引言
在本实验中,你将扮演一名网络安全分析师。你的任务是监控一个 Wi-Fi 网络,并检测一种常见的无线攻击类型:deauthentication (deauth) 攻击。这种攻击用于断开客户端与 Wi-Fi 网络的连接,通常是设置一个 evil twin 接入点等其他攻击的初步步骤。
你将使用两个主要工具:
- Fluxion: 一个安全审计工具,在此用于模拟 deauthentication 攻击。
- Wireshark: 一个强大的网络协议分析器,允许你实时捕获和检查网络流量。
在本实验结束时,你将能够启动网络捕获,过滤恶意流量,并识别 deauthentication 攻击的关键特征。对于任何对无线网络安全感兴趣的人来说,这是一项基本技能。
在正确的 Wi-Fi 信道上启动 Wireshark 捕获
在此步骤中,你将准备你的无线接口进行监控,并使用 Wireshark 开始捕获流量。无线网卡必须置于“监控模式”(monitor mode),才能捕获空气中的所有 Wi-Fi 流量,而不仅仅是发往你设备的流量。
首先,从应用程序菜单中打开一个终端。我们将使用 aircrack-ng 套件来管理我们的无线接口。假设你的无线接口是 wlan0。我们将创建一个名为 wlan0mon 的监控接口。
执行以下命令以启动监控模式:
sudo airmon-ng start wlan0
你应该会看到输出确认监控模式已在新的接口上启用,该接口很可能命名为 wlan0mon。
接下来,以 sudo 权限启动 Wireshark 以访问网络接口。
sudo wireshark
当 Wireshark 窗口打开时,你将看到一个可用网络接口列表。找到你的监控模式接口(wlan0mon)并双击它,以开始捕获数据包。主窗口将立即开始填充捕获到的 Wi-Fi 流量。
现在,只需让捕获继续。我们将在下一步发起攻击,然后回来分析流量。
对目标发起 Fluxion Deauth 攻击
在此步骤中,你将使用 Fluxion 发起 deauthentication 攻击。这将生成你将在 Wireshark 中检测到的恶意流量。
打开一个新的终端窗口,保持第一个终端和 Wireshark 运行。在新终端中,以 sudo 权限启动 Fluxion。
sudo fluxion
Fluxion 具有菜单驱动的界面。请仔细遵循以下说明:
- 如果提示选择语言,请输入
1选择 English,然后按 Enter。 - Fluxion 将搜索无线适配器。它应该会找到
wlan0mon。输入与wlan0mon对应的数字(通常是1),然后按 Enter。 - 接下来,它会询问要扫描的信道。选择
1表示“所有信道”(All channels),然后按 Enter。一个新的窗口将弹出,扫描附近的 Wi-Fi 网络。 - 等待大约 15-20 秒让扫描找到一些网络,然后关闭扫描器窗口(标题为“airodump-ng”的那个)。
- 你将在终端中看到目标网络列表。在本实验中,假设你的目标网络名为“TestNet”。输入与“TestNet”对应的数字,然后按 Enter。
- 你将看到攻击选项列表。我们要执行 deauth 攻击。选择
FakeAP - Hostapd选项。 - 对于 SSL 证书,你可以跳过。
- Fluxion 随后会询问使用哪种 deauthentication 攻击方法。选择
aircrack-ngdeauth 选项。这将开始向目标网络发送大量的 deauthentication 帧。
让 Fluxion 在此状态下运行。它现在正在积极攻击目标网络。在下一步中,我们将切换回 Wireshark 查看效果。
应用 Wireshark 过滤器 wlan.fc.type_subtype == 0x0c
在此步骤中,你将在 Wireshark 中应用一个显示过滤器,以将 deauthentication 帧与其他所有网络流量隔离开。这是检测攻击最关键的一步。
回到你正在运行的 Wireshark 窗口。你将看到许多不同的 802.11 数据包,这可能会让你不知所措。为了找到我们感兴趣的特定数据包,我们使用一个显示过滤器。
