Esempi ed analisi delle firme senza fili comuni di attacco

Il senso migliore di conoscere queste firme sta provando gli attrezzi in questione e sta fiutando verso l'esterno la loro uscita: "l'attacco con difendere, difende con attacare" (Dott. Mudge). La fonte migliore sulle firme che senza fili di rilevazione e di attacco dell'attrezzo di intrusione della rete siamo informati di è carte di lan di Joshua Wright "analisi di strato 2 delle domande di scoperta di WLAN di rilevazione di intrusione" e "rilevazione dello Spoofing senza fili di MAC address". Una grande parte di questa lezione privata è ispirata da questi articoli brillanti e dalla nostra esperienza in analizzare il traffico di WLAN mentre gli attacchi in vivo avvengono.

Un attrezzo senza fili di scoperta o di attacco della rete deve trasmettere i dati per fornirci una firma di identificazioni. Ci non è un senso scoprire una ventosa passiva di traffico ed il cracker di WEP e non importa quanto provate duro il richiamo che anche se una scheda nel modo di RFMON può trasmettere i dati se lo forziamo per fare così, esso non ACK i dati ricevuti e generalmente non risponde ad alcun traffico che trasmettiamo esso. Le schede del Cisco Aironet trasmettono le strutture di richiesta della sonda quando nel modo di controllo, ma ridurre l'alimentazione della trasmissione a 1 Mw dovrebbe nascondere ragionevolmente bene il attacker. Inoltre, i più nuovi driver di Linux che vengono con i noccioli correnti si accertano che le schede del Cisco non sondino quando nel modo di RFMON. Quindi, l'unico senso certo rilevare attackers "passivi" sta macchiandoli che usando fisicamente i dispositivi ottici e "geek con la firma di attacco dell'antenna e del laptop". La scoperta attiva della rete di esame, il DOS, l'iniezione di traffico e gli attacchi uomo-in-$$$-CENTRALI sono un'edizione interamente differente.

NetStumbler ed il relativo più piccolo fratello MiniStumbler del pc della tasca sono i generatori della firma di identificazioni della radio più comuni nel selvaggio. Sono liberi, facili da installare ed usare e, naturalmente, funzionare sotto il sistema operativo più comune nel mondo. Ci sono lle coppie delle caratteristiche distinte che indicano "un kiddie di NetStumbler nella casa":

• NetStumbler sonda un AP scoperto per le informazioni supplementari, solitamente le stesse informazioni presenti nel parametro del MIB system.sysName.0 dello SNMP. Per fare questo trasmette una struttura LLC-INCAPSULATA della sonda di dati al AP.

• le strutture LLC-INCAPSULATE NetStumbler trasmette all'uso scoperto di APs un contrassegno amministrativamente unico (OID) di 0x00601d e del contrassegno di protocollo (PID) di 0x0001.

• Queste strutture hanno un carico utile di dati di 58 byte.

• Alcune versioni di NetStumbler aggiungono una stringa unica di ASCII ad un tal carico utile:

  • NetStumbler 3.2.0: Bloopit del gronk di Flurble, bnip Frundletrune

  • NetStumbler 3.2.3: Tutti i vostri 802.11b sono appartengono a noi

  • NetStumbler 3.3.0: intenzionalmente spazio in bianco 1

• NetStumbler è stato segnalato per trasmettere le richieste della sonda una frequenza a superiore alla frequenza ditrasmissione della sonda attiva usuale di esame. Questo rapporto richiede la verifica supplementare.

MiniStumbler non trasmette le sonde di dati al APs scoperto. Quindi, è più difficile da identificare.

BSD-AIRTOOLS Dstumbler è inoltre capace dell'esame attivo come prova della caratteristica di concetto. Non prevediamo un attacker ragionevole munito con BSD-AIRTOOLS per usare questa caratteristica nella scoperta in vivo della rete. Ci è sempre il modo di RFMON. Se l'esame attivo con Dstumbler è usato, le firme dell'attrezzo sono come segue:

• Dstumbler genera usando basso-numerato, modulo delle strutture di richiesta della sonda (controllo 0x0040 della struttura) 12 numeri progressivi.

