Статья Детектор деаутентификации (диссоциации) клиентов. Часть 1.

Debug

Debug

Red Team
07.07.2017
174
418
Введение:
Всем доброго времени суток, сегодня рассмотрим, как можно обнаружить инструменты с которых производится деаутентификация(диссоциация) клиентов(Часть 1).
И самое интересное для “некоторых читателей” напишем собственный инструмент, который сможет определять инструмент с которого производится атака деаутентификация(DoS) и на кого она направлена(Часть 2). Стоит также заметить, что детектор будет реагировать на такие инструменты как: Airgeddon-ng и MDK3.

Сегодня рассмотрим, как можно обнаружить ПО с которого производится атака(Airgeddon-ng и MDK3).

Что такое деаутентификация?
Деаутентификация
- это одна из разновидностей атак на беспроводную сеть, суть которой заключается в разъединение клиентов от их точек доступа.

Большинство атак деаутентификации являются довольно простыми в реализации и используют хорошо документированные недостатки в том, как сети управляют соединениями. Поскольку такие пакеты не зашифрованы, злоумышленнику легко создать поддельные пакеты после прослушивания беспроводных каналов поблизости.

Реализация деаутентификации.
Для проведение атаки требуется перевести вашу карту Wi-Fi в режим мониторинга.
Для большинства интерфейсов карт работает следующий способ: airmon-ng start wlan0.
Важно заметить, что вместо wlan0 нужно указывать ваше имя интерфейса.

После перевода карты в режим мониторинга попробуем реализовать атаку деаутентификации с помощью следующих инструментов: Airgeddon-ng и MDK3.
Команда для Airgeddon-ng выглядит так: aireplay-ng -0 1 -a 00:00:00:00:00:00 wlan0mon
Где:
  • -0 - деаутентификация.
  • 1 - кол-во пакетов.
  • -a 00:00:00:00:00:00 - MAС-адрес точки доступа.
  • wlan0mon - интерфейс карты.
Больше информации можно получить -
Команда для MDK3 выглядит так: mdk3 wlan0mon d -b blacklist.txt -c 1
Где:
  • d - деаутентификация.
  • -b - выбор файла с черным списком.
  • blacklist.txt - файл с белыми MAC-адресами.
  • wlan0mon - интерфейс карты.
  • -с 1 - канал.
Что будем использовать для обнаружения виновника?
Несмотря на то, что данный вид угроз может принести довольно много хлопот жертве, их достаточно просто обнаружить с помощью бесплатных программ. В данной статье мы рассмотрим, как обнаружить атаку на примере бесплатной программы Wireshark.

Почему Wireshark?
Wireshark - это фантастическая программа, хотя бы потому, что она кроссплатформенна и позволяет довольно гибко работать с пакетами.

Подготовка.
Начнем с того, что переведем нашу карту в режим мониторинга. Как это сделать можно легко найти в интернете. Можно тут почитать:
Следующая наша задача настроить фильтрацию пакетов, так как Wireshark будет ловить много лишней для нас информации.
1547628162816.png

Прежде чем перейдем к сниффингу трафика, откроем Wireshark. Выберем наш интерфейс карты, в моем случае это - wlan0mon.
Также следует помнить, что нам необходимо вручную переводить нашу карту на различные каналы. Для этих целей можно использовать Airodump-ng. Но поступим по-своему и напишем скрипт на Python, который будет заниматься этим делом.

Фильтры для Wireshark.
После того, как мы перевели нашу карту в режим мониторинга, запустили и выбрали наш интерфейс карты, осталось всего-лишь настроить фильтрацию.

Используем следующий фильтр - wlan type data or wlan type mgt and (subtype deauth or subtype disassoc)
Если разобраться, то мы будем сохранять пакеты беспроводной сети, сами пакеты будут либо пакетами данных либо пакетами управления.
Кроме того, мы хотим, чтобы эти пакеты были либо пакетами деаутентификации, либо диссоциации.

1547628344464.png

Сразу отметим тот факт, что искать пакеты мы будем 2-х популярных инструментов - Airgeddon-ng и MDK3.

Используем цветовые фильтры отображения
Для удобства мы должны настроить Wireshark таким образом, чтобы в зависимости от пакетов, применялись различные цвета для их отображения.

