DOS атаки на WiFi-сети

/* Вступление */

Слабая защищенность протоколов стандарта 802.11 вкупе с низким уровнем подготовки системных администраторов многих сетей, использующих этот стандарт, делают проникновение в беспроводную сеть задачей тривиальной для любого более-менее квалифицированного взломщика. Мы уже писали о классических приемах взлома WiFi-сетей: описывали уязвимости WEP, процесс взлома сетевых ключей и использование социальной инженерии. Но реальность такова, что помимо этих приемов, протоколы семейства 802.11 уязвимы и к DoS-атакам, которые позволяют заглушить любую точку доступа, нарушить функционирование сети и перехватить данные. Об этой угрозе мы и поговорим сегодня.


/* Зачем это? */

Зачем проводить DoS-атаку на WiFi? Что бы вывести сеть из строя? Да, но не только для этого, ведь DoS-атака является важной составной частью атак man-in-middle. Вообще, рассмотрение атак этого типа, тема отдельной статьи, но если кратко, то суть данной атаки заключается в замене работающей в сети точки доступа своей собственной. Чтобы отключить законную AP необходимо ее задосить, вывести из строя. Соорудить фальшивую точку доступа не так уж сложно, главное проблема здесь — в совпадении параметров внедряемой точки доступа (таких как ESSID, WEP, MAC) с параметрами точки-жертвы. Более простая реализация атаки «человек посередине» состоит в подмене какого-то клиентского хоста своим поддельным, что гораздо проще осуществить, так как не нужно конфигурировать внедряемый хост как AP, а нужно только имитировать IP и MAC подменяемого узла.
Реализовывать такие атаки неплохо на пару с другом – один со своего ноута занимается досом точки, другой в это время пытается «прикинуться» для остальных нодов данной сети этой самой точкой доступа. Можно также действовать с одного компа, но для этого придется установить на него две WiFi-карты.


/* Классификация WiFi-DoS */

Довольно логично все DoS-атаки на WiFi разделить на две группы:
* Атаки на так называемый 1-й, физический уровень сети
* Атаки на 2-й уровень, программный

Атаки первого типа представляются двумя разновидностями. Первая предполагает бомбардировку рабочей частоты уничтожаемого хоста различным шумовым трафиком, представляющим из себя «информационный мусор». По сути, это обыкновенный флуд корректным трафиком, приводящий к Denial of Service. Вторая разновидность заключается в использовании специальных шумогенераторов, которые напрочь забивают рабочий диапазон помехами и препятствуют нормальной работе.
Атаки на программный уровень предполагают использование уязвимостей в различных протоколах, службах, системах аутентификации и т.п. В этой статье будут рассматриваться, помимо атак на первый уровень, атаки, нацеленные на протоколы беспроводных сетей 802.11.
Отсюда можно предложить еще одну классификацию атак на протоколы WiFi — в зависимости от стандарта беспроводной сети. Сегодня используются следующие стандарты сетей 802.11: 802.11a, 802.11b, 802.11g, 802.11i. Большинство выпущенного в недавнее время оборудования для беспроводных сетей ориентированно на работу в первых двух. Поэтому зачастую администраторы уже сложившихся беспроводных сетей не имеют возможности, по чисто экономическим причинам, перейти на более безопасный протокол 802.11g. Рассмотрим подробнее атаки на первый уровень беспроводных сетей.