Deauthentication 帧在 802.11 帧控制字段中具有特定的类型和子类型值。Wireshark 允许我们基于此进行过滤。deauthentication 帧的过滤器是 wlan.fc.type_subtype == 0x0c。
- 找到 Wireshark 窗口顶部的显示过滤器栏。它是一个长文本输入字段,通常带有绿色或红色的背景。
- 在过滤器栏中键入以下过滤器:
wlan.fc.type_subtype == 0x0c
- 按
Enter键或单击过滤器栏右侧的“Apply”按钮(通常是一个箭头)。
应用过滤器后,数据包列表将更新。你将不再看到所有流量,而应该只看到被识别为“Deauthentication”帧的数据包。如果列表为空,请稍等片刻,以便捕获并过滤新的数据包。
观察 Deauthentication 帧的洪流
在此步骤中,你将观察过滤器的结果。在攻击运行且过滤器已应用的情况下,你应该能看到明显的恶意活动模式。
查看 Wireshark 中的主数据包列表窗格。你应该会看到连续不断出现的新数据包,所有这些数据包都符合你的过滤器。这就是 deauthentication“洪流”的样子。攻击者会反复发送这些数据包,以确保客户端持续断开连接。
请注意数据包列表中的以下列:
- No.: 捕获中的数据包编号。你会看到这个数字快速增加。
- Time: 数据包被捕获的时间戳。
- Source: 发送者的源 MAC 地址。
- Destination: 目标 MAC 地址。这通常是广播地址(
ff:ff:ff:ff:ff:ff),用于 deauthenticate 所有客户端,或者是一个特定客户端的 MAC 地址。 - Protocol: 这应该显示
802.11。 - Info: 这提供了摘要,应该清楚地显示“Deauthentication”。
这些帧的巨大数量是攻击的第一个主要指标。正常运行的网络可能会在设备合法断开连接时看到少量 deauthentication 帧,但持续的洪流是攻击的明确迹象。
分析 Deauth 帧的源 MAC 地址
在此步骤中,你将执行最后的分析来确认攻击。你将检查 deauthentication 帧的源 MAC 地址。
在 deauthentication 攻击中,攻击者不会使用自己的 MAC 地址。相反,他们会“伪造”(spoof)合法接入点(AP)的 MAC 地址。他们假装是 AP,告诉客户端断开连接。这使得攻击更加有效,因为客户端会信任那些看起来来自它们所连接的 AP 的管理帧。
查看 Wireshark 捕获中的 Source 列。你会看到所有的 deauthentication 帧都来自同一个 MAC 地址。这个 MAC 地址就是你在步骤 2 中用 Fluxion 目标设定的“TestNet”AP 的 BSSID(即 MAC 地址)。
通过伪造 AP 的 MAC 地址,攻击者欺骗客户端设备服从 deauthentication 命令。对于网络分析师来说,观察到所有源自 AP MAC 地址的 deauthentication 帧洪流,是 deauthentication 攻击的决定性证据。
你现在可以停止 Wireshark 捕获(红色方块按钮)并关闭 Fluxion 终端以结束攻击。
总结
恭喜你完成了本次实验!你已成功模拟并检测了 Wi-Fi deauthentication 攻击。
你学会了如何:
- 使用
airmon-ng将无线接口置于监控模式(monitor mode)。 - 出于教育目的,使用 Fluxion 工具发起 deauthentication 攻击。
- 使用 Wireshark 捕获实时无线流量。
- 应用特定的显示过滤器(
wlan.fc.type_subtype == 0x0c)来隔离 deauthentication 帧。 - 识别 deauth 攻击的关键指标:deauthentication 数据包的洪流以及与合法接入点匹配的伪造源 MAC 地址。
这些技能是无线网络监控和防御的基础,为你更高级的网络安全分析打下了坚实的基础。