LabEx
ВходРегистрация

Обнаружение атаки деаутентификации Fluxion с помощью Wireshark

Beginner
Практиковаться сейчас

Введение

В этой лабораторной работе вы выступите в роли аналитика сетевой безопасности. Ваша задача — отслеживать Wi-Fi сеть и обнаруживать распространенный тип беспроводной атаки: атаку деаутентификации (deauth). Эта атака используется для отключения клиентов от Wi-Fi сети, часто как предварительный шаг для других атак, таких как создание точки доступа "evil twin".

Вы будете использовать два основных инструмента:

  • Fluxion: Инструмент аудита безопасности, используемый здесь для симуляции атаки деаутентификации.
  • Wireshark: Мощный анализатор сетевых протоколов, который позволяет в реальном времени захватывать и анализировать сетевой трафик.

К концу этой лабораторной работы вы сможете начать захват сети, фильтровать вредоносный трафик и выявлять ключевые характеристики атаки деаутентификации. Это фундаментальный навык для всех, кто интересуется безопасностью беспроводных сетей.

Запуск захвата Wireshark на правильном канале Wi-Fi

На этом шаге вы подготовите ваш беспроводной интерфейс для мониторинга и начнете захват трафика с помощью Wireshark. Беспроводная сетевая карта должна быть переведена в "режим мониторинга" (monitor mode), чтобы захватывать весь Wi-Fi трафик в эфире, а не только трафик, предназначенный для вашего устройства.

Сначала откройте терминал из меню приложений. Мы будем использовать набор инструментов aircrack-ng для управления нашим беспроводным интерфейсом. Предположим, ваш беспроводной интерфейс называется wlan0. Мы создадим интерфейс мониторинга под названием wlan0mon.

Выполните следующую команду для запуска режима мониторинга:

sudo airmon-ng start wlan0

Вы должны увидеть вывод, подтверждающий, что режим мониторинга был включен на новом интерфейсе, скорее всего, с именем wlan0mon.

Далее, запустите Wireshark с привилегиями sudo для доступа к сетевым интерфейсам.

sudo wireshark

Когда откроется окно Wireshark, вы увидите список доступных сетевых интерфейсов. Найдите и дважды щелкните на вашем интерфейсе в режиме мониторинга (wlan0mon), чтобы начать захват пакетов. Основное окно немедленно начнет заполняться захваченным Wi-Fi трафиком.

Пока что просто оставьте захват работать. Мы запустим атаку на следующем шаге, а затем вернемся к анализу трафика.

Запуск атаки деаутентификации с помощью Fluxion на цель

На этом шаге вы будете использовать Fluxion для запуска атаки деаутентификации. Это сгенерирует вредоносный трафик, который вы обнаружите в Wireshark.

Откройте новое окно терминала, оставив первый терминал и Wireshark запущенными. В новом терминале запустите Fluxion с привилегиями sudo.

sudo fluxion

Fluxion имеет интерфейс, управляемый меню. Внимательно следуйте этим инструкциям:

  1. Если будет предложено выбрать язык, введите 1 для английского и нажмите Enter.
  2. Fluxion выполнит поиск беспроводных адаптеров. Он должен найти wlan0mon. Введите номер, соответствующий wlan0mon (обычно 1), и нажмите Enter.
  3. Далее будет предложено выбрать канал для сканирования. Выберите 1 для "Все каналы" (All channels) и нажмите Enter. Появится новое окно, сканирующее ближайшие Wi-Fi сети.
  4. Подождите около 15-20 секунд, пока сканирование не обнаружит некоторые сети, затем закройте окно сканера (окно с заголовком "airodump-ng").
  5. В терминале вы увидите список целевых сетей. Для этой лабораторной работы предположим, что вы нацеливаетесь на сеть с именем "TestNet". Введите номер, соответствующий "TestNet", и нажмите Enter.
  6. Вам будет представлен список вариантов атаки. Мы хотим выполнить атаку деаутентификации. Выберите опцию FakeAP - Hostapd.
  7. Сертификат SSL можно пропустить.
  8. Затем Fluxion спросит, какой метод атаки деаутентификации использовать. Выберите опцию деаутентификации aircrack-ng. Это начнет насыщать целевую сеть кадрами деаутентификации.

Оставьте Fluxion запущенным в этом состоянии. Он активно атакует целевую сеть. На следующем шаге мы вернемся к Wireshark, чтобы увидеть результаты.

Применение фильтра Wireshark 'wlan.fc.type_subtype == 0x0c'

На этом шаге вы примените фильтр отображения в Wireshark, чтобы выделить кадры деаутентификации из всего остального сетевого трафика. Это самый важный шаг в обнаружении атаки.

Вернитесь к запущенному окну Wireshark. Вы увидите множество различных пакетов 802.11, что может быть ошеломляющим. Чтобы найти конкретные пакеты, которые нас интересуют, мы используем фильтр отображения.

Кадры деаутентификации имеют определенное значение типа и подтипа в поле управления кадрами 802.11. Wireshark позволяет нам фильтровать по этому значению. Фильтр для кадров деаутентификации: wlan.fc.type_subtype == 0x0c.

  1. Найдите строку фильтра отображения в верхней части окна Wireshark. Это длинное поле для ввода текста, часто с зеленым или красным фоном.
  2. Введите следующий фильтр в строку:
wlan.fc.type_subtype == 0x0c
  1. Нажмите клавишу Enter или кнопку "Применить" (обычно стрелка) справа от строки фильтра.

После применения фильтра список пакетов обновится. Вместо просмотра всего трафика вы теперь должны видеть только пакеты, идентифицированные как кадры "Deauthentication". Если список пуст, подождите несколько мгновений, пока не будут захвачены и отфильтрованы новые пакеты.

Наблюдение за потоком кадров деаутентификации

На этом шаге вы будете наблюдать за результатами вашего фильтра. При запущенной атаке и примененном фильтре вы должны увидеть четкий паттерн вредоносной активности.

Посмотрите на основную панель списка пакетов в Wireshark. Вы должны увидеть непрерывный поток появляющихся новых пакетов, все из которых соответствуют вашему фильтру. Так выглядит "потоп" деаутентификации. Злоумышленник отправляет эти пакеты многократно, чтобы гарантировать постоянное отключение клиентов.

Обратите внимание на следующие столбцы в списке пакетов:

  • No.: Номер пакета в захвате. Вы увидите, как это число быстро увеличивается.
  • Time: Временная метка, когда пакет был захвачен.
  • Source: MAC-адрес источника отправителя.
  • Destination: MAC-адрес назначения. Часто это широковещательный адрес (ff:ff:ff:ff:ff:ff) для деаутентификации всех клиентов или MAC-адрес конкретного клиента.
  • Protocol: Здесь должно отображаться 802.11.
  • Info: Здесь содержится сводка, которая должна четко указывать "Deauthentication".

Сам объем этих кадров является первым основным признаком атаки. Сеть в нормальном режиме работы может видеть несколько кадров деаутентификации, когда устройство законно отключается, но постоянный поток является явным признаком атаки.

Анализ MAC-адреса источника кадров деаутентификации

На этом шаге вы выполните заключительный этап анализа для подтверждения атаки. Вы изучите MAC-адрес источника кадров деаутентификации.

При атаке деаутентификации злоумышленник не использует свой собственный MAC-адрес. Вместо этого он "подделывает" (spoofs) MAC-адрес легитимной точки доступа (AP). Он выдает себя за точку доступа, сообщая клиентам об отключении. Это делает атаку более эффективной, поскольку клиенты доверяют управляющим кадрам, которые, как кажется, исходят от точки доступа, к которой они подключены.

Посмотрите на столбец Source в вашем захвате Wireshark. Вы увидите, что все кадры деаутентификации исходят от одного и того же MAC-адреса. Этот MAC-адрес является BSSID (MAC-адресом) точки доступа "TestNet", которую вы выбрали целью с помощью Fluxion на Шаге 2.

Подделывая MAC-адрес точки доступа, злоумышленник обманывает клиентские устройства, заставляя их подчиняться команде деаутентификации. Для сетевого аналитика наблюдение потока кадров деаутентификации, исходящих от MAC-адреса точки доступа, является убедительным доказательством атаки деаутентификации.

Теперь вы можете остановить захват Wireshark (красная кнопка в виде квадрата) и закрыть терминал Fluxion, чтобы завершить атаку.

Резюме

Поздравляем с завершением этой лабораторной работы! Вы успешно смоделировали и обнаружили атаку деаутентификации Wi-Fi.

Вы научились:

  • Переводить беспроводной интерфейс в режим мониторинга с помощью airmon-ng.
  • Запускать атаку деаутентификации с помощью инструмента Fluxion в образовательных целях.
  • Захватывать трафик беспроводной сети в реальном времени с помощью Wireshark.
  • Применять специальный фильтр отображения (wlan.fc.type_subtype == 0x0c) для выделения кадров деаутентификации.
  • Определять ключевые индикаторы атаки деаутентификации: поток пакетов деаутентификации и поддельный MAC-адрес источника, соответствующий легитимной точке доступа.

Эти навыки являются основополагающими для мониторинга и защиты беспроводных сетей, закладывая прочную основу для более продвинутого анализа кибербезопасности.