/* Глушение */

Как ты знаешь, сети WiFi используют диапазон частот 2,4-2,5 Ггц. Рассмотрим стандарт 802.11b, наиболее распространенный на сегодняшний день. Ширина канала в данном стандарте составляет 22МГц, минимальный промежуток частот между каналами – 5 МГц. Таким образом, возможна передача на четырнадцати каналах, многие из которых сильно перекрываются, вследствие чего в одной зоне покрытие одновременно нормально могут функционировать три точки доступа, у которых частоты не перекрываются или перекрываются очень слабо. Посмотри на рисунок, тебе сразу станет ясен смысл написанного выше.
Предположим, мы хотим отрубить точку доступа от сети, чтобы провести атаку «человек посередине». Для этого мы начинаем наполнять «мусором» канал, на котором работает эта точка доступа. Допустим, она работает на шестом канале (во многих точках этот канал установлен «по умолчанию»). Если начать передавать по данному каналу огромное количество ничего не представляющих из себя фреймов 802.11 со значительной мощностью сигнала (EIRP), то у хостов, взаимодействующих с этой точкой повысится BER (Basic Error Ratio – базовый коэффициент ошибки). Большая часть оборудования для беспроводной связи в таком случае начинает искать возможность соединения на соседних каналах и если они обнаружат там точку с теми же параметрами ESSID, WEP (а они ее обнаружат – мы подсуетимся над этим и более низким BER, то они установит соединение с этой точкой, «забив» на законную AP. Это действует, однако, с некоторыми оговорками. Во-первых, некоторые девайсы можно настроить таким образом, что они будут работать на одном и том же канале, вне зависимости от уровня BER, чем часто пользуются админы сетей WiFi. Но это характерно, в основном, для стационарного оборудования, мобильные хосты практически всегда ориентируются на взаимодействие с точкой доступа по стабильному каналу.
Как видишь, для проведения атаки «человек посередине» не обязательно даже окончательно отрубать точку доступа от сети, достаточно лишь замусорить ее рабочий канал и развернуть поддельную точку, отстоящую не менее чем на пять каналов от подавляемой AP. При этом хорошо бы использовать антенну с высоким коэффициентом усиления для внедряемой точки.
Если проводить аналогию с DoS-атаками в проводных сетях, то такие атаки по своей сути больше напоминают Distributed DoS, где используется большое число компьютеров, генерирующих огромное количество трафика в сторону жертвы, заваливая ее различными запросами и т.п. В нашем же случае, вместо большого числа атакующих компьютеров используется один, но использующий большую мощность передачи сигнала.
Еще один способ «завалить» сеть стандарта 802.11 заключается в использовании специально сконструированной «глушилки», представляющей собой устройство, генерирующее шумы в определенном диапазоне частот. Очень мощный шумогенератор можно изготовить из магнетрона – девайса, использующемся в микроволновых печах. Интересно, что магнетрон работает на частоте 2,445 ГГц плюс-минус определенное мегагерц, обычно весьма значительное. Угадай, какой канал он перекрывает в первую очередь? Конечно, самый используемый – шестой.
Беспроводные сети беззащитны перед атаками на первый уровень. Единственное, что можно предпринять – попробовать обнаружить источник помех. Это можно сделать методом триангуляции, т.е. путем замера уровня сигнала шумогенератора в нескольких точках. На основании полученных данных можно попытаться определить местонахождение глушащего устройства.


/* Buffer overflow */

Итак, переполнение буфера. Дело в том, что многие точки доступа, в том числе программные, отводят ограниченную область памяти под обработку запросов на присоединение и аутентификацию. Переполнение буфера можно осуществить с помощью проги Void11. Эта прога предназначена для работы в Linux (нужны дрова HostAP и карта с набором микросхем Prism). Данная тулза идеально подходит для проведения DoS-атак на беспроводные сети. Она умеет генерировать фреймы трех типов: запрос на аутентификацию, присоединение и прекращение сеанса. Она также умеет проводить атаки на несколько хостов, устанавливать количество одновременно работающих потоков, задержку между отправкой фреймов и многое другое. В общем, отличная штука.
Еще одна возможность переполнения буфера точки состоит в том, чтобы присоединиться к ней, и после этого начать быстро менять свой MAC. Как менять MAC-адрес? Элементарно!

