ARP Reinjekce
ARP rámce sú
ľahko identifikovateľné aj v zašifrovanej forme, pretože sú krátke,a ARP request (požiadavka) má cie
ľovú MAC adresu broadcast (FF:FF:FF:FF:FF:FF).AP takýto rámec prepošle ostatným STA; niektoré AP ho najprv dešifrujú a následne
zašifrujú s novým IV. Pri zvyšovaní prevádzky sú dobré aj v tom, že cie
ľový adresát nane promptne odpovie,
čím vygeneruje nový rámec, s novým IV.Program
aireplay-ng z balíka Aircrack-ng umožňuje v režime monitorreinjekciu rámcov pod
ľa zadaných pravidiel. Pre zvýšenie ARP prevádzky ho spustímeako root s parametrom
-3 takto:# ./aireplay-ng -3 -b 00:11:3b:07:00:14 -h 00:11:3b:0b:22:0c rausb0
The interface MAC (00:11:09:29:62:38) doesn't match the specified MAC (-h).
ifconfig rausb0 hw ether 00:11:3B:0B:22:0C
Saving ARP requests in replay_arp-0502-004658.cap
You should also start airodump-ng to capture replies.
Read 51729 packets (got 49845 ARP requests), sent 51017 packets...(277 pps)
-3
určuje typ útoku: ARP reinjekcia,-b ...
určuje BSSID (MAC adresa AP),-h ...
určuje zdrojovú MAC adresu, ktorá sa má pre vyslané rámce použiť,rausb0 je zariadenie použité na vyslanie rámca (musí by
ť v monitor mode).Po zachytení rámca, o ktorom sa predpokladá, že je to ARP request, sa tento so
zmenenou hlavi
čkou pošle, generujúc tak od adresáta skoro 300 ARP response (odpoveď)rámcov za sekundu, s novými IV. Ak žiadne ARP rámce nezachytíme, môžeme si ich
skúsi
ť vynútiť pomocou deautentifikácie (bližšie k tomuto v 6.4).4.2.2 Ochrana vo
či reinjekciiPod
ľa IEEE štandardu nie je pre WEP zadefinovaná ochrana voči reinjekciipaketov. Niektoré zariadenia reinjekcii
čiastočne zabraňujú tým, že IV prijatých rámcovsi ukladajú do cache
(vyrovnávacia pamäť) a ignorujú všetky rámce s rovnakým IV,akonáhle ich po
čet presiahne istú hranicu (napríklad 64).Použitie RSN
(Robust Security Network, sieť s robustnou bezpečnosťou) (WPA/WPA2)zabráni reinjekcii, pretože neumož
ňuje znovupoužitie IV a pomocou MIC jezabezpe
čená aj hlavička rámca. Alternatívou môže byť Wireless IDS (viď. 9.4).Generovaniu ARP prevádzky na sieti je možné zabráni
ť statickými ARPtabu
ľkami na všetkých staniciach. To je však ťažko manažovateľné a zle škálovateľnériešenie.
Príklad úspešnej Shared-Key autentifikácie je na obr. 4-2. Štandard ur
čuje, žechallenge text
(výzva) má mať dĺžku 128 znakov. Formát challenge elementu v druhomautentifika
čnom rámci je {Element ID, Length, Challenge Text}, kde Element ID je 10h,Length 80h (128). Po odchytení druhého rámca a výpo
čte ICV teda poznáme celýplaintext
(otvorený text), ktorý sa posiela zašifrovaný (ciphertext) v treťom rámci akoresponse
(odpoveď), konkrétne 6+2+128+4 = 140 bajtov. Po odchytení tretieho rámcamáme teda „úplne zadarmo“ pseudonáhodnú sekvenciu (ciphertext Å plaintext) d
ĺžky140 pre dané IV (zvolí STA).
Autentifikácia prebieha len pri nadväzovaní konektivity, môžeme si ju ale vynúti
ťsfalšovanou deautentifikáciou (vi
ď. 3.1.1 a tiež 6.4) a vytvoriť si tak slovník takejve
ľkosti, ako na konkrétny účel potrebujeme.