレームのフラッドを観測する

このステップでは、フィルターの結果を観測します。攻撃を実行し、フィルターを適用した状態で、悪意のあるアクティビティの明確なパターンが表示されるはずです。

Wireshark のメインのパケットリストペインを確認します。フィルターに一致する新しいパケットが継続的に表示されているストリームが表示されるはずです。これがディアセンティフィケーション「フラッド」の外観です。攻撃者は、クライアントが永続的に切断されることを保証するために、これらのパケットを繰り返し送信しています。

パケットリストの以下の列に注目してください。

  • No.: キャプチャ内のパケット番号。この番号が急速に増加しているのが見えるでしょう。
  • Time: パケットがキャプチャされたタイムスタンプ。
  • Source: 送信元の MAC アドレス。
  • Destination: 宛先の MAC アドレス。これは、すべてのクライアントをディアセンティフィケーションするためのブロードキャストアドレス(ff:ff:ff:ff:ff:ff)であるか、特定のクライアントの MAC アドレスであることがよくあります。
  • Protocol: これは802.11と表示されるはずです。
  • Info: これは概要を提供し、「Deauthentication」と明確に表示されるはずです。

これらのフレームの膨大な量は、攻撃の最初の主要な兆候です。通常の運用中のネットワークでは、デバイスが正当に切断される際に少数のディアセンティフィケーションフレームが見られることがありますが、継続的なフラッドは攻撃の明確な兆候です。

ディアセンティフィケーションフレームの送信元 MAC アドレスを分析する

このステップでは、攻撃を確認するための最後の分析を行います。ディアセンティフィケーションフレームの送信元 MAC アドレスを調べます。

ディアセンティフィケーション攻撃では、攻撃者は自身の MAC アドレスを使用しません。代わりに、正規のアクセスポイント(AP)の MAC アドレスを「なりすまし」ます。攻撃者は AP になりすまして、クライアントに切断を指示します。これにより、クライアントは接続している AP から送信されているように見える管理フレームを信頼するため、攻撃はより効果的になります。

Wireshark キャプチャのSource列を確認します。すべてのディアセンティフィケーションフレームが同じ MAC アドレスから送信されているのが見えるはずです。この MAC アドレスは、ステップ 2 で Fluxion を使用してターゲットにした「TestNet」AP の BSSID(MAC アドレス)です。

AP の MAC アドレスをなりすますことで、攻撃者はクライアントデバイスを欺き、ディアセンティフィケーションコマンドに従わせます。ネットワークアナリストにとって、AP の MAC アドレスからすべて発生しているディアセンティフィケーションフレームのフラッドを観測することは、ディアセンティフィケーション攻撃の決定的な証拠となります。

これで、Wireshark のキャプチャを停止(赤い四角ボタン)し、Fluxion ターミナルを閉じて攻撃を終了できます。

まとめ

この実験を完了したことをお祝いします!Wi-Fi ディアセンティフィケーション攻撃をシミュレートし、検出することに成功しました。

以下の方法を学びました。

  • airmon-ngを使用してワイヤレスインターフェイスをモニターモードにする方法。
  • 教育目的で Fluxion ツールを使用してディアセンティフィケーション攻撃を開始する方法。
  • Wireshark を使用してライブワイヤレストラフィックをキャプチャする方法。
  • ディアセンティフィケーションフレームを分離するために特定の表示フィルター(wlan.fc.type_subtype == 0x0c)を適用する方法。
  • ディアセンティフィケーション攻撃の主要な兆候を特定する方法:ディアセンティフィケーションパケットのフラッドと、正規のアクセスポイントと一致するなりすまされた送信元 MAC アドレス。

これらのスキルは、ワイヤレスネットワークの監視と防御の基本であり、より高度なサイバーセキュリティ分析の強固な基盤を形成します。