La meilleure manière de connaître ces signatures essaye les outils en question et renifle hors de leur rendement : l'"attaque en défendant, défendent en attaquant" (Dr. Mudge). La meilleure source sur les signatures sans fil de détection et d'attaque d'outil d'intrusion de réseau que nous nous rendons compte de est analyse de la couche 2 de Joshua Wright "des demandes de découverte de WLAN de détection d'intrusion" et de "détecter le MAC address sans fil de LAN De charrier" des papiers. Une grande partie de ce cours d'instruction est inspirée par ces articles brillants et notre expérience d'analyser le trafic de WLAN pendant que les attaques réelles ont lieu.
Un outil sans fil de découverte ou d'attaque de réseau doit transmettre des données pour nous fournir une signature d'identifications. Il n'y a pas une manière de découvrir un renifleur passif du trafic et le biscuit de WEP, et il n'importe pas comment dur vous essayez le rappel qui bien qu'une carte en mode de RFMON puisse transmettre des données si nous le forçons pour faire ainsi, il pas ACK les données reçues et généralement ne répond à aucun trafic que nous lui envoyons. Les cartes de Cisco Aironet envoient des armatures de demande de sonde quand en mode de surveillance, mais ramener la puissance de transmission à 1 mW devrait cacher l'attaquant assez bien. En outre, de plus nouveaux conducteurs de Linux qui viennent avec les grains courants s'assurent que les cartes de Cisco ne sondent pas quand en mode de RFMON. Ainsi, la seule manière fiable de détecter les attaquants "passifs" les repère employant physiquement les circuits optiques et "geek la signature avec d'ordinateur portatif et d'antenne" attaque. La découverte active de réseau de balayage, le DOS, l'injection du trafic, et les attaques homme-dans-le-moyennes sont une issue entièrement différente.
NetStumbler et son plus petit frère MiniStumbler de PC de poche sont les générateurs de signature d'identifications de radio les plus communs dans le sauvage. Ils sont libres, faciles à installer et employer, et, naturellement, pour courir sous le logiciel d'exploitation le plus commun dans le monde. Il y a des couples des dispositifs distincts indiquant un "kiddie de NetStumbler dans la maison" :
NetStumbler sonde AP découvert pour l'information additionnelle, habituellement la même information actuelle dans le paramètre de MIB system.sysName.0 de SNMP. Pour faire ceci il envoie une armature LLC-ENCAPSULÉE de sonde de données à AP.
|
|
les armatures LLC-ENCAPSULÉES NetStumbler envoie à l'utilisation découverte d'aps une marque administrativement unique (OID) de 0x00601d et de marque de protocole (PID) de 0x0001.
Ces armatures ont une charge utile de données de 58 bytes.
Quelques versions de NetStumbler ajoutent une corde unique d'ASCII à une telle charge utile :
NetStumbler 3.2.0 : Bloopit de gronk de Flurble, bnip Frundletrune
NetStumbler 3.2.3 : Tous vos 802.11b sont appartiennent à nous
NetStumbler 3.3.0 : intentionnellement blanc 1
On a rapporté que NetStumbler transmet des demandes de sonde une fréquence plus haute que la fréquence d'demander-envoi de sonde active habituelle de balayage. Ce rapport exige la vérification additionnelle.
MiniStumbler n'envoie pas des sondes de données à l'aps découvert. Ainsi, il est plus difficile d'identifier.
Schéma-airtools Dstumbler est également capable du balayage actif comme preuve de dispositif de concept. Nous n'attendons pas un attaquant sensible armé avec Schéma-airtools pour employer ce dispositif dans la découverte réelle de réseau. Il y a toujours le mode de RFMON. Si le balayage actif avec Dstumbler est employé, les signatures d'outil sont comme suit :
Dstumbler produit d'employer d'armatures de demande de sonde (commande 0x0040 d'armature) bas-numéroté, modulo 12 nombres d'ordre.
Authentifiez l'armature envoyée par des utilisations de Dstumbler une valeur réitérée d'ordre de 11 (0x0b).
L'armature suivante de demande d'association a une valeur d'ordre de 12 (0x0c).
Après réception d'une réponse de sonde, Dstumbler essaye d'authentifier et s'associer à AP découvert. C'est probablement la seule raison pour laquelle quelqu'un avec Dstumbler emploierait jamais le balayage actif (chasse efficace pour le fruit bas-accrochant).
Un autre outil actif commun de découverte du balayage WLAN vous êtes susceptible de rencontrer car un consultant en matière sans fil d'administrateur ou de sécurité de réseau est service sans fil de balayage de réseau de prolongation de service de Windows.xp. Pourquoi employez NetStumbler si Windows.xp lui-même peut le faire ? Le service de balayage de réseau de Windows.xp envoie des armatures de demande de sonde avec l'émission ESSID ("") et une deuxième valeur unique d'ESSID. C'est cet deuxième ESSID qui donne les utilisateurs de Windows.xp loin. Dans les armatures de demande de sonde envoyées, Windows.xp place une valeur étiquetée comme partie de l'armature qui épuise le champ entier d'ESSID (32 bytes). Cette valeur étiquetée est une corde des caractères nonprintable apparemment aléatoires. Cette corde de données au sortilège est
0x14 0x09 0x03 0x11 0x04 0x11 0x09 0x0e
0x0d 0x0a 0x0e 0x19 0x02 0x17 0x19 0x02
0x14 0x1f 0x07 0x04 0x05 0x13 0x12 0x16
0x16 0x0a 0x01 0x0a 0x0e 0x1f 0x1c 0x12
On ne le connaît pas si c'est un bogue ou un dispositif de Windows.xp. Du point de vue des identifications, c'est un dispositif. Maintenez dans l'esprit que les utilisateurs inexpérimentés de Windows.xp ne pourraient pas se rendre compte de leur balayage de système pour les réseaux sans fil et égaliser l'association à eux. Ainsi, ce qui semble comme une attaque pourrait être un manque d'éducation d'utilisateur plutôt qu'intention malveillante. Comme note latérale, le même s'applique aux machines de Windows et à la connectivité infrarouge : Une fois que le port IR est permis, le système continuera de balayer pour des réseaux et des centres serveurs et se reliera aux liens trouvés si possible. Les biscuits peuvent maltraiter ceci en plaçant leurs ordinateurs portatifs en tant que pièges IRS, attaquant les centres serveurs se reliants sans arrangement d'utilisateurs jamais ce qui s'est produit.
Prenons un regard plus étroit chez Wellenreiter et l'IMPER charriant sur WLANs. Nous avons déjà discuté quelques dispositifs de l'attaque brute-forçante de Wellenreiter ESSID. Voici le morceau réel de code de la version plus ancienne de Wellenreiter 1.6 qui produit d'ESSIDs faux et d'impers :
system("$fromconf{iwpath} #}
essid
'this_is_used_for_wellenreiter '") ;
system("$fromconf{ifconfig}
#} vers le bas") ;
mon $brutessid = décalage (@g_wordlist) ;
mon $mactouse = build_a_fakemac ;
system("$fromconf{ifpath} #}
éther de hw # ") ;
essai de \nI de l'impression STDOUT "maintenant l'essid : # ";
system("$fromconf{iwpath} #}
essid # ") ;
system("$fromconf{ifpath} #}
vers le haut de") ;
retour (#) ;
Le sous-programme de build_a_fakemac pour créer des adresses fausses d'IMPER est comme suit :
build_a_fakemac secondaire
{
mon # ;
# effectuez 4 itérations des rapports suivants. C'est réellement un bogue, devrait
# soyez 5 itérations pour produire d'une valeur
40\x{00AD}bit. Ce procédé uniformément
# produisez des adresses d'IMPER que l'ifconfig capitonnera avec un sortilège de remorquage 40.
pour (mon $i = 0;$i < 4;$i++)
{
# $temp contient une valeur aléatoire de sortilège entre 0 et 255
mon $temp = sprintf "%x", int(rand(255)) ;
si == (length($temp) 1)
{
# ajoutez les valeurs au début de
single\x{00AD}digit avec un zéro principal
$temp = '0 '. # ;
}
# apposez la valeur de sortilège dans $temp au MAC address produit
$fakemac = $fakemac. # ;
}
# ajoutez des 00 principaux au MAC address produit pour éviter le conflit avec réservé ou
# adresses d'IMPER de multicast/broadcast
$fakemac = '00 '. # ;
retour (#) ;
Comme vous pouvez voir, le premier ESSID à placer est this_is_used_for_wellenreiter, puis brute-forcer (bien, réellement une attaque de dictionnaire, ma $brutessid = décalage (@g_wordlist) ;) commence. Les adresses d'IMPER produites commenceront à partir de 00 pour éviter de produire des impers multicast-spécifiques. Wellenreiter produit des préfixes multiples d'IMPER qui ne suivent pas la liste d'attribution d'OUI éditée dans RFC 1700. En surveillant un tel trafic et en comparant l'OUIs à la liste de RFC, des biscuits qui emploient des préfixes randomisés d'IMPER sans pensée antérieure peuvent être facilement détectés. Notez que le même principe appliquerait à n'importe quel outil de biscuit qui produit des adresses aléatoires d'IMPER, à moins que l'outil tienne compte de la table d'attribution d'OUI pendant le procédé de génération d'armature. Un exemple d'un outil si intelligent est le FakeAP de l'alchimie noire. Joshua Wright a écrit un manuscrit de Perl de l'exemple maidwts.pl qui compare le MAC address OUIs de source à la liste d'IEEE OUI et produit des alertes quand le préfixe n'est pas assigné à un fournisseur de matériel connu :
arhontus:~ # Perl maidwts.pl - h
Utilisation :
maidwts [ options ]
- I, -- interface
- f, -- nom de fichier
- c, -- compte
- n, -- nopromisc
- t, -- arrêt
- a, -- rfmonwlan
- z, -- stdethernet
- v, -- bavard
- h, -- aide
e.x. "maidwts - c 500 - I eth1 -" pour capturer dans 802.11 RFMON
e.x. "maidwts - c 500 - I eth1 - z" pour capturer des armatures d'Ethernet de STD
Une telle fonctionnalité peut être une digne addition à votre outil ou à arrangement d'identifications.
Que diriez-vous de de la détection homme-dans-le-moyenne d'attaque ? AirJack place un défaut ESSID "AirJack" ; parce que l'outil de DOS de fata_jack emploie également le conducteur d'airjack_cs, le défaut EISSD serait identique (essid_jack et wlan_jack de note). Il y aura une montée subite des armatures charriées de deauthentication dirigées contre le centre serveur attaqué et une perte très brève de connectivité entre ce centre serveur et AP. Cependant, le meilleur projectile à détecter des attaques homme-dans-le-moyennes de la couche 2 (ou toute couche 2 charriant) sur WLANs est par l'analyse de 802.11 nombres d'ordre d'armature.
Le champ de nombre d'ordre dans 802.11 armatures est un compteur séquentiel qui est incrémenté par un pour chacun nonfragmented l'armature. Le nombre commence à zéro et va jusqu'à 4.096. Alors le compteur est remis à zéro de nouveau à zéro et un nouveau compte commence. Le crochet est vous ne peut pas placer ce paramètre à une valeur arbitraire même si vous produisez des armatures complètement faites sur commande avec un outil comme le dinject de Wnet. Quand un attaquant interfère le modèle existant de transmission, les nombres d'ordre d'armatures attaquant-transmises ne correspondront pas aux nombres d'ordre d'armatures normalement actuelles sur le réseau. Comme exemple, FakeAP produit du trafic feignant pour provenir de différents points d'accès du secteur. Quand vous regardez les adresses d'ESSIDs et d'IMPER seulement, vous ne pourrez pas dire des armatures de balise de FakeAP des armatures légitimes de balise qui pourraient avoir été transmises. Cependant, l'augmentation de nombre d'ordre par une marquerait le trafic de FakeAP dehors. Si plusieurs aps étaient vraiment autour, vous verriez des plusieurs compteurs d'incrémentation, non avec les impers changeants et ESSIDs.
Dans le cas d'AirJack, de nous doivent ligne de base les nombres d'ordre entre AP et le centre serveur le deauthenticate de volonté d'attaquant. En pratique, c'est un difficile chargent sur de grands réseaux sans fil, particulièrement si errant les centres serveurs sont présents ; cependant, ce n'est pas impossible. Si la fenêtre de nombre d'ordre d'armature du trafic légitime entre le client et le AP se situe dans une gamme de X à Z, les nombres d'ordre charriés d'armature venant de l'attaquant colleraient hors de la chaîne–de X Z comme un pouce endolori. Vérifiez un exemple de tel employer de détection d'attaque éthéré dans l'original de Joshua Wright "détectant le MAC address sans fil de LAN Charrier" l'article. Naturellement, si une attaque de DOS est lancée contre un client sans fil légitime ou même AP elle-même et est suivie de la mystification de biscuit car un centre serveur frappé-dehors, la chaîne de nombre d'ordre serait également cassé. Ceci fait le nombre d'ordre de 802.11 armatures baselining, surveillant, et analyse une grande manière de détecter et contrecarrer des attaques de mystification sur WLANs. Cependant, dans le vrai monde quelques cartes sans fil de client sont cassées dans le sens de non suivant les spécifications de 802.11 normes pour la génération de nombre d'ordre. Ceci s'applique aux cartes de Lucent avec de vieux dégagements de progiciels avant la version 8.10—une plus de raison de maintenir vos progiciels mis à jour. En outre, les centres serveurs errants produiront des positifs faux en étant hors du cycle de nombre d'ordre quand se déplaçant de la cellule à la cellule. Ainsi, l'analyse de nombre d'ordre de 802.11 armatures est quelque peu inutile sur des réseaux avec un grand nombre d'utilisateurs errants et devrait être construite dans les applications d'identifications comme option qui peut être arrêtée si nécessaire.
En analysant les exemples de signature d'outil d'attaque présentés, une chose devient évidente : Les biscuits peuvent facilement modifier ou éliminer les signatures pour éviter la détection. Il y a des rapports des utilisateurs de NetStumbler qui emploient des rédacteurs de sortilège pour enlever les cordes mentionnées des armatures de sonde de données de NetStumbler. ESSIDs envoyé par des outils tels que Wellenreiter ou AirJack peut être facilement changé. Par exemple, dans airjack.c (à l'heure de l'écriture) le défaut ESSID a été défini sur la ligne 1694 :
memcpy(ai->essid + 1, "AirJack", 7) ;
Les identifications appropriées d'une radio devraient mettre en application et intégrer la comparaison de signature d'attaque et la détection d'anomalie du trafic de réseau.
|
|