Code:

$ ifconfig wlan0 hw ether FF:FF:FF:FF:FF:FF

Это с помощью ifconfig, аналогичная операция с помощью iproute выполняется следующим образом:

Code:

$ ip link set dev wlan0 address FF:FF:FF:FF:FF:FF

Реализовать быструю смену MAC можно, написав небольшой сценарий, например, на перле, что и было сделано Джошуа Райтом в его творении macfld.pl . Чтобы выполнить сценарий, вводим:

Code:

$perl macfld.pl –c 1000 –u 10000

Флаг –c указывает на то, сколько нужно генерировать MAC-адресов, флаг –u предназначен для установки задержки в микросекундах, перед генерацией следующего MAC’а.

/* Фреймы-фальшивки */

Наиболее распространенный вид DoS-атак — это посылка большого количества фреймов с запросами на прекращение сеанса и отсоединение. Сущность этой атаки состоит в отправке выбранному хосту или хостам запросов на прекращение сеанса и отсоединение от имени точки доступа, т.е. от ее MAC-адреса. Отсоединив хост, можно присоединиться к сети, установив его MAC-адрес. Так обычно хакеры обходят фильтрацию мак-адресов.
Чтобы надолго вырубить хост, лучше всего применить Void11. Давай посмотрим ее в работе. Но сначала нужно установить дрова HostAP. Найти их последнюю версию можно на http://hostap.epitest.fi. Чтобы Void11 работала на них, необходимо определить константу PRISM2_HOSTAPD в driver/modules/hostap_config.h (это необходимо проделывать в ранних версиях драйверов, в новых — не нужно). Компилим под рутом:

Code:

$ make && make_pccard

Это вариант для карт PCMCIA. Теперь нужно перезапустить службы PCMCIA и поместить карту в разъем. Если все прошло успешно, то карта начинает работать в режиме точки доступа. Можно произвести настройку карты с помощью Linux Wireless Extensions:

Code:

$ iwconfig

Ты увидишь, параметры работы карты (они берутся из /proc/net/dev). Здесь параметр «Mode:Master» означает, что карта работает в режиме точки доступа. Сменить режим и любой параметр можно командой:

Code:

$ iwconfig wlan0 mode repeater channel 6

Так мы заставили карту работать в качестве репитера на шестом канале. Как я уже говорил, сконфигурировать точку доступа совсем несложно.
Void11 состоит из двух утилит: void11_hopper и void11_penetration. Хоппер конфигурирует карту, а пенетрейшн нужен для генерации фреймов. Отрубим, например, хост c MAC-адресом FF:FF:FF:FF:FF:FF, посылая фреймы с адреса AA:AA:AA:AA:AA:AA:

Code:

void11_hopper >/dev/null &
void11_penetration –s AA:AA:AA:AA:AA:AA –B FF:FF:FF:FF:FF:FF –D wlan0

А вот пример атаки на переполнение буфера по списку адресов, содержащихся в файле spisok:

Code:

void11_hopper >/dev/null &
void11_penetration –t 2 –l spisok –D wlan0

Я не стану подробно останавливаться на назначении различных флагов этой утилы, будет лучше, если ты разберешься в них сам (-h – самый важный флаг .
Идем дальше. Данную атаку можно усилить путем посылки вместе с фреймами, содержащими запросы на отсоединение или прекращение сеанса, еще и поддельных ответов на пробные запросы атакуемого хоста, перенаправляющих этот хост на точку с несуществующими ESSID и на неиспользуемый канал. Для проведения этой атаки в дополнение к Void11 можно использовать перловый скрипт fakeap.pl от Black Alchemy Enterprises, умеющую посылать поддельные фреймы-маяки. Как и воид11, фейкэп работает на драйверах HostAP. Перед использованием этот скрипт придется немного править. Во-первых, переменную $MAX_CHANNEL, которая равна 11 исправь на 14 (американское законодательство сужает диапазон частот под WiFi, поэтому максимальное число каналов там – 11, у нас – 14). Возможно, придется изменить пути к файлам в переменных $IWCONFIG, $IFCONFIG, $CRYPTCONF. Запускаем:

Code:

$ perl fakeap.pl

Как видишь, нам потребуется указать в параметре –channel какой-нибудь неиспользуемый, указать параметром –words файл с заранее подготовленным списком поддельных ESSID.
Существует еще одна разновидность DoS-атак, использующая поддельные фреймы. Она реализована Марком Осборном (Mark Osborne) в проге fata_jack. Эта программка посылает запрос на аутентификацию к точке доступа от имени хоста-жертвы. Запрос сформирован таким образом, что точка возвращает атакуемому хосту фрейм с сообщением об ошибке и разрывает с ним соединение, причем повторное присоединение этого хоста к точке становится весьма затруднительным.

/* Фреймы-фальшивки */

Работает fata_jack на драйверах идущих в комплекте программ AirJack. Должен сказать, что этот комплект, пожалуй, наилучший инструмент для генерирования различных фреймов 802.11. Изначально он создавался для карт с набором микросхем PrismII, но уже сейчас его можно настроить и под карты с набором схем Hermes, а в планах разработчиков осуществить в будущем поддержку и других наборов схем. AirJack включает в себя ряд утилит: monkey_jack – предназначенную для проведения атак «человек посередине»; ее модификацию cracker_jack; essid_jack, служащую для обнаружения скрытого ESSID; wlan_jack — для посылки фреймов прекращения сеанса с поддельным MAC. Распространяется AirJack по лицензии GNU, взять исходники можешь на http://802.11ninja.net/airjack.
Под драйвера AirJack написана такая замечательная прога как, File2Air. Название ее говорит само за себя – она передает файлы по воздуху. При этом она не генерирует фреймы 802.11, а просто передает двоичный файл «в эфир». Эта тулза для настоящих хакеров. Ты можешь сам составлять абсолютно любые фреймы в шестнадцатеричном редакторе и посылать их по указанному каналу, указав задержку, количество отправок и иные параметры. Конечно, необходимо знание различных протоколов стандарта 802.11, но представь, как удобно с помощью этого инструмента искать новые уязвимости сетей и реализовывать атаки, для которых еще не создано специализированного инструмента. В комплекте с первой версией этой программы шло всего три примера двоичных файлов, применение которых описывалось в README. Сейчас уже можно найти файлы с фреймами, предназначенными, например, для проведения всех вышеописанных DoS-атак. Таким образом, эта прога – самый универсальный инструмент WiFi-хакера, который годится как для атак на беспроводные сети, так и для их защиты от вторжений. Она умеет посылать фреймы даже в режиме мониторинга, а это позволяет реагировать на различные события в сети, путем написания несложных скриптов.

Собирается AirJack стандартной командой make. При этом, возможно, появится сообщение об ошибке, связанной с символом ‘cmpxchhg’. Исправить ее можно, удалив флаг –Werrow из переменной CFLAGS, находящейся в файле Makefile. Далее надо скопировать airjack_cs.o в каталог /lib/modules/версия_ядра/pcmcia и запустить depmod. Затем в etc/pcmcia нужно править файлы wlan-ng.conf и config путем замены всех строк bind prism2_cs на airjack_cs. Теперь остается вытащить карту из разъема и перезапустить менеджер карт. Вставляем ее снова и даем команду lsmod. Если все прошло успешно, то в качестве модуля будет стоять airjack-cs. Теперь нужно поднять интерфейс беспроводной карты.

Code:

$ ifconfig –a

Смотрим, появился ли интерфейс aj0 и, если появился, поднимаем его:

Code:

$ ifconfig aj0 up

Осталось собрать утилиты, входящие в ЭйрДжек. Переходим в подкаталог /tools каталога программы, вводим make, а затем еще и make monkey_jack.

