LabEx
EntrarJunte-se

Detectar um Ataque de Desautenticação Fluxion usando Wireshark

Beginner
Pratique Agora

Introdução

Neste laboratório, você assumirá o papel de um analista de segurança de rede. Sua tarefa é monitorar uma rede Wi-Fi e detectar um tipo comum de ataque sem fio: um ataque de desautenticação (deauth). Este ataque é usado para desconectar clientes de uma rede Wi-Fi, muitas vezes como um passo preliminar para outros ataques, como a configuração de um ponto de acesso "evil twin".

Você usará duas ferramentas principais:

  • Fluxion: Uma ferramenta de auditoria de segurança usada aqui para simular o ataque de desautenticação.
  • Wireshark: Um poderoso analisador de protocolos de rede que permite capturar e inspecionar o tráfego de rede em tempo real.

Ao final deste laboratório, você será capaz de iniciar uma captura de rede, filtrar tráfego malicioso e identificar as características-chave de um ataque de desautenticação. Esta é uma habilidade fundamental para qualquer pessoa interessada em segurança de redes sem fio.

Iniciar uma Captura Wireshark no Canal Wi-Fi Correto

Nesta etapa, você preparará sua interface sem fio para monitoramento e iniciará a captura de tráfego com o Wireshark. Uma placa de rede sem fio deve ser colocada em "modo de monitoramento" para capturar todo o tráfego Wi-Fi no ar, não apenas o tráfego destinado ao seu dispositivo.

Primeiro, abra um terminal a partir do menu de aplicativos. Usaremos o conjunto de ferramentas aircrack-ng para gerenciar nossa interface sem fio. Vamos assumir que sua interface sem fio é wlan0. Criaremos uma interface de monitoramento chamada wlan0mon.

Execute o seguinte comando para iniciar o modo de monitoramento:

sudo airmon-ng start wlan0

Você deverá ver uma saída confirmando que o modo de monitoramento foi ativado em uma nova interface, provavelmente chamada wlan0mon.

Em seguida, inicie o Wireshark com privilégios de sudo para acessar as interfaces de rede.

sudo wireshark

Quando a janela do Wireshark abrir, você verá uma lista de interfaces de rede disponíveis. Encontre e clique duas vezes na sua interface em modo de monitoramento (wlan0mon) para começar a capturar pacotes. A janela principal começará imediatamente a ser preenchida com o tráfego Wi-Fi capturado.

Por enquanto, apenas deixe a captura em execução. Lançaremos o ataque na próxima etapa e depois voltaremos para analisar o tráfego.

Lançar um Ataque de Desautenticação com Fluxion Contra um Alvo

Nesta etapa, você usará o Fluxion para lançar o ataque de desautenticação. Isso gerará o tráfego malicioso que você detectará no Wireshark.

Abra uma nova janela de terminal, mantendo seu primeiro terminal e o Wireshark em execução. No novo terminal, inicie o Fluxion com privilégios de sudo.

sudo fluxion

O Fluxion possui uma interface baseada em menus. Siga estas instruções cuidadosamente:

  1. Se for solicitada a escolha de um idioma, digite 1 para Inglês e pressione Enter.
  2. O Fluxion procurará por adaptadores sem fio. Ele deverá encontrar wlan0mon. Digite o número correspondente a wlan0mon (geralmente 1) e pressione Enter.
  3. Em seguida, ele solicitará um canal para escanear. Escolha 1 para "Todos os canais" e pressione Enter. Uma nova janela aparecerá, escaneando redes Wi-Fi próximas.
  4. Aguarde cerca de 15-20 segundos para que o escaneamento encontre algumas redes, em seguida, feche a janela do scanner (aquela com o título "airodump-ng").
  5. Você verá uma lista de redes alvo em seu terminal. Para este laboratório, vamos assumir que você está visando uma rede chamada "TestNet". Digite o número correspondente a "TestNet" e pressione Enter.
  6. Você será apresentado a uma lista de opções de ataque. Queremos realizar um ataque de desautenticação. Selecione a opção FakeAP - Hostapd.
  7. Para o certificado SSL, você pode pular.
  8. O Fluxion então perguntará qual método de ataque de desautenticação usar. Escolha a opção de desautenticação aircrack-ng. Isso começará a inundar a rede alvo com quadros de desautenticação.

Deixe o Fluxion em execução neste estado. Ele está agora atacando ativamente a rede alvo. Na próxima etapa, voltaremos ao Wireshark para ver os efeitos.

Aplicar o Filtro Wireshark 'wlan.fc.type_subtype == 0x0c'

Nesta etapa, você aplicará um filtro de exibição no Wireshark para isolar os quadros de desautenticação de todo o outro tráfego de rede. Esta é a etapa mais crucial para detectar o ataque.

