무선 네트워크는 서비스 세트 식별자 (SSID) 를 브로드캐스트하지 않도록 구성하여 "숨김" 상태로 만들 수 있습니다. 이는 약간의 은폐 기능을 제공하지만 강력한 보안 조치는 아닙니다. 공격자는 네트워크 분석 도구를 사용하여 여전히 SSID 를 발견할 수 있습니다.
이 실습에서는 숨겨진 SSID 를 발견하는 과정을 배우게 됩니다. airodump-ng를 사용하여 무선 트래픽을 모니터링하고 숨겨진 네트워크를 식별한 다음, aireplay-ng를 사용하여 인증 해제 공격 (deauthentication attack) 을 수행합니다. 이 공격은 연결된 클라이언트가 잠시 연결을 끊었다가 다시 연결하도록 강제하여, 재연결 (re-association) 과정 중에 네트워크의 SSID 를 드러냅니다.
이 실습을 위해 준비된 시뮬레이션된 무선 환경에서 작업할 것입니다.
이 단계에서는 802.11 프레임을 캡처하는 도구인 airodump-ng를 시작합니다. 이를 사용하여 주변의 모든 무선 네트워크를 스캔할 것입니다. 실습 환경은 wlan2mon이라는 모니터링 인터페이스로 설정되었습니다.
먼저 터미널을 엽니다. 이 실습의 모든 명령은 터미널에서 실행됩니다.
이제 모니터링 인터페이스에서 airodump-ng를 실행합니다. 이를 위해서는 sudo 권한이 필요합니다.
sudo airodump-ng wlan2mon명령을 실행한 후 터미널에는 주변 Wi-Fi 네트워크에 대한 정보가 채워집니다. 다음 단계에서 출력을 관찰할 것이므로 이 명령을 계속 실행하십시오.
실시간으로 업데이트되는 다음과 유사한 디스플레이가 표시됩니다.
CH 6 ][ Elapsed: 10 s ][ 2023-10-27 10:00
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
XX:XX:XX:XX:XX:XX -30 10 0 0 6 54e OPN <length: 0>
BSSID STATION PWR Rate Lost Frames Probe이 터미널을 열어 airodump-ng를 실행한 상태로 유지하십시오. 4 단계의 명령을 실행하려면 새 터미널을 열어야 합니다.
이 단계에서는 airodump-ng의 출력을 분석하여 숨겨진 네트워크를 찾습니다.
airodump-ng가 실행 중인 터미널을 확인합니다. 숨겨진 네트워크는 브로드캐스트되지 않는 ESSID(네트워크 이름) 로 식별됩니다. airodump-ng는 이를 <length: 0>으로 표시합니다.
출력에서 다음과 유사한 줄을 볼 수 있습니다.
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
XX:XX:XX:XX:XX:XX -30 10 0 0 6 54e OPN <length: 0>이 줄은 우리의 대상 숨겨진 네트워크를 나타냅니다. 이 줄에서 두 가지 중요한 정보를 기록해 두십시오.
XX:XX:XX:XX:XX:XX입니다.6입니다.나중에 수행할 인증 해제 공격에 BSSID 가 필요합니다. 이 실습에서는 편의를 위해 시뮬레이션된 AP 의 BSSID 가 파일에 저장되었습니다. 필요한 경우 새 터미널에서 cat /tmp/bssid.txt를 실행하여 확인할 수 있습니다.
이 단계에서는 숨겨진 SSID 를 검색하는 수동적인 방법에 대해 논의합니다.
SSID 를 검색하는 한 가지 방법은 단순히 기다리는 것입니다. 합법적인 클라이언트가 숨겨진 네트워크에 연결하면 SSID 가 포함된 프로브 요청 (probe requests) 및 연결 요청 (association requests) 을 보냅니다. airodump-ng가 실행 중이고 올바른 채널을 수신 대기하고 있다면, 이러한 패킷을 캡처하여 SSID 를 표시합니다.
airodump-ng 출력은 두 개의 섹션으로 표시됩니다. 상단 섹션은 액세스 포인트 (AP) 목록을 표시하고, 하단 섹션은 연결된 클라이언트 (스테이션) 목록을 표시합니다.
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
XX:XX:XX:XX:XX:XX -30 10 0 0 6 54e OPN <length: 0>
BSSID STATION PWR Rate Lost Frames Probe
XX:XX:XX:XX:XX:XX YY:YY:YY:YY:YY:YY -40 0- 1 0 1위 예시에서 MAC 주소가 YY:YY:YY:YY:YY:YY인 클라이언트가 숨겨진 AP(XX:XX:XX:XX:XX:XX) 에 연결되어 있습니다.
하지만 클라이언트가 연결될 때까지 기다리는 것은 매우 오래 걸릴 수 있습니다. 다음 단계에서는 능동적인 방법을 사용하여 이 과정을 강제하고 SSID 를 훨씬 더 빠르게 공개할 것입니다.
이 단계에서는 aireplay-ng를 사용하여 인증 해제 공격을 통해 능동적으로 SSID 를 공개하도록 강제합니다. 이 공격은 연결된 클라이언트에게 특수 패킷을 보내 네트워크에서 연결을 끊도록 합니다. 정상적인 클라이언트는 즉시 다시 연결을 시도하며, 이 재연결 핸드셰이크 중에 SSID 를 공개합니다.
먼저 새 터미널을 열어야 합니다. airodump-ng가 실행 중인 터미널은 닫지 마십시오.
새 터미널에서 aireplay-ng 명령을 구성합니다. 명령 형식은 다음과 같습니다.
sudo aireplay-ng --deauth <number_of_packets> -a <AP_BSSID> <interface>
--deauth 5: 5 개의 인증 해제 패킷을 보냅니다.-a <AP_BSSID>: 2 단계에서 식별한 숨겨진 네트워크의 BSSID 입니다.wlan2mon: 모니터링 인터페이스입니다.편의를 위해 준비된 파일에서 BSSID 를 가져올 수 있습니다. 공격을 실행하려면 다음 명령을 실행하십시오.
sudo aireplay-ng --deauth 5 -a $(cat /tmp/bssid.txt) wlan2mon인증 해제 패킷이 전송되고 있음을 나타내는 출력이 표시됩니다.
10:05:10 Waiting for beacon frame (BSSID: XX:XX:XX:XX:XX:XX) on channel 6
10:05:10 Sending 64 directed DeAuths. STMAC: [YY:YY:YY:YY:YY:YY] [ 0|63 ACKs]
...이제 첫 번째 터미널에서 실행 중인 airodump-ng로 빠르게 시점을 전환하여 다음 단계에서 결과를 관찰하십시오.
이 마지막 단계에서는 인증 해제 공격의 결과를 관찰합니다.
airodump-ng가 실행 중인 첫 번째 터미널로 다시 전환하십시오. 인증 해제 공격 후 클라이언트가 액세스 포인트에 다시 연결되었습니다. 이 과정에서 airodump-ng가 SSID 를 캡처했습니다.
이전에 ESSID 에 <length: 0>으로 표시되었던 줄이 이제 실제 네트워크 이름인 LabExHidden을 표시해야 합니다.
공격 전:
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
XX:XX:XX:XX:XX:XX -30 10 0 0 6 54e OPN <length: 0>공격 후:
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
XX:XX:XX:XX:XX:XX -32 25 1 0 6 54e OPN LabExHidden이제 숨겨진 네트워크의 SSID 를 성공적으로 발견했습니다!
이제 exit를 입력하거나 먼저 실행 중인 프로세스를 중지하기 위해 Ctrl+C를 사용하여 두 터미널을 모두 닫을 수 있습니다.
이 실습에서는 숨겨진 Wi-Fi 네트워크를 검색하는 실용적인 기술을 배웠습니다. SSID 를 숨기는 것이 효과적인 보안 조치가 아니며 쉽게 노출될 수 있음을 확인했습니다.
aircrack-ng 도구 모음의 주요 도구를 사용하는 연습을 했습니다.
airodump-ng: 무선 네트워크를 스캔하고 <length: 0> ESSID 를 통해 숨겨진 네트워크를 식별합니다.aireplay-ng: 인증 해제 공격을 수행하여 연결된 클라이언트가 재연결 시 SSID 를 공개하도록 강제합니다.수동 모니터링 후 능동 공격을 수행하는 이 과정은 무선 보안 감사에서 기본적인 개념입니다.