• Autentichi la struttura trasmessa tramite gli usi del Dstumbler un valore ripetuto di sequenza di 11 (0x0b).

• La seguente struttura di richiesta di associazione ha un valore di sequenza di 12 (0x0c).

• Dopo la ricezione della risposta della sonda, Dstumbler tenta di autenticare ed associarsi con il AP scoperto. Ciò è possibilmente l'unica ragione per la quale qualcuno con Dstumbler userebbe mai l'esame attivo (caccia efficiente per la frutta basso-appendente).

Un altro attrezzo attivo comune di scoperta di esame WLAN siete probabili incontrare poichè un consulente in materia senza fili del coordinatore o di sicurezza della rete è servizio senza fili di esame della rete di estensione di servizio di Windows.xp. Perchè usi NetStumbler se Windows.xp in se può farlo? Il servizio di esame della rete di Windows.xp trasmette le strutture di richiesta della sonda con la radiodiffusione ESSID ("AFFATTO") e un secondo valore unico di ESSID. È questo secondo ESSID che dà gli utenti di Windows.xp via. Nei telai di richiesta della sonda trasmessi, Windows.xp regola un valore etichettato come parte del telaio che esaurisce il campo intero di ESSID (32 byte). Questo valore etichettato è una serie di caratteri nonprintable apparentemente casuali. Questa stringa di dati al hex è

0x14 0x09 0x03 0x11 0x04 0x11 0x09 0x0e

0x0d 0x0a 0x0e 0x19 0x02 0x17 0x19 0x02

0x14 0x1f 0x07 0x04 0x05 0x13 0x12 0x16

0x16 0x0a 0x01 0x0a 0x0e 0x1f 0x1c 0x12
 

Non è conosciuto se questa è un insetto o una caratteristica di Windows.xp. Dal punto di vista delle identificazioni, questa è una caratteristica. Tenga presente che gli utenti inesperti di Windows.xp non potrebbero essere informati del loro esame del sistema per le reti senza fili e perfino l'associazione con. Quindi, che cosa sembra come un attacco potrebbe essere una mancanza di formazione dell'utente piuttosto che intenzione cattiva. Come nota laterale, lo stesso si applica alle macchine di Windows ed alla connettività infrarossa: Una volta che l'orificio IR è permesso, il sistema continuerà ad esplorare per le reti e gli ospiti e collegherà ai collegamenti trovati se possibile. I cracker possono abusare questo regolando i loro laptops come prese IR, attacanti gli ospiti di collegamento senza utenti che capiscono mai che cosa è accaduto.

Prendiamo uno sguardo più vicino a Wellenreiter ed il MAC che spoofing su WLANs. Già abbiamo discusso alcune caratteristiche dell'attacco diforzatura di Wellenreiter ESSID. Qui è la parte reale del codice dalla più vecchia versione di Wellenreiter 1.6 che genera ESSIDs falso ed i mACs:

system("$fromconf{iwpath} #} 
essid

'this_is_used_for_wellenreiter '");

system("$fromconf{ifconfig} 
#} giù");

mio $brutessid = spostamento (@g_wordlist);

mio $mactouse = build_a_fakemac;

system("$fromconf{ifpath} #} 
etere del hw # ");

prova di \nI della stampa STDOUT "ora il essid: # 
";

system("$fromconf{iwpath} #} 
essid # ");

system("$fromconf{ifpath} #} 
su");

ritorno (#);

Il sottoprogramma del build_a_fakemac per la generazione degli indirizzi falsi del MAC è come segue:

build_a_fakemac secondario

{

mio #;

# realizzi le 4 ripetizioni di seguenti dichiarazione. 
Ciò è realmente un insetto, dovrebbe

# sia le 5 ripetizioni per generare un valore 
40\x{00AD}bit. Questa procedura costantemente

# generi gli indirizzi del MAC che il ifconfig 
riempirà con un hex strascicante 40.

per (mio $i = 0;$i < 4;$i++)

{

# $temp contiene un valore casuale del hex fra 0 
e 255

mio $temp = sprintf "%x", int(rand(255));

se == (length($temp) 1)

{

# prepend i valori di single\x{00AD}digit con uno 
zero conducente

$temp = '0 '. #;

}

# colleghi il valore del hex in $temp al MAC 
address generato

$fakemac = $fakemac. #;

}

# prepend i 00 conducenti al MAC address generato 
per evitare il conflitto con riservato o

# indirizzi del MAC di multicast/broadcast

$fakemac = '00 '. #;

ritorno (#);
 

Come potete vedere, il primo ESSID da regolare è this_is_used_for_wellenreiter, allora la animale-forzatura (bene, realmente un attacco del dizionario, mio $brutessid = spostamento (@g_wordlist);) comincia. Gli indirizzi del MAC prodotti cominci da 00 evitare di generare i mACs di multicast-specifico. Wellenreiter genera i prefissi multipli del MAC che non seguono la lista di ripartizione di OUI pubblicata in RFC 1700. Controllando tale traffico e confrontando il OUIs alla lista del RFC, i cracker che stanno usando i prefissi ripartiti con scelta casuale del MAC senza un pensiero anteriore possono essere rilevati facilmente. Si noti che lo stesso principio si applicherebbe a tutto l'attrezzo del cracker che genera gli indirizzi casuali del MAC, a meno che l'attrezzo prenda la tabella di ripartizione di OUI in considerazione durante il processo di generazione della struttura. Un esempio di così attrezzo astuto è il FakeAP dell'alchemia nera. Joshua Wright ha scritto uno scritto del Perl di esempio maidwts.pl che confronta il MAC address OUIs di fonte alla lista dello IEEE OUI e genera gli allarmi quando il prefisso non è assegnato ad un fornitore di fissaggi conosciuto:

arhontus:~ # Perl maidwts.pl - h

Uso:

 maidwts [ opzioni ]

 - i, -- interfaccia

 - f, -- nome di schedario

 - c, -- conteggio

 - n, -- nopromisc

 - t, -- prespegnimento

 - a, -- rfmonwlan

 - z, -- stdethernet

 - v, -- verbose

 - h, -- aiuto

e.x. "maidwts - c 500 - i eth1 -" bloccare 
in 802.11 RFMON

e.x. "maidwts - c 500 - i eth1 - z" per 
bloccare le strutture di Ethernet di std

Tale funzionalità può essere un'aggiunta degna al vostro attrezzo o allo schema di identificazioni.

Come circa rilevazione uomo-in-$$$-CENTRALE di attacco? AirJack regola un difetto ESSID "AirJack"; perché l'attrezzo del DOS del fata_jack inoltre usa il driver dei airjack_cs, il difetto EISSD sarebbe lo stesso (essid_jack e wlan_jack della nota). Ci sarà un impulso di spoofed le strutture di deauthentication dirette contro l'ospite attacato e una perdita molto breve della connettività fra quell'ospite ed il AP. Tuttavia, il colpo migliore a rilevare gli attacchi uomo-in-$$$-CENTRALI di strato 2 (o qualsiasi strato 2 che spoofing) su WLANs è con l'analisi di 802.11 numeri progressivi della struttura.

Il campo di numero progressivo nei 802.11 telai è un contatore sequenziale che incremented da uno per ciascuno nonfragmented la struttura. Il numero comincia a zero e va fino a 4.096. Allora il contatore è ripristinato di nuovo a zero e un nuovo conteggio comincia. Il fermo è voi non può regolare questo parametro ad un valore arbitrario anche se generate le strutture completamente su ordinazione con un attrezzo come il dinject del Wnet. Quando un attacker interferisce con il modello attuale della trasmissione, i numeri progressivi dei telai attacker-trasmessi non corrisponderanno ai numeri progressivi dei telai normalmente presenti sulla rete. Come esempio, FakeAP genera il traffico che finge provenire dai punti di accesso differenti nella zona. Quando osservate gli indirizzi del MAC e di ESSIDs soltanto, non potrete dire alle strutture del falò di FakeAP dalle strutture legittime del falò che potrebbero essere trasmesse. Tuttavia, l'aumento di numero progressivo da uno inbandiererebbe il traffico di FakeAP fuori. Se parecchio APs fosse realmente intorno, vedreste parecchi contatori incrementing, non con i mACs cambianti ed ESSIDs.

Nel caso di AirJack, dei noi devono linea di base i numeri progressivi fra il AP e l'ospite il deauthenticate di volontà del attacker. In pratica, questa è un'operazione difficile sulle grandi reti senza fili, particolarmente se vagando gli ospiti sono presenti; tuttavia, non è impossibile. Se la finestra di numero progressivo della struttura del traffico legittimo fra il cliente ed il AP si trova in una gamma dalla X alla Z, spoofed i numeri progressivi della struttura che vengono dal attacker attaccherebbe fuori portata–di X Z come un pollice irritato. Verific un esempio di un tal usando di rilevazione di attacco etereo in articolo di lan di originale di Joshua Wright "rilevando di Spoofing senza fili di MAC address". Naturalmente, se un attacco è lanciato contro un cliente senza fili legittimo o persino il AP in se del DOS ed è seguito dal cracker che spoofing poichè un ospite battuto -fuori, la catena di numero progressivo inoltre sarebbe rotto. Ciò fa il numero progressivo delle 802.11 strutture che baselining, controllante ed analisi un senso grande rilevare e contrastare gli attacchi spoofing a WLANs. Tuttavia, nel mondo reale alcune schede senza fili del cliente sono rotte nel senso di non quanto segue la specifica di 802.11 campioni per la generazione di numero progressivo. Ciò applica alle schede di Lucent con i vecchi rilasci dei firmware prima della versione 8.10—un nuovo motivo mantenere i vostri firmware aggiornati. Inoltre, gli ospiti vaganti genereranno i positives falsi essendo dal ciclo di numero progressivo quando si muove dalla cellula verso la cellula. Quindi, l'analisi di numero progressivo delle 802.11 strutture è in qualche modo inutile sulle reti con tantissimi utenti vaganti e dovrebbe essere costruita nelle applicazioni di identificazioni come opzione che può essere spenta se necessario.

Nell'analizzare gli esempi della firma dell'attrezzo di attacco presentati, una cosa diventa evidente: I cracker possono modificare o eliminare facilmente le firme per evitare la rilevazione. Ci sono rapporti degli utenti di NetStumbler che impiegano i redattori del hex per rimuovere le stringhe accennate dalle strutture della sonda di dati di NetStumbler. ESSIDs trasmesso dagli attrezzi quali Wellenreiter o AirJack può essere cambiato facilmente. Per esempio, in airjack.c (ai tempi di scrittura) il difetto ESSID è stato definito in linea 1694:

memcpy(ai->essid + 1, "AirJack", 7);   

Le identificazioni adeguate della radio dovrebbero effettuare ed integrare sia il confronto della firma di attacco che la rilevazione di anomalia di traffico della rete.

Diniego: Il nostro Web site non è responsabile delle informazioni contenute da questo articolo. Questo articolo in nessun modo riflette le viste, le opinioni, i pensieri o la credenza del personale dell'indice degli articoli.

Avviso di traduzione: L'articolo "esempi ed analisi delle firme senza fili comuni di attacco" è stato tradotto usando un servizio di traduzione automatizzato. Chiediamo scusa francamente per tutti gli errori di traduzione che hanno accaduto. Grazie per capire.