Чтобы настроить правила отображения, следует перейти в окно Wireshark - View - Coloring Rules Default. Для этого нужно выбрать пункт меню View и затем выбрать Coloring Rules.
В окне нажимая на значок “+” мы можем вставлять свой фильтр и применять к нему различную палитру.

Фильтры, которые мы будем использовать, будут оранжевыми для пакетов деаутентификации и желтыми для пакетов диссоциации. Мы можем установить их, установив следующие значения:
Код:
Deauth: Airmon or MDK3 - wlan.fc.type_subtype == 0x00c
Disassoc: Airmon or MDK3 - wlan.fc.type_subtype == 0x00a
1547628810187.png


Это установит фильтр для разделения пакетов, которые мы ищем, по типу инструмента, который их отправляет.
После этого убедитесь, что новые цветовые правила выбраны с галочкой, и нажмите «ОК», чтобы сохранить изменения.
В итоге у вас должно получиться что-то напоминающие это:

1547628857617.png


Находясь в главном окне, мы можем ввести следующий экранный фильтр для сортировки в панель фильтра. Вы заметите, что он имеет совершенно другой синтаксис от фильтра захвата.

data || wlan.fc.type_subtype == 0x00c || wlan.fc.type_subtype == 0x00a

1547628970546.png


Классификация пакетов.
Теперь время для теста используя Airgeddon-ng(Aireplay-ng) и MDK3 выбираем свою собственную сеть Wi-Fi (или ту, на которую у вас есть разрешение) и начинаем отправлять пакеты для деаутентификации.

Мы должны заметить две различные схемы атак, и как защитники, мы сможем определить, какая программа запущена, исходя из данных, которые показывает Wireshark.

  • Aireplay-ng:
    • с Aireplay-ng вы не должны видеть ничего, кроме красных(вообще темно-оранжевые) атак деаутентификации:
1547629269834.png


  • MDK3:
    • Шаблон красных(вообще темно-оранжевые) и желтых полос выделяет MDK3 как отличительный по своей сигнатуре атаки, объединяя цели с объединенными пакетами деаутентификации и диссоциации.
1547634025142.png


Если мы видим эти потоки пакетов, то можем предполагать о том, что идет атака. Но иногда эти пакеты происходят в обычных условиях, особенно в корпоративных сетях. Если вы видите несколько одиночных пакетов диссоциации или случайный пакет деаутентификации, это не должно вызывать у вас тревогу и подозрения.

На этом 1 часть окончена. Во-второй части мы напишем небольшой инструмент, который будет "детектить атаку" и также определять "виновника торжества"
 
Последнее редактирование:
non_logs

non_logs

Well-known member
29.12.2016
144
66
Вот бы было сказано как с этим бороться
 
  • Нравится
Реакции: g00db0y и Debug
V

Valkiria

Вот бы было сказано как с этим бороться
C чем бороться ?
Ты имеешь ввиду, как организовать атаку таким образом, чтобы выйти сухим из воды ?
Как атаковать точку доступа, чтобы "товарищи" не заметили ))
Теперь, после этой статьи я вот что думаю.
Как только в доступном эфире ты заметил подозрительную точку доступа, как только появилось подозрение в том, что какая-то точка доступа сканирует тебя, то пора сматывать удочки ))
Меняй место дислокации.
 
Debug

Debug

Red Team
07.07.2017
174
418
C чем бороться ?
Ты имеешь ввиду, как организовать атаку таким образом, чтобы выйти сухим из воды ?
Как атаковать точку доступа, чтобы "товарищи" не заметили ))
Теперь, после этой статьи я вот что думаю.
Как только в доступном эфире ты заметил подозрительную точку доступа, как только появилось подозрение в том, что какая-то точка доступа сканирует тебя, то пора сматывать удочки ))
Меняй место дислокации.
Скорее всего, товарищ имел ввиду, как защититься от DoS. Ведь может, кто-то захочет подложить ему wi-fi глушилку или другие устройства, например, NodeMCU ESP8266(Она довольно не плохо проявляет себя в качестве глушилку).
 
Последнее редактирование:
  • Нравится
Реакции: dehimb
V

Valkiria

У меня прямой вопрос ))

Допустим, я атакую определённую точку доступа.
Мне нужно поймать рукопожатие.
Я посылаю со своего адаптера сигнал деаутентификации клиента этой точки.

Сигнал от моего адаптера, посланный с целью деаутентификации клиента, сможет быть зафиксирован с помощью описанного (во второй части - ?) способа ?
 