Volte para a sua janela do Wireshark em execução. Você verá muitos pacotes 802.11 diferentes, o que pode ser avassalador. Para encontrar os pacotes específicos em que estamos interessados, usamos um filtro de exibição.

Os quadros de desautenticação têm um tipo e subtipo específicos no campo de controle de quadros 802.11. O Wireshark nos permite filtrar com base nisso. O filtro para quadros de desautenticação é wlan.fc.type_subtype == 0x0c.

  1. Localize a barra de filtro de exibição na parte superior da janela do Wireshark. É um campo de entrada de texto longo, geralmente com um fundo verde ou vermelho.
  2. Digite o seguinte filtro na barra:
wlan.fc.type_subtype == 0x0c
  1. Pressione a tecla Enter ou clique no botão "Aplicar" (geralmente uma seta) à direita da barra de filtro.

Assim que o filtro for aplicado, a lista de pacotes será atualizada. Em vez de ver todo o tráfego, agora você deverá ver apenas os pacotes que são identificados como quadros de "Desautenticação". Se a lista estiver vazia, aguarde alguns momentos para que novos pacotes sejam capturados e filtrados.

Observar o Fluxo de Quadros de Desautenticação

Nesta etapa, você observará os resultados do seu filtro. Com o ataque em execução e o filtro aplicado, você deverá ver um padrão claro de atividade maliciosa.

Olhe para o painel principal da lista de pacotes no Wireshark. Você deverá ver um fluxo contínuo de novos pacotes aparecendo, todos os quais correspondem ao seu filtro. É assim que um "flood" de desautenticação se parece. O atacante está enviando esses pacotes repetidamente para garantir que os clientes sejam persistentemente desconectados.

Preste atenção às seguintes colunas na lista de pacotes:

  • No.: O número do pacote na captura. Você verá este número aumentando rapidamente.
  • Time: O carimbo de data/hora quando o pacote foi capturado.
  • Source: O endereço MAC de origem do remetente.
  • Destination: O endereço MAC de destino. Este é frequentemente o endereço de broadcast (ff:ff:ff:ff:ff:ff) para desautenticar todos os clientes, ou o endereço MAC de um cliente específico.
  • Protocol: Deve mostrar 802.11.
  • Info: Fornece um resumo, que deve indicar claramente "Deauthentication".

O grande volume desses quadros é o primeiro grande indicador de um ataque. Uma rede em operação normal pode ver alguns quadros de desautenticação quando um dispositivo se desconecta legitimamente, mas um fluxo constante é um sinal definitivo de um ataque.

Analisar o MAC de Origem dos Quadros de Desautenticação

Nesta etapa, você realizará a última parte da análise para confirmar o ataque. Você examinará o endereço MAC de origem dos quadros de desautenticação.

Em um ataque de desautenticação, o atacante não usa seu próprio endereço MAC. Em vez disso, ele "falsifica" (spoofs) o endereço MAC do Ponto de Acesso (AP) legítimo. Ele finge ser o AP dizendo aos clientes para se desconectarem. Isso torna o ataque mais eficaz porque os clientes confiam em quadros de gerenciamento que parecem vir do AP ao qual estão conectados.

Olhe para a coluna Source na sua captura do Wireshark. Você verá que todos os quadros de desautenticação estão vindo do mesmo endereço MAC. Este endereço MAC é o BSSID (o endereço MAC) do AP "TestNet" que você visou com o Fluxion na Etapa 2.

Ao falsificar o endereço MAC do AP, o atacante engana os dispositivos cliente para que obedeçam ao comando de desautenticação. Para um analista de rede, observar um fluxo de quadros de desautenticação que se originam todos do endereço MAC do AP é evidência conclusiva de um ataque de desautenticação.

Você agora pode parar a captura do Wireshark (botão quadrado vermelho) e fechar o terminal do Fluxion para encerrar o ataque.

Resumo

Parabéns por completar este laboratório! Você simulou e detectou com sucesso um ataque de desautenticação Wi-Fi.

Você aprendeu a:

  • Colocar uma interface sem fio em modo de monitoramento usando airmon-ng.
  • Lançar um ataque de desautenticação usando a ferramenta Fluxion para fins educacionais.
  • Capturar tráfego sem fio ao vivo usando o Wireshark.
  • Aplicar um filtro de exibição específico (wlan.fc.type_subtype == 0x0c) para isolar quadros de desautenticação.
  • Identificar os principais indicadores de um ataque de desautenticação: um fluxo de pacotes de desautenticação e um endereço MAC de origem falsificado que corresponde ao Ponto de Acesso legítimo.

Essas habilidades são fundamentais para o monitoramento e defesa de redes sem fio, formando uma base sólida para análises de cibersegurança mais avançadas.