Útoky pomocí Management rámců
Management rámce je jednoduché podvrhnout. Jsou opateny pouze FCS kódem proti
chybám. AP obvykle vyšle deautentizaní rámec klientovi, který posílá datové rámce, ale není
asociován. Klient zase obvykle zasláním deasocianího rámce oznamuje AP, že se odpojí a už
nebude komunikovat.
FC Dur. destination source BSSID Seq. num. píina
2B 2B 6B 6B 6B 2B 2B
C000 3C00 001B114C3C91 00166F6D1FD4 001B114C3C91 C0F8 0100
Obrázek 12 Deathentification frame
V management rámcích mají fyzické adresy svj význam podle umístní v rámci, tak jak je to
na obrázku (Obrázek 12 Deathentification frame), v datových rámcích je význam adres dán
bity ToDS a FromDS. Útoník si mže zkusit “zahrát na access point“ nebo klienta a posílat
tyto rámce. Rámec na obrázku je deautentizaní rámec, protože první byte FC je 0xC0 a je
posílán od klienta na AP, protože destination = BSSID. Disasocianí rámec má první byte
0xA0. Píina 0x0100 znamená blíže nespecifikovaná píina. Aby rámec vypadal, že ho
posílá AP klientovi, musí se prohodit adresy destination a source.
Obrázek 13 Útoník posílá rámce jako AP
Obrázek 14 Úto
ník posílá rámce jako klient5.1 Deautentizace
aireplay-ng umí vysílat deautentizaní management rámce, což mže zpsobit zrušení spojení
mezi klientem a AP. Stídav posílá rámec jako klient na AP a jako AP klientovi.
[root@linux 8]# aireplay-ng -0 1 -a 00:1b:11:4c:3c:91 -c
00:16:6f:6d:1f:d4 ath0
Výstup programu je:
23:36:05 Sending DeAuth to station -- STMAC: [00:16:6F:6D:1F:D4]
5.2 Disasociace
Jestliže se chce klient odpojit od AP, pošle access pointu disasocianí management rámec.
Tento rámec mže poslat i útoník za jinou stanici.
Disasociace není v aireplay-ng implementována, proto se musí soubor s tímto rámcem
pipravit (nap. odchytit si deauth. rámec do souboru a hex editorem zmnit jeho první byte
rámce z 0xC0 na 0xA0). Aireplay-ng nate tento rámec ze souboru a odešle.
aireplay-ng -2 –u 0 –v 0 –m 1 –n 20 –w 0 –r dissasoc.cap ath0
Aireplay-ng projde soubor dissasoc.cap a nabídne k odeslání rámec vyhovující parametrm.
Parametry m, n jsou minimální a maximální velikost rámce, w 0 znamená, že protected bit je
0, u 0 je management rámec a v 10 je podtyp disasociace. Bez tchto parametr se aireplay-ng
zamuje na datové rámce
5.3 Test Deautentizace a Disasociace
K testovanému AP D-Link s chipsetem RTL8186 a notebookem (tentokrát OS Windows XP
Prof.) s wifi kartou IPW2915 jsem ješt pidal AP postavený na Linuxu s wifi kartou Z-Com
626 a ovladaem hostap. A ješt jako dalšího klienta jsem použil notebook s OS Win. Vista
Home Premium s wifi kartou IPW3945. Stav spojení jsem na klientovi sledoval pomocí
programu ping.
klient\AP 626 hostap RTL8186 626 hostap RTL8186
IPW2915 nic nic nic KO
IPW3915 KO KO nic KO
KO=spojení se perušilo nic=klient nebyl odpojen, spojení se neperušilo
AP klientovi klient na AP
Útoník posílá deautentifikaní rámec jako
Tabulka 2 DoS útok deauth. rámci
klient\AP 626 hostap RTL8186 626 hostap RTL8186
IPW2915 nic nic nic KO
IPW3915 KO KO nic KO
KO=spojení se perušilo nic=klient nebyl odpojen, spojení se neperušilo
Útoník posílá disasocianí rámec jako
AP klientovi klient na AP
Tabulka 3 DoS útok pomocí disasocianích rámc
Pi vyslání jen 1 rámce se spojení rozpadlo jen nkdy. Když jsem jich poslal 10 za sekundu,
tak se spojení rozpadlo vždy (tam, kde je v tabulce KO). Zkoušel jsem rzné šifrování (žádné,
WEP, WPA TKIP, WPA2 CCMP) a výsledek byl vždy stejný. Po rozpojení se zaízení vždy
snažily spojit zpt. Karta IPW2915 a AP s hostap mají ochranu proti tomuto útoku. Zejm
nastavují ochranný timeout, po který by neml nastat žádný penos dat. Spojení mžou
perušit až po uplynutí timeoutu. A pokud se posílají datové rámce a jsou potvrzovány, tak se
spojení nerozpojí a timeout se zruší.
Tyto útoky se hodí na podpoení dalších útok nebo DoS útoku. Jsou závislé na konkrétních
použitých zaízeních.