Debug

Debug

Red Team
07.07.2017
174
418
У меня прямой вопрос ))

Допустим, я атакую определённую точку доступа.
Мне нужно поймать рукопожатие.
Я посылаю со своего адаптера сигнал деаутентификации клиента этой точки.

Сигнал от моего адаптера, посланный с целью деаутентификации клиента, сможет быть зафиксирован с помощью описанного (во второй части - ?) способа ?
К сожалению или к счастью ни в пакетах деаутентификации ни в пакетах диссоциации MAC-адресс атакующего не фигурирует. В этом легко убедиться посмотрев содержимое пакета в Wireshark.
 
  • Нравится
Реакции: Valkiria
V

Valkiria

Аж легче стало от такого ответа )) И небо стало более голубым.
Каким образом вообще обнаруживается атака на беспроводные сети ?
Я имею ввиду обнаруживается не жертвой, а "третьими лицами" ?
 
Debug

Debug

Red Team
07.07.2017
174
418
Аж легче стало от такого ответа )) И небо стало более голубым.
Каким образом вообще обнаруживается атака на беспроводные сети ?
Я имею ввиду обнаруживается не жертвой, а "третьими лицами" ?
Если речь идёт об атаке DoS, то третьи лица прослушивая трафик(в том же Wireshark, с правильными фильтрами) могут спокойно получить информацию о следующем: какой инструмент используется, на какою точку доступа(Mac) атака и на какою цель(Mac), кол-во пакетов ну и прочая мелкая и ненужная информация).
 
  • Нравится
Реакции: Valkiria
Sdr

Sdr

Премиум 72
20.01.2016
78
56
А еще лучше таким промышлять с "чистого" свистка как мне кажется)
 
Sdr

Sdr

Премиум 72
20.01.2016
78
56
Debug
Да может миф. Читал, если не ошибаюсь перевод какой то статьи забугорной про прошивки чипов и тд. Так там примеры приводились аудио плат, материнок и на то время популярных блутуз свистков. Мол каждый чип имеет свои уникальные данные, сигнатуру, по которой можно определить устройство. Скорее миф наверное, но знаю людей которые со своего "рабочего" свистка не заходят на свои почтовые ящики и тд.
 
A

am29f010b

Вот бы было сказано как с этим бороться
Уменьшить усиление антенны (если это возможно) Уменьшить Pвых. роутера <100мВт (это полезно в целом, если не требуется сигнал за стены своего бунгала, к тому же скопление ~40точек - в одной комнате это уже риск для здоровья по расч. Сан.Пин.) И скинуть еще порядка (15-20дБm) - роутер положить в аккуратный бокс по электрике, сам zigbee так тестировал. Остальное сделают стены (они очень сильно снижают и без того ослабленный сигнал).
 
Последнее редактирование модератором:
Sdr

Sdr

Премиум 72
20.01.2016
78
56
am29f010b
Или просто использовать антенну не с круговой диаграммой.
 
A

am29f010b

am29f010b
Или просто использовать антенну не с круговой диаграммой.
Это же непросто? штыревые антенны с круговой (тор) дн, свою изготавливать антенну (разве это проще)? яги же не поставишь. Я встречал штыревые антенны (которые не на излучение работают, а на "затухание" "нагрев" себя, Но это был брак.
Соглашусь, что программное снижение мощности не работает на некоторых прошивка роутера (а должно).
 
Sdr

Sdr

Премиум 72
20.01.2016
78
56
Это же непросто? штыревые антенны с круговой (тор) дн, свою изготавливать антенну (разве это проще)? яги же не поставишь. Я встречал штыревые антенны (которые не на излучение работают, а на "затухание" "нагрев" себя, Но это был брак.
Зачем яги ставить? Если самому не изготовить направленную антенну из двух кусков оцинковки, то можно купить готовый вариант маленькой патч-панели. Та же . Маломощная, но направленная. Но опят же, сигнал будет от стен отражаться, хоть и с затуханием большим.
 
A

am29f010b

Яги не надо ставить (это сарказм был)
Не на всех роут. есть разъем под антенну (надо паяльник иметь).
Да, антенна годная направленная, но дорогая, дешевле бокс.
Если подытожить, то можно поставить обычный стальной рефлектор к штырю и направить куда надо.
От стен отражение мало интересует, отражение от металл.конструкций - это сила. Я на одной из Станциий Яги разворачивал (не мог пробиться через 1стену и 200м. к датчикам) нашел скопление метал.лестниц (~60гр по азимуту/зениту от цели короче вообще в другом направлении), направил, и сигнал был "сумасшедшим".А бетон не помог.
 
shArky

shArky

Well-known member
07.01.2017
58
42
C чем бороться ?
Ты имеешь ввиду, как организовать атаку таким образом, чтобы выйти сухим из воды ?
Как атаковать точку доступа, чтобы "товарищи" не заметили ))
Теперь, после этой статьи я вот что думаю.
Как только в доступном эфире ты заметил подозрительную точку доступа, как только появилось подозрение в том, что какая-то точка доступа сканирует тебя, то пора сматывать удочки ))
Меняй место дислокации.
Если товарищи не занимаются таким видом деятельности, т.е. обычные юзеры, то можно исключить их диссоциацию путём добавления в список. Как видим в шапке, такое возможно.
 
V

Valkiria

Если речь идёт об атаке DoS, то третьи лица прослушивая трафик(в том же Wireshark, с правильными фильтрами) могут спокойно получить информацию о следующем: какой инструмент используется, на какою точку доступа(Mac) атака и на какою цель(Mac), кол-во пакетов ну и прочая мелкая и ненужная информация).
А темка зашла ))
Я ждала появления второй части статьи, чтобы задать там назревший и ещё более конкретный вопрос.
Если бы не эта статья. я и не спрашивала.
Вопрос о том, какой информацией должны обладать третьи лица (читай товарищи из правоохранительных органов), чтобы предъявить обвинение в наружении закона.
Этот вопрос родился у меня не на пустом месте.

Не секрет, наверное, что любопытство иногда толкает на то, чтобы переступить черту , нарушить все те статьи УК РФ, номера которых многократно мелькают на подобных форумах.
На прошлой неделе рядом с моей квартирой, где я занималась экспериментами в области вардрайвинга появилась мощная точка доступа без клиентов. Вполне возможно, соседи купили роутер и используют его в роли прокладки между кабелем провайдера и своим ноутом. При этом они зачем-то забыли выключить wi-fi модуль роутера ))
  • Глупо, но если соседи - чайники, то реально.
Но мне вдруг вспомнилась случайная пятиминутная проверка какой-то газовой трубы в моей квартире работниками ЖКХ. Проверка газовой трубы почему-то больше напоминала выяснение наличия компа в квартире.
  • Глупо, но реально.
А этой проверке предшествовало моё подключение к какому-то Кинетику, который был взломан одной лишь силой мысли )) Этот Кинетик находился на приличном расстоянии от моей беспроводной карты. После моего подключения он бесследно исчез. Вдруг почему-то благополучно пользовавшиеся им хозяева выключили и больше не включали роутер. Интернет им стал не нужен ))
  • Глупо, но реально.

Наше поведение вписывается в определённые рамки. Эти рамки описали и назвали "Психологией". Появление в моей голове мыслей о том, что кто-то третий сканирует мои действия в области вардрайвинга - закономерно.

Вопрос возможно и не по теме, но очень близко граничит с ней. Вопрос не из технической части аудита, а скорее из юридической ))
Если мои предположения - это не паранойя, то вот эти чуваки, которые за стенкой установили какой-то wi-fi источник, преследуют цель собрать на меня определённый материал. Мак адрес моей карты они не получат. Но ведь эти цифры меняются нажатием кнопки мыши - он им и не нужен.
Но они всё равно определят факт мониторинга мною окружающих сетей ? Факт мониторинга не является нарушением закона, но вызывает подозрение и нежелательный интерес. Им нужно будет документально зафиксирорвать факт подключения мною к чужой сети. Как они смогут это сделать ?
 
Sdr

Sdr

Премиум 72
20.01.2016
78
56
Мак адрес моей карты они не получат
А почему вы уверены, что они не получат мак адрес карты? Я не знаю как провайдер работает у вас, но там где я, провайдер фиксирует мак сетевухи или роутера, при изменении которого надо сообщать им, иначе не будет зернета. И второе, если вы опять же подключены к провайдеру, то разумеется через свитч в подъезде или типо того. Получив доступ к таблице арп разве нельзя увидеть ваш мак?
 
Последнее редактирование:
Мы в соцсетях: