Введение:
Всем доброго времени суток, сегодня рассмотрим, как можно обнаружить инструменты с которых производится деаутентификация(диссоциация) клиентов(Часть 1).
И самое интересное для “некоторых читателей” напишем собственный инструмент, который сможет определять инструмент с которого производится атака деаутентификация(DoS) и на кого она направлена(Часть 2). Стоит также заметить, что детектор будет реагировать на такие инструменты как: Airgeddon-ng и MDK3.
Сегодня рассмотрим, как можно обнаружить ПО с которого производится атака(Airgeddon-ng и MDK3).
Что такое деаутентификация?
Деаутентификация - это одна из разновидностей атак на беспроводную сеть, суть которой заключается в разъединение клиентов от их точек доступа.
Большинство атак деаутентификации являются довольно простыми в реализации и используют хорошо документированные недостатки в том, как сети управляют соединениями. Поскольку такие пакеты не зашифрованы, злоумышленнику легко создать поддельные пакеты после прослушивания беспроводных каналов поблизости.
Реализация деаутентификации.
Для проведение атаки требуется перевести вашу карту Wi-Fi в режим мониторинга.
Для большинства интерфейсов карт работает следующий способ:
Важно заметить, что вместо wlan0 нужно указывать ваше имя интерфейса.
После перевода карты в режим мониторинга попробуем реализовать атаку деаутентификации с помощью следующих инструментов: Airgeddon-ng и MDK3.
Команда для Airgeddon-ng выглядит так:
Где:
Команда для MDK3 выглядит так:
Где:
Несмотря на то, что данный вид угроз может принести довольно много хлопот жертве, их достаточно просто обнаружить с помощью бесплатных программ. В данной статье мы рассмотрим, как обнаружить атаку на примере бесплатной программы Wireshark.
Почему Wireshark?
Wireshark - это фантастическая программа, хотя бы потому, что она кроссплатформенна и позволяет довольно гибко работать с пакетами.
Подготовка.
Начнем с того, что переведем нашу карту в режим мониторинга. Как это сделать можно легко найти в интернете. Можно тут почитать:
Следующая наша задача настроить фильтрацию пакетов, так как Wireshark будет ловить много лишней для нас информации.
Прежде чем перейдем к сниффингу трафика, откроем Wireshark. Выберем наш интерфейс карты, в моем случае это - wlan0mon.
Также следует помнить, что нам необходимо вручную переводить нашу карту на различные каналы. Для этих целей можно использовать Airodump-ng. Но поступим по-своему и напишем скрипт на Python, который будет заниматься этим делом.
Фильтры для Wireshark.
После того, как мы перевели нашу карту в режим мониторинга, запустили и выбрали наш интерфейс карты, осталось всего-лишь настроить фильтрацию.
Используем следующий фильтр -
Если разобраться, то мы будем сохранять пакеты беспроводной сети, сами пакеты будут либо пакетами данных либо пакетами управления.
Кроме того, мы хотим, чтобы эти пакеты были либо пакетами деаутентификации, либо диссоциации.
Сразу отметим тот факт, что искать пакеты мы будем 2-х популярных инструментов - Airgeddon-ng и MDK3.
Используем цветовые фильтры отображения
Для удобства мы должны настроить Wireshark таким образом, чтобы в зависимости от пакетов, применялись различные цвета для их отображения.
Чтобы настроить правила отображения, следует перейти в окно Wireshark - View - Coloring Rules Default. Для этого нужно выбрать пункт меню View и затем выбрать Coloring Rules.
В окне нажимая на значок “+” мы можем вставлять свой фильтр и применять к нему различную палитру.
Фильтры, которые мы будем использовать, будут оранжевыми для пакетов деаутентификации и желтыми для пакетов диссоциации. Мы можем установить их, установив следующие значения:
Это установит фильтр для разделения пакетов, которые мы ищем, по типу инструмента, который их отправляет.
После этого убедитесь, что новые цветовые правила выбраны с галочкой, и нажмите «ОК», чтобы сохранить изменения.
В итоге у вас должно получиться что-то напоминающие это:
Находясь в главном окне, мы можем ввести следующий экранный фильтр для сортировки в панель фильтра. Вы заметите, что он имеет совершенно другой синтаксис от фильтра захвата.
Классификация пакетов.
Теперь время для теста используя Airgeddon-ng(Aireplay-ng) и MDK3 выбираем свою собственную сеть Wi-Fi (или ту, на которую у вас есть разрешение) и начинаем отправлять пакеты для деаутентификации.
Мы должны заметить две различные схемы атак, и как защитники, мы сможем определить, какая программа запущена, исходя из данных, которые показывает Wireshark.
Если мы видим эти потоки пакетов, то можем предполагать о том, что идет атака. Но иногда эти пакеты происходят в обычных условиях, особенно в корпоративных сетях. Если вы видите несколько одиночных пакетов диссоциации или случайный пакет деаутентификации, это не должно вызывать у вас тревогу и подозрения.
На этом 1 часть окончена. Во-второй части мы напишем небольшой инструмент, который будет "детектить атаку" и также определять "виновника торжества"
Всем доброго времени суток, сегодня рассмотрим, как можно обнаружить инструменты с которых производится деаутентификация(диссоциация) клиентов(Часть 1).
И самое интересное для “некоторых читателей” напишем собственный инструмент, который сможет определять инструмент с которого производится атака деаутентификация(DoS) и на кого она направлена(Часть 2). Стоит также заметить, что детектор будет реагировать на такие инструменты как: Airgeddon-ng и MDK3.
Сегодня рассмотрим, как можно обнаружить ПО с которого производится атака(Airgeddon-ng и MDK3).
Что такое деаутентификация?
Деаутентификация - это одна из разновидностей атак на беспроводную сеть, суть которой заключается в разъединение клиентов от их точек доступа.
Большинство атак деаутентификации являются довольно простыми в реализации и используют хорошо документированные недостатки в том, как сети управляют соединениями. Поскольку такие пакеты не зашифрованы, злоумышленнику легко создать поддельные пакеты после прослушивания беспроводных каналов поблизости.
Реализация деаутентификации.
Для проведение атаки требуется перевести вашу карту Wi-Fi в режим мониторинга.
Для большинства интерфейсов карт работает следующий способ:
airmon-ng start wlan0.Важно заметить, что вместо wlan0 нужно указывать ваше имя интерфейса.
После перевода карты в режим мониторинга попробуем реализовать атаку деаутентификации с помощью следующих инструментов: Airgeddon-ng и MDK3.
Команда для Airgeddon-ng выглядит так:
aireplay-ng -0 1 -a 00:00:00:00:00:00 wlan0monГде:
- -0 - деаутентификация.
- 1 - кол-во пакетов.
- -a 00:00:00:00:00:00 - MAС-адрес точки доступа.
- wlan0mon - интерфейс карты.
Ссылка скрыта от гостей
Команда для MDK3 выглядит так:
mdk3 wlan0mon d -b blacklist.txt -c 1Где:
- d - деаутентификация.
- -b - выбор файла с черным списком.
- blacklist.txt - файл с белыми MAC-адресами.
- wlan0mon - интерфейс карты.
- -с 1 - канал.
Несмотря на то, что данный вид угроз может принести довольно много хлопот жертве, их достаточно просто обнаружить с помощью бесплатных программ. В данной статье мы рассмотрим, как обнаружить атаку на примере бесплатной программы Wireshark.
Почему Wireshark?
Wireshark - это фантастическая программа, хотя бы потому, что она кроссплатформенна и позволяет довольно гибко работать с пакетами.
Подготовка.
Начнем с того, что переведем нашу карту в режим мониторинга. Как это сделать можно легко найти в интернете. Можно тут почитать:
Ссылка скрыта от гостей
Следующая наша задача настроить фильтрацию пакетов, так как Wireshark будет ловить много лишней для нас информации.
Прежде чем перейдем к сниффингу трафика, откроем Wireshark. Выберем наш интерфейс карты, в моем случае это - wlan0mon.
Также следует помнить, что нам необходимо вручную переводить нашу карту на различные каналы. Для этих целей можно использовать Airodump-ng. Но поступим по-своему и напишем скрипт на Python, который будет заниматься этим делом.
Фильтры для Wireshark.
После того, как мы перевели нашу карту в режим мониторинга, запустили и выбрали наш интерфейс карты, осталось всего-лишь настроить фильтрацию.
Используем следующий фильтр -
wlan type data or wlan type mgt and (subtype deauth or subtype disassoc)Если разобраться, то мы будем сохранять пакеты беспроводной сети, сами пакеты будут либо пакетами данных либо пакетами управления.
Кроме того, мы хотим, чтобы эти пакеты были либо пакетами деаутентификации, либо диссоциации.
Сразу отметим тот факт, что искать пакеты мы будем 2-х популярных инструментов - Airgeddon-ng и MDK3.
Используем цветовые фильтры отображения
Для удобства мы должны настроить Wireshark таким образом, чтобы в зависимости от пакетов, применялись различные цвета для их отображения.
Чтобы настроить правила отображения, следует перейти в окно Wireshark - View - Coloring Rules Default. Для этого нужно выбрать пункт меню View и затем выбрать Coloring Rules.
В окне нажимая на значок “+” мы можем вставлять свой фильтр и применять к нему различную палитру.
Фильтры, которые мы будем использовать, будут оранжевыми для пакетов деаутентификации и желтыми для пакетов диссоциации. Мы можем установить их, установив следующие значения:
Код:
Deauth: Airmon or MDK3 - wlan.fc.type_subtype == 0x00c
Disassoc: Airmon or MDK3 - wlan.fc.type_subtype == 0x00aЭто установит фильтр для разделения пакетов, которые мы ищем, по типу инструмента, который их отправляет.
После этого убедитесь, что новые цветовые правила выбраны с галочкой, и нажмите «ОК», чтобы сохранить изменения.
В итоге у вас должно получиться что-то напоминающие это:
Находясь в главном окне, мы можем ввести следующий экранный фильтр для сортировки в панель фильтра. Вы заметите, что он имеет совершенно другой синтаксис от фильтра захвата.
data || wlan.fc.type_subtype == 0x00c || wlan.fc.type_subtype == 0x00a
Классификация пакетов.
Теперь время для теста используя Airgeddon-ng(Aireplay-ng) и MDK3 выбираем свою собственную сеть Wi-Fi (или ту, на которую у вас есть разрешение) и начинаем отправлять пакеты для деаутентификации.
Мы должны заметить две различные схемы атак, и как защитники, мы сможем определить, какая программа запущена, исходя из данных, которые показывает Wireshark.
- Aireplay-ng:
- с Aireplay-ng вы не должны видеть ничего, кроме красных(вообще темно-оранжевые) атак деаутентификации:
- MDK3:
- Шаблон красных(вообще темно-оранжевые) и желтых полос выделяет MDK3 как отличительный по своей сигнатуре атаки, объединяя цели с объединенными пакетами деаутентификации и диссоциации.
Если мы видим эти потоки пакетов, то можем предполагать о том, что идет атака. Но иногда эти пакеты происходят в обычных условиях, особенно в корпоративных сетях. Если вы видите несколько одиночных пакетов диссоциации или случайный пакет деаутентификации, это не должно вызывать у вас тревогу и подозрения.
На этом 1 часть окончена. Во-второй части мы напишем небольшой инструмент, который будет "детектить атаку" и также определять "виновника торжества"
Последнее редактирование:
