USB-адаптер Wi-Fi с антенной и устройством Flipper Zero на тёмном антистатическом коврике. Янтарный светодиод адаптера и циановый экран создают контрастное освещение.


Четверг, 14:20. Парковка бизнес-центра, ноутбук на пассажирском сидении, ALFA AWUS036ACH с направленной антенной смотрит на третий этаж. За 35 минут airodump-ng перехватил WPA2-PSK handshake гостевой сети ритейлера, за ночь hashcat подобрал восьмисимвольный пароль. К утру пятницы - полный доступ во внутреннюю сеть: гостевой VLAN оказался не изолирован от корпоративного сегмента.

WIDS отсутствовал. SOC не получил ни одного алерта. Ни одного.

Postmortem показал: деаутентификацию клиентов можно было обнаружить на трёх этапах, но мониторинг беспроводных сетей отсутствовал как класс. С учётом оборотных штрафов по 152-ФЗ за утечку ПДн - реализованный риск измерялся бы процентами от годовой выручки. Эта статья - о том, как собрать лабораторию для Wi-Fi пентеста, которая тренирует обе стороны: атаку и detection.

Бизнес-логика атак на Wi-Fi и место в kill chain​

Атака на беспроводную сеть - не самоцель, а один из маршрутов к internal foothold. В модели MITRE ATT&CK Wi-Fi фигурирует на нескольких этапах, и понимание полной цепочки определяет, что именно нужно детектировать:
  1. Initial Access - подключение к Wi-Fi (T1669, Wi-Fi Networks) или физическое размещение rogue-устройства внутри периметра (T1200, Hardware Additions)
  2. Discovery - Wi-Fi Discovery (T1016.002) для картографирования эфира и идентификации целей
  3. Credential Access - Network Sniffing (T1040) для перехвата трафика, Evil Twin (T1557.004) для сбора учётных данных через поддельную точку доступа, Password Cracking (T1110.002) для офлайн-подбора перехваченных хэндшейков
  4. Lateral Movement - после получения credentials атакующий перемещается по проводной сети стандартными методами
Техника Hardware Additions (T1200) заслуживает отдельного разговора: подрядчик приносит мини-роутер, подключает к свободному Ethernet-порту - и корпоративная сеть получает несанкционированную беспроводную точку входа. Классический insider threat, который SOC обязан обнаруживать вне зависимости от наличия программы аудита беспроводных сетей.

Стенд для беспроводного пентеста позволяет отрабатывать всю цепочку - от initial access до корреляции алертов в SIEM.

Wi-Fi адаптер с monitor mode: чипсет важнее бренда​

Почему встроенная карта не подходит​

Встроенные Wi-Fi-модули ноутбуков (Intel AX200/AX210, Broadcom, Qualcomm) заточены под стабильное подключение, а не под работу с сырыми 802.11-фреймами. По данным Yupitek (авторизованный дистрибьютор ALFA Network), Intel AX200/AX210 не поддерживают packet injection под Linux, а Broadcom-чипсеты известны нестабильным monitor mode. Без monitor mode не работают airodump-ng, Kismet и Wireshark в режиме беспроводного захвата. Без packet injection невозможны деаутентификация, PMKID-атаки и beacon flooding через aireplay-ng и mdk4.

Короче: встроенная карта - для YouTube, а не для аудита.

Сравнительная таблица адаптеров для перехвата Wi-Fi трафика

Три актуальных адаптера ALFA Network покрывают основные сценарии аудита. Критерии отбора: поддержка monitor mode и packet injection подтверждена сообществом aircrack-ng, чипсет с открытыми или mainline-драйверами.

ПараметрAWUS036ACHAWUS036ACMAWUS036AXML
ЧипсетRealtek RTL8812AUMediaTek MT7612UMediaTek MT7921AUN
СтандартAC1200 (2.4 + 5 GHz)AC600 (2.4 + 5 GHz)Wi-Fi 6E (2.4 + 5 + 6 GHz)
Monitor modeДаДаДа
Packet injectionДаДаДа (6 GHz - ограничения)
ДрайверСборка из aircrack-ng/rtl8812auВ ядре (mt76x2u, с 4.19)В ядре (mt7921u, с 5.18)
Антенны2x RP-SMA, съёмные2x RP-SMA, съёмные2x RP-SMA, съёмные
USB3.02.03.0
Когда использоватьОсновной адаптер для аудитаБюджетный, запасной, учебныйАудит Wi-Fi 6E сетей
Когда не использоватьЕсли критична простота установки - нужна пересборка драйвера при обновлении ядраВысокая плотность клиентов - AC600 не хватит пропускной способностиЕсли целевые сети только 2.4/5 GHz - переплата за ненужный 6 GHz

Адаптеров, которых стоит избегать: AWUS036AX и AWUS036AXER на чипсете Realtek RTL8832BU - ограниченная поддержка monitor mode на ядрах Linux ниже 6.14. По данным Yupitek, для пентеста они не рекомендуются.

[Применимо: внешний пентест] Для работы с парковки или из соседнего здания критична дальность - AWUS036ACH с заменой штатных антенн на направленные 7+ dBi. [Применимо: внутренний пентест, grey box] Для аудита изнутри здания - AWUS036ACM: компактнее, драйвер из ядра, не привлекает внимание.

Настройка Kali Linux для беспроводного пентеста

Требования к окружению​

  • ОС: Kali Linux 2024.x+ (рекомендуется bare metal; VM допустима с USB passthrough)
  • RAM: минимум 4 ГБ (8 ГБ при офлайн-подборе через hashcat на CPU; для GPU-подбора - отдельная машина с VRAM от 4 ГБ)
  • USB: свободный порт USB 3.0
  • Ядро: 6.1+ для mt76x2u (AWUS036ACM), 5.18+ для mt7921u (AWUS036AXML), любое для AWUS036ACH (драйвер собирается вручную)
  • Зависимости для RTL8812AU: dkms, git, build-essential, linux-headers
  • VM-специфика: проброс USB через VirtualBox (Devices → USB) или VMware (VM → Removable Devices). Проброс через RDP не работает - адаптер должен быть подключён напрямую к хосту. В QEMU/KVM - passthrough USB-контроллера
Типичная засада в VM: адаптер виден в lsusb, но airmon-ng не показывает интерфейс. Гипервизор не отдаёт USB-устройство гостевой ОС целиком. Решение: в VirtualBox создать USB 3.0 фильтр с точным VID:PID адаптера, в KVM - passthrough всего USB-контроллера. На этом теряют час-полтора все, кто пробует впервые.

Установка драйвера и включение monitor mode​

Для AWUS036ACH (RTL8812AU) - драйвер собирается из репозитория aircrack-ng (проект активно поддерживается, регулярные коммиты):
Bash:
sudo apt update && sudo apt install -y dkms git build-essential linux-headers-$(uname -r)
git clone https://github.com/aircrack-ng/rtl8812au
cd rtl8812au && make && sudo make install
sudo modprobe 88XXau
Для AWUS036ACM (MT7612U) драйвер уже в ядре - проверка загрузки: lsmod | grep mt76x2u, при необходимости sudo modprobe mt76x2u.

Перевод в monitor mode: sudo airmon-ng check kill (останавливает NetworkManager и wpa_supplicant, которые блокируют работу адаптера), затем sudo airmon-ng start wlan0 - создаёт интерфейс wlan0mon. Проверка: iwconfig wlan0mon - поле Mode должно показать Monitor. Тест инжекции: sudo aireplay-ng -9 wlan0mon - в выводе будет процент успешно инжектированных пакетов.

Нюанс: после airmon-ng check kill стандартное сетевое подключение ноутбука умирает. Для параллельного доступа к интернету (загрузка словарей, обновление инструментов) нужен второй сетевой интерфейс - проводной Ethernet или второй Wi-Fi-адаптер в managed mode. Я обычно держу USB-Ethernet донгл в рюкзаке именно для этого.

Flipper Zero и Wi-Fi атаки: реальные возможности

Flipper Zero - не Wi-Fi адаптер для перехвата Wi-Fi трафика. Встроенный радиомодуль работает на Sub-1 GHz (315/433/868 MHz), а не на 2.4/5 GHz. Wi-Fi-функции появляются через внешний ESP32-модуль (Wi-Fi devboard), на который ставится прошивка для деаутентификационных атак.

Что работает: отправка deauth-фреймов через ESP32, сканирование точек доступа, базовые beacon-атаки. Хватает для быстрой проверки: реагирует ли WIDS на деаутентификацию.

Что не работает: полноценный monitor mode с захватом хэндшейков, packet capture для анализа в Wireshark, PMKID-атаки, Evil Twin с порталом авторизации. ESP32 не поддерживает полноценный 802.11 monitor mode - это аппаратное ограничение чипа, прошивкой не лечится.

ВозможностьFlipper Zero + ESP32ALFA AWUS036ACH
ДеаутентификацияДаДа
Monitor mode / захват handshakeНетДа
Packet injection (полная)НетДа
Evil Twin с порталомНетДа (через hostapd)
PMKID-атакаНетДа (hcxdumptool)
Автономность без ноутбукаДа (встроенный аккумулятор)Нет
Скрытность при физическом доступеВысокаяНизкая

[Применимо: внутренний пентест, проверка detection] Flipper Zero полезен ровно для одного сценария - быстро проверить, генерирует ли инфраструктура алерт на deauth flood. Пришёл, включил на 30 секунд, ушёл, спросил SOC: «Вы что-нибудь видели?» Для полноценного аудита безопасности беспроводных сетей он не заменяет адаптер с monitor mode.

Практический стенд для пентеста беспроводных сетей

Минимальное оборудование​

КомпонентНазначениеБюджет
Роутер с WPA2-PSKЦелевая точка доступа2000–4000 руб. (б/у TP-Link, Asus)
ALFA AWUS036ACH или AWUS036ACMАдаптер для атаки4000–6000 руб.
Ноутбук с Kali LinuxРабочая станцияимеющийся, 8 ГБ RAM минимум
Смартфон или второй ноутбукКлиент для генерации трафикаимеющийся

Итого: стенд собирается за 6000–10 000 руб. при наличии ноутбука.

Топология и сценарии​

Роутер настраивается с заведомо слабым WPA2-PSK паролем (8 символов, словарное слово) на выделенном канале. Клиент подключается и генерирует трафик. Kali с адаптером в monitor mode работает на расстоянии.

Три базовых сценария:
  1. Перехват WPA2 handshake [Внешний / Внутренний] - airodump-ng для захвата, aireplay-ng -0 5 -a <BSSID> для деаутентификации клиента, aircrack-ng или hashcat для подбора пароля. Kill chain: T1669 → T1040 → T1110.002.
  2. Evil Twin [Внутренний] - поддельная точка доступа через hostapd с порталом захвата credentials (T1557.004). Требует два Wi-Fi-интерфейса: один для мониторинга, второй для поддельной AP.
  3. Rogue AP / Insider Threat [Blue Team] - размещение несанкционированной точки доступа и проверка, обнаружит ли мониторинг новый BSSID (T1200, Hardware Additions). Имитация сценария, когда сотрудник подключает личный роутер к корпоративной сети.
Ограничения стенда: WPA3-SAE с Protected Management Frames (802.11w) делает деаутентификацию неэффективной - management frames защищены. Для WPA3-сценариев нужен роутер с поддержкой WPA3 и адаптер, работающий с SAE. На момент написания AWUS036AXML частично поддерживает этот режим, но стабильность зависит от версии ядра. Так что если у цели WPA3 - готовьтесь к танцам с бубном.

Detection: как SOC обнаруживает атаки на беспроводные сети​

Стенд без detection-компонента тренирует только атакующую сторону. А это - половина дела. Blue team должна видеть каждый шаг red team.

WIDS/WIPS - мониторинг эфира на L2​

Wireless Intrusion Detection System - способ видеть атаки на уровне 802.11 до их попадания в проводную сеть. Корпоративные решения (Cisco Wireless IPS, Aruba WIDS, Extreme AirDefense) мониторят эфир на предмет:
  • Deauth flood - массовая отправка deauthentication-фреймов, признак атаки на handshake или DoS
  • Rogue AP - появление BSSID, не зарегистрированного в инвентаре точек доступа
  • Evil Twin - точка доступа с SSID, совпадающим с корпоративным, но с другим BSSID или каналом
  • Probe anomalies - устройства, рассылающие probe request на скрытые SSID

Wireshark-фильтры для ручного анализа

При анализе захваченного pcap или live-захвате через адаптер в monitor mode:
Код:
# Деаутентификация - признак атаки на handshake или DoS
(wlan.fc.type == 0) && (wlan.fc.subtype == 0x0c)

# Probe Request - обнаружение wardriving, утечка скрытых SSID
(wlan.fc.type == 0) && (wlan.fc.subtype == 4)

# Все фреймы конкретного BSSID без Beacon (фильтрация шума)
(wlan.bssid == AA:BB:CC:DD:EE:FF) && !(wlan.fc.type_subtype == 0x08)
Если количество deauth-фреймов от одного источника превышает 10–15 в секунду - это целенаправленная атака, а не штатная работа сети. В WIDS этот порог настраивается как триггер алерта.

Detection-чеклист для Blue Team​

  1. Убедиться, что WIDS/WIPS развёрнут и покрывает все этажи и здания с Wi-Fi-инфраструктурой
  2. Настроить алерт на deauth flood: порог - более 10 deauth-фреймов в секунду от одного MAC-адреса
  3. Вести реестр легитимных BSSID - каждая новая точка доступа без записи в инвентаре генерирует алерт (детект T1200)
  4. Настроить алерт на Evil Twin: появление SSID, совпадающего с корпоративным, с незарегистрированным BSSID
  5. Мониторить EAPOL-фреймы на аномальную частоту - если клиент переподключается десятки раз в минуту, его деаутентифицируют принудительно
  6. Коррелировать WIDS-алерты с событиями в SIEM: deauth flood на беспроводной сети + новый IP в корпоративном VLAN через 5–30 минут = потенциальный lateral movement после Wi-Fi compromise
  7. Проверить изоляцию гостевого VLAN: трафик из гостевой Wi-Fi не должен достигать корпоративных ресурсов (ACL, firewall rules между VLAN)
  8. Для WPA2-Enterprise (802.1X) - мониторить сертификаты: клиент, принимающий самоподписанный сертификат, может быть жертвой Evil Twin с перехватом EAP credentials
Чеклист пригоден для включения в отчёт по аудиту и передачи команде эксплуатации.



Большинство wireless-аудитов, которые попадали мне на review, заканчиваются одинаково: «handshake перехвачен, пароль подобран за N минут». Атака описана, рекомендация «сменить пароль на сложный» выдана - всё, расходимся. Ни слова о том, увидел ли SOC деаутентификацию. Сработал ли WIDS. Была ли вообще техническая возможность обнаружить эту активность.

Это демонстрация, а не аудит.

Реальная ценность тестирования безопасности беспроводных сетей не в доказательстве, что WPA2-PSK ломается - это все и так знают. Ценность в ответе на вопрос: увидела ли инфраструктура мониторинга хотя бы один шаг атакующего? Если в отчёте нет раздела «что SOC должен был увидеть, но не увидел» - отчёт неполный, и платить за него полную цену не стоит.

Стенд из этой статьи тренирует обе стороны одновременно. Red team отрабатывает перехват и evil twin, blue team - настраивает detection и учится коррелировать wireless-алерты с событиями в SIEM. Без этой двусторонности лаборатория для Wi-Fi пентеста превращается в набор команд из туториала, которые все уже видели. Если интересно, как другие команды строят wireless detection - на codeby.net есть тред по мониторингу беспроводных сетей, где обсуждают WIDS-конфигурации и разбирают реальные срабатывания.
 

Вложения

  • 1781905423326.webp
    1781905423326.webp
    9,2 КБ · Просмотры: 183
  • 1781905455508.webp
    1781905455508.webp
    47,3 КБ · Просмотры: 80
Последнее редактирование:
  • Огонь
  • Нравится
Реакции: shellvector и CheD
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab