Útoky pomocí Management rámců

Management rámce je jednoduché podvrhnout. Jsou opateny pouze FCS kódem proti

chybám. AP obvykle vyšle deautentizaní rámec klientovi, který posílá datové rámce, ale není

asociován. Klient zase obvykle zasláním deasocianího rámce oznamuje AP, že se odpojí a už

nebude komunikovat.

FC Dur. destination source BSSID Seq. num. píina

2B 2B 6B 6B 6B 2B 2B

C000 3C00 001B114C3C91 00166F6D1FD4 001B114C3C91 C0F8 0100

Obrázek 12 Deathentification frame

V management rámcích mají fyzické adresy svj význam podle umístní v rámci, tak jak je to

na obrázku (Obrázek 12 Deathentification frame), v datových rámcích je význam adres dán

bity ToDS a FromDS. Útoník si mže zkusit “zahrát na access point“ nebo klienta a posílat

tyto rámce. Rámec na obrázku je deautentizaní rámec, protože první byte FC je 0xC0 a je

posílán od klienta na AP, protože destination = BSSID. Disasocianí rámec má první byte

0xA0. Píina 0x0100 znamená blíže nespecifikovaná píina. Aby rámec vypadal, že ho

posílá AP klientovi, musí se prohodit adresy destination a source.

 
 

 



Obrázek 13 Útoník posílá rámce jako AP


 



 



Obrázek 14 Útoník posílá rámce jako klient

5.1 Deautentizace

aireplay-ng umí vysílat deautentizaní management rámce, což mže zpsobit zrušení spojení

mezi klientem a AP. Stídav posílá rámec jako klient na AP a jako AP klientovi.

[root@linux 8]# aireplay-ng -0 1 -a 00:1b:11:4c:3c:91 -c

00:16:6f:6d:1f:d4 ath0

Výstup programu je:

23:36:05 Sending DeAuth to station -- STMAC: [00:16:6F:6D:1F:D4]

5.2 Disasociace

Jestliže se chce klient odpojit od AP, pošle access pointu disasocianí management rámec.

Tento rámec mže poslat i útoník za jinou stanici.

Disasociace není v aireplay-ng implementována, proto se musí soubor s tímto rámcem

pipravit (nap. odchytit si deauth. rámec do souboru a hex editorem zmnit jeho první byte

rámce z 0xC0 na 0xA0). Aireplay-ng nate tento rámec ze souboru a odešle.

aireplay-ng -2 –u 0 –v 0 –m 1 –n 20 –w 0 –r dissasoc.cap ath0

Aireplay-ng projde soubor dissasoc.cap a nabídne k odeslání rámec vyhovující parametrm.

Parametry m, n jsou minimální a maximální velikost rámce, w 0 znamená, že protected bit je

0, u 0 je management rámec a v 10 je podtyp disasociace. Bez tchto parametr se aireplay-ng

zamuje na datové rámce

5.3 Test Deautentizace a Disasociace

K testovanému AP D-Link s chipsetem RTL8186 a notebookem (tentokrát OS Windows XP

Prof.) s wifi kartou IPW2915 jsem ješt pidal AP postavený na Linuxu s wifi kartou Z-Com

626 a ovladaem hostap. A ješt jako dalšího klienta jsem použil notebook s OS Win. Vista

Home Premium s wifi kartou IPW3945. Stav spojení jsem na klientovi sledoval pomocí

programu ping.

klient\AP 626 hostap RTL8186 626 hostap RTL8186

IPW2915 nic nic nic KO

IPW3915 KO KO nic KO

KO=spojení se perušilo nic=klient nebyl odpojen, spojení se neperušilo

AP klientovi klient na AP

Útoník posílá deautentifikaní rámec jako

Tabulka 2 DoS útok deauth. rámci

klient\AP 626 hostap RTL8186 626 hostap RTL8186

IPW2915 nic nic nic KO

IPW3915 KO KO nic KO

KO=spojení se perušilo nic=klient nebyl odpojen, spojení se neperušilo

Útoník posílá disasocianí rámec jako

AP klientovi klient na AP

Tabulka 3 DoS útok pomocí disasocianích rámc

Pi vyslání jen 1 rámce se spojení rozpadlo jen nkdy. Když jsem jich poslal 10 za sekundu,

tak se spojení rozpadlo vždy (tam, kde je v tabulce KO). Zkoušel jsem rzné šifrování (žádné,

WEP, WPA TKIP, WPA2 CCMP) a výsledek byl vždy stejný. Po rozpojení se zaízení vždy

snažily spojit zpt. Karta IPW2915 a AP s hostap mají ochranu proti tomuto útoku. Zejm

nastavují ochranný timeout, po který by neml nastat žádný penos dat. Spojení mžou

perušit až po uplynutí timeoutu. A pokud se posílají datové rámce a jsou potvrzovány, tak se

spojení nerozpojí a timeout se zruší.

Tyto útoky se hodí na podpoení dalších útok nebo DoS útoku. Jsou závislé na konkrétních

použitých zaízeních.