이 실습에서는 네트워크 보안 분석가의 역할을 맡게 됩니다. 여러분의 임무는 Wi-Fi 네트워크를 모니터링하고 일반적인 무선 공격 유형인 비인증 (deauthentication, deauth) 공격을 탐지하는 것입니다. 이 공격은 Wi-Fi 네트워크에서 클라이언트를 연결 해제하는 데 사용되며, 종종 악성 AP(evil twin access point) 설정과 같은 다른 공격의 예비 단계로 사용됩니다.
두 가지 주요 도구를 사용하게 됩니다:
이 실습이 끝나면 네트워크 캡처를 시작하고, 악성 트래픽을 필터링하며, 비인증 공격의 주요 특징을 식별할 수 있게 될 것입니다. 이는 무선 네트워크 보안에 관심 있는 모든 사람에게 기본적인 기술입니다.
이 단계에서는 무선 인터페이스를 모니터링 준비하고 Wireshark 로 트래픽 캡처를 시작합니다. 무선 네트워크 카드는 "모니터 모드 (monitor mode)"로 전환되어야만 자신의 장치로 향하는 트래픽뿐만 아니라 공기 중에 있는 모든 Wi-Fi 트래픽을 캡처할 수 있습니다.
먼저 애플리케이션 메뉴에서 터미널을 엽니다. 무선 인터페이스 관리를 위해 aircrack-ng 스위트를 사용할 것입니다. 무선 인터페이스가 wlan0이라고 가정합니다. wlan0mon이라는 모니터링 인터페이스를 생성할 것입니다.
모니터 모드를 시작하려면 다음 명령을 실행합니다:
sudo airmon-ng start wlan0새로운 인터페이스 (아마도 wlan0mon으로 명명됨) 에서 모니터 모드가 활성화되었음을 확인하는 출력을 보게 될 것입니다.
다음으로, 네트워크 인터페이스에 접근하기 위해 sudo 권한으로 Wireshark 를 실행합니다.
sudo wiresharkWireshark 창이 열리면 사용 가능한 네트워크 인터페이스 목록이 표시됩니다. 모니터 모드 인터페이스 (wlan0mon) 를 찾아 더블 클릭하여 패킷 캡처를 시작합니다. 메인 창에는 즉시 캡처된 Wi-Fi 트래픽이 채워지기 시작할 것입니다.
지금은 캡처를 실행한 상태로 둡니다. 다음 단계에서 공격을 시작한 후 트래픽 분석을 위해 돌아올 것입니다.
이 단계에서는 Fluxion 을 사용하여 비인증 공격을 시작합니다. 이 공격은 Wireshark 에서 탐지할 악성 트래픽을 생성합니다.
새 터미널 창을 열고, 첫 번째 터미널과 Wireshark 는 계속 실행 상태로 둡니다. 새 터미널에서 sudo 권한으로 Fluxion 을 시작합니다.
sudo fluxionFluxion 은 메뉴 기반 인터페이스를 가지고 있습니다. 다음 지침을 주의 깊게 따르십시오:
1을 입력하고 Enter 를 누릅니다.wlan0mon을 찾아야 합니다. wlan0mon에 해당하는 번호 (일반적으로 1) 를 입력하고 Enter 를 누릅니다.1을 선택하고 Enter 를 누릅니다. 새로운 창이 나타나 주변 Wi-Fi 네트워크를 스캔합니다.FakeAP - Hostapd 옵션을 선택합니다.aircrack-ng 비인증 옵션을 선택합니다. 이렇게 하면 타겟 네트워크에 비인증 프레임이 폭주하기 시작합니다.Fluxion 을 이 상태로 실행한 상태로 둡니다. 이제 타겟 네트워크를 적극적으로 공격하고 있습니다. 다음 단계에서 Wireshark 로 돌아가 그 효과를 살펴보겠습니다.
이 단계에서는 Wireshark 에서 디스플레이 필터를 적용하여 다른 모든 네트워크 트래픽에서 비인증 프레임을 분리합니다. 이것이 공격을 탐지하는 가장 중요한 단계입니다.
실행 중인 Wireshark 창으로 돌아갑니다. 다양한 802.11 패킷이 많이 표시되어 압도될 수 있습니다. 우리가 관심 있는 특정 패킷을 찾기 위해 디스플레이 필터를 사용합니다.
비인증 프레임은 802.11 프레임 제어 필드에 특정 유형 및 하위 유형 값을 가집니다. Wireshark 는 이를 기반으로 필터링할 수 있도록 합니다. 비인증 프레임에 대한 필터는 wlan.fc.type_subtype == 0x0c입니다.
wlan.fc.type_subtype == 0x0cEnter 키를 누르거나 필터 바 오른쪽에 있는 "적용" 버튼 (일반적으로 화살표) 을 클릭합니다.필터가 적용되면 패킷 목록이 업데이트됩니다. 모든 트래픽을 보는 대신, 이제 "Deauthentication" 프레임으로 식별된 패킷만 보게 될 것입니다. 목록이 비어 있다면, 새로운 패킷이 캡처되고 필터링될 때까지 잠시 기다립니다.
이 단계에서는 필터의 결과를 관찰합니다. 공격이 실행 중이고 필터가 적용된 상태에서 악의적인 활동의 명확한 패턴을 볼 수 있어야 합니다.
Wireshark 의 메인 패킷 목록 창을 살펴봅니다. 필터와 일치하는 새로운 패킷이 지속적으로 나타나는 것을 볼 수 있어야 합니다. 이것이 비인증 "폭주"의 모습입니다. 공격자는 클라이언트가 지속적으로 연결 해제되도록 이러한 패킷을 반복적으로 보내고 있습니다.
패킷 목록의 다음 열에 주의를 기울이십시오:
ff:ff:ff:ff:ff:ff) 이거나 특정 클라이언트의 MAC 주소인 경우가 많습니다.802.11을 표시해야 합니다.이러한 프레임의 엄청난 양은 공격의 첫 번째 주요 지표입니다. 정상적인 작동 상태의 네트워크에서는 장치가 합법적으로 연결 해제될 때 몇 개의 비인증 프레임이 보일 수 있지만, 지속적인 폭주는 공격의 확실한 신호입니다.
이 단계에서는 공격을 확인하기 위한 최종 분석을 수행합니다. 비인증 프레임의 소스 MAC 주소를 검사합니다.
비인증 공격에서 공격자는 자신의 MAC 주소를 사용하지 않습니다. 대신, 합법적인 액세스 포인트 (AP) 의 MAC 주소를 "스푸핑"합니다. AP 인 것처럼 가장하여 클라이언트에게 연결 해제를 지시합니다. 이는 공격자가 연결된 AP 에서 오는 것처럼 보이는 관리 프레임을 클라이언트가 신뢰하기 때문에 공격을 더 효과적으로 만듭니다.
Wireshark 캡처의 Source 열을 살펴봅니다. 모든 비인증 프레임이 동일한 MAC 주소에서 오는 것을 볼 수 있습니다. 이 MAC 주소는 2 단계에서 Fluxion 으로 대상 지정한 "TestNet" AP 의 BSSID(MAC 주소) 입니다.
AP 의 MAC 주소를 스푸핑함으로써 공격자는 클라이언트 장치가 비인증 명령을 따르도록 속입니다. 네트워크 분석가의 경우, AP 의 MAC 주소에서 모두 시작되는 비인증 프레임의 폭주를 관찰하는 것은 비인증 공격의 결정적인 증거입니다.
이제 Wireshark 캡처를 중지하고 (빨간색 사각형 버튼) Fluxion 터미널을 닫아 공격을 종료할 수 있습니다.
이 실습을 완료하신 것을 축하드립니다! Wi-Fi 비인증 공격을 성공적으로 시뮬레이션하고 탐지했습니다.
다음 내용을 학습했습니다:
airmon-ng를 사용하여 무선 인터페이스를 모니터 모드로 전환하는 방법.wlan.fc.type_subtype == 0x0c) 를 적용하는 방법.이러한 기술은 무선 네트워크 모니터링 및 방어에 필수적이며, 더 고급 사이버 보안 분석을 위한 견고한 기반을 형성합니다.