Статья Лаборатория для Wi-Fi пентеста: от адаптера с monitor mode до detection-стенда

Четверг, 14:20. Парковка бизнес-центра, ноутбук на пассажирском сидении, ALFA AWUS036ACH с направленной антенной смотрит на третий этаж. За 35 минут airodump-ng перехватил WPA2-PSK handshake гостевой сети ритейлера, за ночь hashcat подобрал восьмисимвольный пароль. К утру пятницы - полный доступ во внутреннюю сеть: гостевой VLAN оказался не изолирован от корпоративного сегмента.

WIDS отсутствовал. SOC не получил ни одного алерта. Ни одного.

Postmortem показал: деаутентификацию клиентов можно было обнаружить на трёх этапах, но мониторинг беспроводных сетей отсутствовал как класс. С учётом оборотных штрафов по 152-ФЗ за утечку ПДн - реализованный риск измерялся бы процентами от годовой выручки. Эта статья - о том, как собрать лабораторию для Wi-Fi пентеста, которая тренирует обе стороны: атаку и detection.

Бизнес-логика атак на Wi-Fi и место в kill chain​

Атака на беспроводную сеть - не самоцель, а один из маршрутов к internal foothold. В модели MITRE ATT&CK Wi-Fi фигурирует на нескольких этапах, и понимание полной цепочки определяет, что именно нужно детектировать:

1. Initial Access - подключение к Wi-Fi (T1669, Wi-Fi Networks) или физическое размещение rogue-устройства внутри периметра (T1200, Hardware Additions)
2. Discovery - Wi-Fi Discovery (T1016.002) для картографирования эфира и идентификации целей
3. Credential Access - Network Sniffing (T1040) для перехвата трафика, Evil Twin (T1557.004) для сбора учётных данных через поддельную точку доступа, Password Cracking (T1110.002) для офлайн-подбора перехваченных хэндшейков
4. Lateral Movement - после получения credentials атакующий перемещается по проводной сети стандартными методами

Техника Hardware Additions (T1200) заслуживает отдельного разговора: подрядчик приносит мини-роутер, подключает к свободному Ethernet-порту - и корпоративная сеть получает несанкционированную беспроводную точку входа. Классический insider threat, который SOC обязан обнаруживать вне зависимости от наличия программы аудита беспроводных сетей.

Стенд для беспроводного пентеста позволяет отрабатывать всю цепочку - от initial access до корреляции алертов в SIEM.

Wi-Fi адаптер с monitor mode: чипсет важнее бренда​

Почему встроенная карта не подходит​

Встроенные Wi-Fi-модули ноутбуков (Intel AX200/AX210, Broadcom, Qualcomm) заточены под стабильное подключение, а не под работу с сырыми 802.11-фреймами. По данным Yupitek (авторизованный дистрибьютор ALFA Network), Intel AX200/AX210 не поддерживают packet injection под GNU/Linux, а Broadcom-чипсеты известны нестабильным monitor mode. Без monitor mode не работают airodump-ng, Kismet и Wireshark в режиме беспроводного захвата. Без packet injection невозможны деаутентификация, PMKID-атаки и beacon flooding через aireplay-ng и mdk4.

Короче: встроенная карта - для YouTube, а не для аудита.

Сравнительная таблица адаптеров для перехвата Wi-Fi трафика​

Три актуальных адаптера ALFA Network покрывают основные сценарии аудита. Критерии отбора: поддержка monitor mode и packet injection подтверждена сообществом aircrack-ng, чипсет с открытыми или mainline-драйверами.

Параметр	AWUS036ACH	AWUS036ACM	AWUS036AXML
Чипсет	Realtek RTL8812AU	MediaTek MT7612U	MediaTek MT7921AUN
Стандарт	AC1200 (2.4 + 5 GHz)	AC600 (2.4 + 5 GHz)	Wi-Fi 6E (2.4 + 5 + 6 GHz)
Monitor mode	Да	Да	Да
Packet injection	Да	Да	Да (6 GHz - ограничения)
Драйвер	Сборка из aircrack-ng/rtl8812au	В ядре (mt76x2u, с 4.19)	В ядре (mt7921u, с 5.18)
Антенны	2x RP-SMA, съёмные	2x RP-SMA, съёмные	2x RP-SMA, съёмные
USB	3.0	2.0	3.0
Когда использовать	Основной адаптер для аудита	Бюджетный, запасной, учебный	Аудит Wi-Fi 6E сетей
Когда не использовать	Если критична простота установки - нужна пересборка драйвера при обновлении ядра	Высокая плотность клиентов - AC600 не хватит пропускной способности	Если целевые сети только 2.4/5 GHz - переплата за ненужный 6 GHz

Адаптеров, которых стоит избегать: AWUS036AX и AWUS036AXER на чипсете Realtek RTL8832BU - ограниченная поддержка monitor mode на ядрах Linux ниже 6.14. По данным Yupitek, для пентеста они не рекомендуются.

[Применимо: внешний пентест] Для работы с парковки или из соседнего здания критична дальность - AWUS036ACH с заменой штатных антенн на направленные 7+ dBi. [Применимо: внутренний пентест, grey box] Для аудита изнутри здания - AWUS036ACM: компактнее, драйвер из ядра, не привлекает внимание.

Настройка Kali Linux для беспроводного пентеста​

Требования к окружению​

• ОС: Kali Linux 2024.x+ (рекомендуется bare metal; VM допустима с USB passthrough)
• RAM: минимум 4 ГБ (8 ГБ при офлайн-подборе через hashcat на CPU; для GPU-подбора - отдельная машина с VRAM от 4 ГБ)
• USB: свободный порт USB 3.0
• Ядро: 6.1+ для mt76x2u (AWUS036ACM), 5.18+ для mt7921u (AWUS036AXML), любое для AWUS036ACH (драйвер собирается вручную)
• Зависимости для RTL8812AU: dkms, git, build-essential, linux-headers
• VM-специфика: проброс USB через VirtualBox (Devices → USB) или VMware (VM → Removable Devices). Проброс через RDP не работает - адаптер должен быть подключён напрямую к хосту. В QEMU/KVM - passthrough USB-контроллера

Типичная засада в VM: адаптер виден в lsusb, но airmon-ng не показывает интерфейс. Гипервизор не отдаёт USB-устройство гостевой ОС целиком. Решение: в VirtualBox создать USB 3.0 фильтр с точным VIDID адаптера, в KVM - passthrough всего USB-контроллера. На этом теряют час-полтора все, кто пробует впервые.

Установка драйвера и включение monitor mode​

Для AWUS036ACH (RTL8812AU) - драйвер собирается из репозитория aircrack-ng (проект активно поддерживается, регулярные коммиты):

sudo apt update && sudo apt install -y dkms git build-essential linux-headers-$(uname -r)
git clone https://github.com/aircrack-ng/rtl8812au
cd rtl8812au && make && sudo make install
sudo modprobe 88XXau

Для AWUS036ACM (MT7612U) драйвер уже в ядре - проверка загрузки: lsmod | grep mt76x2u, при необходимости sudo modprobe mt76x2u.

Перевод в monitor mode: sudo airmon-ng check kill (останавливает NetworkManager и wpa_supplicant, которые блокируют работу адаптера), затем sudo airmon-ng start wlan0 - создаёт интерфейс wlan0mon. Проверка: iwconfig wlan0mon - поле Mode должно показать Monitor. Тест инжекции: sudo aireplay-ng -9 wlan0mon - в выводе будет процент успешно инжектированных пакетов.

Нюанс: после airmon-ng check kill стандартное сетевое подключение ноутбука умирает. Для параллельного доступа к интернету (загрузка словарей, обновление инструментов) нужен второй сетевой интерфейс - проводной Ethernet или второй Wi-Fi-адаптер в managed mode. Я обычно держу USB-Ethernet донгл в рюкзаке именно для этого.

Flipper Zero и Wi-Fi атаки: реальные возможности​

Flipper Zero - не Wi-Fi адаптер для перехвата Wi-Fi трафика. Встроенный радиомодуль работает на Sub-1 GHz (315/433/868 MHz), а не на 2.4/5 GHz. Wi-Fi-функции появляются через внешний ESP32-модуль (Wi-Fi devboard), на который ставится прошивка для деаутентификационных атак.

Что работает: отправка deauth-фреймов через ESP32, сканирование точек доступа, базовые beacon-атаки. Хватает для быстрой проверки: реагирует ли WIDS на деаутентификацию.

Что не работает: полноценный monitor mode с захватом хэндшейков, packet capture для анализа в Wireshark, PMKID-атаки, Evil Twin с порталом авторизации. ESP32 не поддерживает полноценный 802.11 monitor mode - это аппаратное ограничение чипа, прошивкой не лечится.

Возможность	Flipper Zero + ESP32	ALFA AWUS036ACH
Деаутентификация	Да	Да
Monitor mode / захват handshake	Нет	Да
Packet injection (полная)	Нет	Да
Evil Twin с порталом	Нет	Да (через hostapd)
PMKID-атака	Нет	Да (hcxdumptool)
Автономность без ноутбука	Да (встроенный аккумулятор)	Нет
Скрытность при физическом доступе	Высокая	Низкая

[Применимо: внутренний пентест, проверка detection] Flipper Zero полезен ровно для одного сценария - быстро проверить, генерирует ли инфраструктура алерт на deauth flood. Пришёл, включил на 30 секунд, ушёл, спросил SOC: "Вы что-нибудь видели?" Для полноценного аудита безопасности беспроводных сетей он не заменяет адаптер с monitor mode.

Практический стенд для пентеста беспроводных сетей​

Минимальное оборудование​

Компонент	Назначение	Бюджет
Роутер с WPA2-PSK	Целевая точка доступа	2000–4000 руб. (б/у TP-Link, Asus)
ALFA AWUS036ACH или AWUS036ACM	Адаптер для атаки	4000–6000 руб.
Ноутбук с Kali Linux	Рабочая станция	имеющийся, 8 ГБ RAM минимум
Смартфон или второй ноутбук	Клиент для генерации трафика	имеющийся

Итого: стенд собирается за 6000–10 000 руб. при наличии ноутбука.

Топология и сценарии​

Роутер настраивается с заведомо слабым WPA2-PSK паролем (8 символов, словарное слово) на выделенном канале. Клиент подключается и генерирует трафик. Kali с адаптером в monitor mode работает на расстоянии.

Три базовых сценария:

1. Перехват WPA2 handshake [Внешний / Внутренний] - airodump-ng для захвата, aireplay-ng -0 5 -a <BSSID> для деаутентификации клиента, aircrack-ng или hashcat для подбора пароля. Kill chain: T1669 -> T1040 -> T1110.002.
2. Evil Twin [Внутренний] - поддельная точка доступа через hostapd с порталом захвата credentials (T1557.004). Требует два Wi-Fi-интерфейса: один для мониторинга, второй для поддельной AP.
3. Rogue AP / Insider Threat [Blue Team] - размещение несанкционированной точки доступа и проверка, обнаружит ли мониторинг новый BSSID (T1200, Hardware Additions). Имитация сценария, когда сотрудник подключает личный роутер к корпоративной сети.

Ограничения стенда: WPA3-SAE с Protected Management Frames (802.11w) делает деаутентификацию неэффективной - management frames защищены. Для WPA3-сценариев нужен роутер с поддержкой WPA3 и адаптер, работающий с SAE. На момент написания AWUS036AXML частично поддерживает этот режим, но стабильность зависит от версии ядра. Так что если у цели WPA3 - готовьтесь к танцам с бубном.

Detection: как SOC обнаруживает атаки на беспроводные сети​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

Чеклист пригоден для включения в отчёт по аудиту и передачи команде эксплуатации.



Большинство wireless-аудитов, которые попадали мне на review, заканчиваются одинаково: "handshake перехвачен, пароль подобран за N минут". Атака описана, рекомендация "сменить пароль на сложный" выдана - всё, расходимся. Ни слова о том, увидел ли SOC деаутентификацию. Сработал ли WIDS. Была ли вообще техническая возможность обнаружить эту активность.

Это демонстрация, а не аудит.

Реальная ценность тестирования безопасности беспроводных сетей не в доказательстве, что WPA2-PSK ломается - это все и так знают. Ценность в ответе на вопрос: увидела ли инфраструктура мониторинга хотя бы один шаг атакующего? Если в отчёте нет раздела "что SOC должен был увидеть, но не увидел" - отчёт неполный, и платить за него полную цену не стоит.

Стенд из этой статьи тренирует обе стороны одновременно. Red team отрабатывает перехват и evil twin, blue team - настраивает detection и учится коррелировать wireless-алерты с событиями в SIEM. Без этой двусторонности лаборатория для Wi-Fi пентеста превращается в набор команд из туториала, которые все уже видели. Если интересно, как другие команды строят wireless detection - на codeby.net есть тред по мониторингу беспроводных сетей, где обсуждают WIDS-конфигурации и разбирают реальные срабатывания.