/* Нереализованные атаки */

Ряд атак на беспроводные сети существует пока только в теории. Не существует инструментов для их проведения (или просто мне об этом не известно, а кто-то вовсю уже досит этими способами, хотя, возможно, они так и останутся только в теории).
Одна из нереализованных дос-атак на WiFi состоит в изменении контрольных сумм (CRC-32) посылаемых фреймов, в результате чего фрейм не принимается хостом. В то же время отправителю посылается поддельный фрейм с подтверждением успешного принятия фрейма, который на самом деле растворился в воздухе. Сложность в реализации этой атаки состоит в том, что нужно сгенерировать шум, точно в момент передачи контрольной суммы (это последние четыре байта) фрейма.
Подобную атаку предлагают использовать против сетей стандарта 802.11i. Только здесь необходимо исказить контрольную сумму, подтверждающую целостность сообщения (MIC – Message Integrity Checksum) в протоколе TKIP. В стандарте определено, что если за одну секунду придет больше одного фрейма с неправильной MIC, то хост отсоединится на минуту, а затем присоединиться с новым сеансовым ключом.

/* Специфичные атаки */

Можно привести ряд концепций атак на сети, использующие определенные специфичные настройки. К примеру, в сети может быть включен режим экономии энергии. В таком режиме хосты могут находиться в спящем режиме, а точка доступа будет накапливать предназначенные им фреймы. Взломщик может притвориться сонным хостом, а затем выйти из спящего режима, после чего он получит все фреймы, предназначенные «уснувшему» хосту. Еще один способ, с помощью которого можно воспользоваться в корыстных целях спящим режимом хоста, заключается в подделке специальных служебных фреймов с TIM (Traffic Indication Map), посылаемых точкой доступа. AP посылают «спящим» хостам TIM-фреймы с сообщением о поступлении новых данных для данного хоста, чтобы тот «проснулся» и забрал накопившуюся информацию. Если каким-то образом перекрыть настоящим TIM-фреймам доступ к хосту, то точка доступа будет вынуждена уничтожать накопившиеся и не полученные хостом фреймы, так как имеет ограниченный размер буфера для их хранения.

/* Заключение */

Хочу сказать, что написал далеко не обо всех возможных видах Denial of Service, характерных для беспроводных сетей 802.11. Еще хочу сказать, что DoS-атаки на сети – дело нехорошее, поэтому не стоит досить сетки только в отместку за то, что ты не смог в них проникнуть или оттого, что тебе просто нечем заняться.

(c) Hell Knights Crew // DigiMortal
Автор: DigiMortal​

 

Этот вид атак не очень распространен и не может дать поразительного эффекта, ввиду ограничения скорости канала, но все же это все имеет место быть!
Пасиба!

 

где-то читал уже такое... +))

>> не может дать поразительного эффекта, ввиду ограничения скорости канала

еще как может..

 

Хочу поэксперементировать, вблизи есть нехорошие соседи с wifi, как заддосить их?, можно ли напрямую с моего роутера на их подавать запросы или с wifi ноутбука ?
у меня windows xp и win7

 

mdk3 c параметром "-a ", вот и весь DoS WiFi

 

man-in-middle.

это вот интересно

 

ого ... археологи , теме 100 лет уже а вы ее апаете . (((

 

Ребят помогите может кто подскажет чего, пытаюсь перезагрузить точку мгтс_гпон модем RV6688BCM (залочил впс) клиентов 500000 посадил на нее толку 0 (
команда root@kali:~# mdk3 wlan0mon a -a D4:21:22:FF:27:76
ОС Кали линукс ролинг, инструмент мдк3, экспирементирую на своей точке MGTS_GPON**** модель таже.
В системном журнале роутера пишет это:

А может как в соседней ветке нужна обнова на mdk3 модифицированная? Дайте совет .
Рубильник под замком)
MDK 3.0 v6 - "Yeah, well, whatever"
by ASPj of k2wrlz, using the osdep library from aircrack-ng
And with lots of help from the great aircrack-ng community:
Antragon, moongray, Ace, Zero_Chaos, Hirte, thefkboss, ducttape,
telek0miker, Le_Vert, sorbo, Andy Green, bahathir and Dawid Gajownik
THANK YOU!