Voorbeelden en Analyse van het gemeenschappelijk Wireless Attack Handtekeningen

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

De beste manier om te weten deze handtekeningen is het uitproberen van de instrumenten in kwestie en snuiven van hun output: "Attack via verdedigen, verdedigen door aanvallen" (Dr. Mudge). De beste bron op het draadloze netwerk intrusion detection tool en aanval handtekeningen we ons bewust van is Joshua Wright's "Layer 2 Analyse van de WLAN-Discovery Aanvragen voor Intrusion Detection" en "Opsporing Wireless LAN MAC-adres spoofing" papieren. Een groot deel van deze tutorial is geïnspireerd door deze briljante artikelen en onze ervaring met het analyseren van WLAN-verkeer als het echte leven aanvallen plaatsvinden.

Een draadloos netwerk ontdekking of aanval werktuig moet gegevens aan ons te voorzien van een IDS handtekening. Er is niet een manier om een passieve verkeer sniffer en WEP-kraker te ontdekken, en het maakt niet uit hoe hard je proberen. Bedenk dat hoewel een kaart in RFMON modus gegevens kan verzenden als we dwingen om dat te doen, is het niet ACK de ontvangen gegevens en over het algemeen niet reageren op het verkeer sturen we aan. Cisco Aironet kaarten sturen sonde verzoek frames toen bij het toezicht op mode, maar beperking van de overdracht bevoegdheid tot 1 mW moet verbergen van de aanvaller vrij goed. Trouwens, nieuwere Linux-stuurprogramma's die komen met de huidige kernels ervoor te zorgen dat Cisco-kaarten niet sonde wanneer in RFMON modus. Zo is de enige betrouwbare manier om te ontdekken "passieve" aanvallers spotten hen fysiek met optische apparaten en de "geek met een laptop en antenne" aanval handtekening. Actieve scannen netwerk ontdekking, DoS-, verkeers-injectie, en man-in-the-middle-aanvallen zijn een heel andere kwestie.

NetStumbler en zijn kleinere broertje MiniStumbler Pocket PC zijn de meest voorkomende draadloze IDS handtekening generatoren in het wild. Ze zijn gratis, eenvoudig te installeren en te gebruiken, en, uiteraard, uit hoofde van de meest gebruikte besturingssysteem in de wereld. Er zijn een paar duidelijke kenmerken die duiden op een "kiddie NetStumbler in het huis":

  • NetStumbler sondes ontdekt een AP voor aanvullende informatie, meestal dezelfde informatie aanwezig in de SNMP MIB system.sysName.0 parameter. Om dit te doen stuurt een LLC-ingekapselde gegevens sonde frame aan de AP.

  • LLC-ingekapselde frames NetStumbler stuurt de ontdekte AP gebruik maken van een organisatorisch unieke identifier (OID) van 0x00601d en protocol identifier (PID) van 0x0001.

  • Deze frames hebben een data-laadvermogen van 58 bytes.

  • Sommige versies van NetStumbler voeg een unieke ASCII-string op een dergelijke lading:

    • NetStumbler 3.2.0: Flurble gronk bloopit, BNIP Frundletrune

    • NetStumbler 3.2.3: Al uw 802.11b zijn bij ons horen

    • NetStumbler 3.3.0: opzettelijk blanco 1

  • NetStumbler werd gemeld aan sonde verzoeken zenden op een frequentie hoger dan de gebruikelijke actieve scanning probe-verzoek verzenden frequentie. Dit verslag vereist extra controle.

MiniStumbler stuurt geen gegevens sondes naar de ontdekte AP. Zo is het moeilijker te identificeren.

BSD-airtools Dstumbler is ook in staat actief scannen als een proof of concept-functie. We verwachten niet dat een verstandige aanvaller gewapend met BSD-airtools om deze functie in real-life netwerk ontdekking gebruiken. Er is altijd de RFMON modus. Als actieve scannen met Dstumbler wordt gebruikt, de tool handtekeningen zijn als volgt:

  • Dstumbler genereert sonde verzoek frames (frame controle 0x0040) met behulp van lage genummerd, modulo 12 volgnummers.

  • De echtheid van het frame verstuurd door Dstumbler maakt gebruik van een repeterende sequentie waarde van 11 (0x0B).

  • De volgende vereniging verzoek frame heeft een reeks waarde van 12 (0x0c).

  • Na ontvangst van een sonde reactie, Dstumbler probeert te authenticeren en associëren met de ontdekte AP. Dit is waarschijnlijk de enige reden waarom iemand met Dstumbler ooit actief zou gebruiken scannen (efficiënte jacht voor de lage-opknoping fruit).

Een andere veel voorkomende actieve scannen WLAN Discovery Tool u waarschijnlijk tegenkomen als een draadloos netwerk beheerder of security consultant is Windows XP draadloze service uitbreiding netwerk scannen dienst. Waarom NetStumbler als Windows XP zelf kan doen? De Windows XP-netwerk scannen dienst stuurt sonde verzoek frames met de uitzending ESSID ( "ALLE") en een tweede unieke ESSID waarde. Het is deze tweede ESSID dat de Windows XP-gebruikers geeft weg. In de frames sonde verzoek verzonden, Windows XP stelt een getagd waarde als een deel van het frame dat gebruik maakt van het hele veld ESSID (32 bytes). Dit tagged waarde is een reeks schijnbaar willekeurige niet-afdrukbare tekens. Deze data naar hex string is 

0x14 0x09 0x03 0x11 0x04 0x11 0x09 0x0e
0x0D 0x0a 0x0e 0x19 0x02 0x17 0x19 0x02
0x14 0x1F 0x07 0x04 0x05 0x13 0x12 0x16
0x16 0x0A 0x01 0x0A 0x0e 0x1F 0x1c 0x12

Het is niet bekend of dit een bug of een feature van Windows XP. Vanuit het oogpunt van de IDS, is dit een functie. Houd in gedachten dat onervaren gebruikers van Windows XP misschien niet bewust zijn van hun systeem scannen voor draadloze netwerken en zelfs met hen associëren. Zo, wat lijkt een aanval zou kunnen zijn een gebrek aan onderwijs gebruiker in plaats van kwade opzet. Als een terzijde, hetzelfde geldt voor de Windows-machines en infrarood connectiviteit: Zodra de IR-poort is ingeschakeld, zal het systeem blijven scannen voor netwerken en hosts en verbinding te maken met de gevonden links indien mogelijk. Crackers misbruik kan dit door de vaststelling van hun laptops als IR vallen, aanvallen verbinden hosts zonder gebruikers ooit begrijpen wat er gebeurd is.

Laten we eens een kijkje op Wellenreiter en het MAC-spoofing op WLAN's. We hebben al gesproken over een aantal functies van de Wellenreiter ESSID-dwingen brute aanval. Hier is de werkelijke stukje code uit de oudere 1.6-versie die Wellenreiter nep ESSIDs en MAC's genereert:

system ( "$ fromconf (iwpath) $ fromconf interface) (ESSID
'this_is_used_for_wellenreiter' ");
system ( "$ ifconfig fromconf () $ fromconf () interface down");
my $ brutessid = shift (@ g_wordlist);
my $ mactouse = build_a_fakemac;
system ( "$ fromconf (ifpath) $ interface fromconf () hw ether $ mactouse");
print STDOUT "\ nI test nu de ESSID: $ brutessid";
system ( "$ fromconf (iwpath) $ fromconf interface) (ESSID $ brutessid");
system ( "$ fromconf (ifpath) $ fromconf () interface up");
return ($ true);

De build_a_fakemac subroutine voor het creëren van valse MAC-adressen is als volgt:

sub build_a_fakemac
(
my $ fakemac;
Voer # 4 iteraties van de volgende uitspraken. Dit is eigenlijk een bug, moet
# 5 herhalingen worden een 40 genereren \ x () 00AD bit waarde. Deze procedure zal consequent
# Genereren MAC-adressen die ifconfig zal pad met een achterstand hex 40.
for (my $ i = 0; $ i <4; $ i + +)
(
# $ Temp bevat een willekeurige hex waarde tussen 0 en 255
my $ temp = sprintf "% x", int (rand (255));
if (length ($ temp) == 1)
(
# Plaatst u enkele \ x () 00AD cijfer waarden met een nul
$ temp = '0 '. $ temp;
)
# Voeg de hexadecimale waarde in $ temp om de gegenereerde MAC-adres
$ fakemac = $ fakemac. $ temp;
)
# Plaatst u een leidende 00 tot en met de gegenereerde MAC-adres te voorkomen conflict met gereserveerd of
# Multicast / broadcast MAC-adressen
$ fakemac = '00 '. $ fakemac;
return ($ fakemac);

Zoals u kunt zien, de eerste ESSID worden this_is_used_for_wellenreiter is, dan is de brute-dwingen (nou ja, eigenlijk een woordenboek aanval, my $ brutessid = shift (@ g_wordlist);) begint. Het MAC-adressen geproduceerd zal beginnen bij 00 om te voorkomen dat het genereren van multicast-specifieke Macs. Wellenreiter genereert meerdere MAC voorvoegsels die niet volgens de OUI toewijzing lijst gepubliceerd in RFC 1700. Bij de controle op dergelijke verkeer en het vergelijken van de OUIS aan de RFC lijst, crackers die met behulp van gerandomiseerde MAC voorvoegsels zonder voorafgaande gedachte kan gemakkelijk worden opgespoord. Merk op dat hetzelfde principe zou gelden voor iedere kraker tool die willekeurig MAC-adressen genereert, tenzij het instrument de OUI toewijzing tabel wordt rekening gehouden tijdens het frame generatie proces. Een voorbeeld van een dergelijke slimme tool is de Black Alchemy's FakeAP. Joshua Wright is een voorbeeld maidwts.pl Perl-script dat de bron MAC-adres OUIS vergelijkt met de IEEE OUI lijst geschreven en genereert waarschuwt wanneer het voorvoegsel niet wordt toegewezen aan een bekende hardwareleverancier:

arhontus: ~ # perl maidwts.pl-h
Usage:
 maidwts [opties]
 -i, - interface
 -f, - bestandsnaam
 -c, - count
 -n, - nopromisc
 -t, - timeout
 -a, - rfmonwlan
 -z, - stdethernet
 -v, - verbose
 -h, - help
 
ex "maidwts-C 500-i eth1-a" Voor het vastleggen in 802.11 RFMON
ex "maidwts-C 500-i eth1-z" Voor het vastleggen van std Ethernet frames

Deze functionaliteit kan een waardevolle aanvulling op uw IDS gereedschap of regeling.

Hoe zit het man-in-the-middle aanval detectie? AirJack zet een standaard ESSID "AirJack", omdat de fata_jack DoS-tool ook gebruik van de airjack_cs bestuurder, de standaard EISSD hetzelfde zou zijn (let op essid_jack en wlan_jack). Er zal een golf van vervalste deauthentication frames gericht tegen de aangevallen host en een zeer korte verlies van connectiviteit tussen deze host en de AP. Echter, de beste schot op het opsporen van Layer 2-man-in-the-middle-aanvallen (of een Layer 2 spoofing) over WLAN's is door de analyse van 802,11 nummers frame volgorde.

Het volgnummer 802,11 veld in frames is een sequentiële teller die wordt verhoogd met een voor elke nonfragmented frame. Het nummer begint bij nul en gaat tot 4096. Dan is de teller gereset is terug naar nul en een nieuwe telling begint. De vangst is kunt u deze parameter niet ingesteld op een willekeurige waarde, zelfs als u helemaal op maat te genereren frames met een tool zoals WNET's dinject. Wanneer een aanvaller interfereert met de bestaande transmissie patroon, zal de volgnummers van de aanvaller overdraagbare frames niet overeen met de volgnummers van frames die normaal aanwezig zijn op het netwerk. Als voorbeeld, FakeAP genereert verkeer pretenderen afkomstig te zijn van verschillende access points in het gebied. Als je kijkt naar de ESSIDs en MAC-adressen alleen, zult u niet in staat zijn om FakeAP baken frames vertellen van legitieme baken frames die hadden kunnen worden doorgegeven. Toch zou het volgnummer incrementation door een vlag FakeAP verkeer uit. Als er meerdere AP's werkelijk rond, zou je er meerdere verhogen tellers, niet een met het veranderen van MAC's en ESSIDs.

In het geval van AirJack zullen we moeten de uitgangswaarde van de volgnummers tussen het AP en de gastheer de aanvaller zal deauthenticate. In de praktijk is dit een moeilijke taak op grote draadloze netwerken, vooral als roaming gastheren aanwezig zijn, maar het is niet onmogelijk. Als het frame volgnummer raam van het legitieme verkeer tussen de cliënt en de AP ligt in een bereik van X tot Z, vervalste frame volgnummers uit de aanvaller erop plakken van de X-Z bereik als een zere duim. Bekijk een voorbeeld van een dergelijke aanval detectie met behulp van Ethereal in de originele "Joshua Wright's Opsporing Wireless LAN MAC-adres spoofing" artikel. Natuurlijk, als een DoS aanval wordt gelanceerd tegen een legitieme draadloze client of zelfs het AP zelf en wordt gevolgd door de cracker spoofing klopte als een gastheer-out, dan zou het volgnummer keten ook verbroken worden. Dit maakt 802,11 frame volgnummer Baselining, monitoring en analyse een geweldige manier op te sporen en spoofing aanvallen op WLAN dwarsbomen. Echter, in de echte wereld sommige draadloze client kaarten zijn onderverdeeld in de zin van niet na de 802.11-standaard specificatie voor volgnummer generatie. Dit geldt voor Lucent kaarten met oude firmware releases voor de 8.10-versie een reden te meer om je firmware bijgewerkt te houden. Ook zal roaming gastheren valse positieven te genereren door zich uit het volgnummer cyclus bij verhuizing van cel naar cel. Zo is 802,11 frame volgnummer van de analyse enigszins nutteloos op netwerken met een groot aantal gebruikers van roaming en dient te worden ingebouwd in de IDS toepassingen als een optie die kan worden uitgeschakeld indien nodig.

Bij het analyseren van de aanval gereedschap handtekening voorbeelden, een ding wordt duidelijk: Crackers kunnen gemakkelijk wijzigen of verwijderen van de handtekeningen om detectie te voorkomen. Er zijn meldingen van gebruikers die in dienst NetStumbler hex redacteuren om de snaren van de genoemde NetStumbler frames gegevens sonde te verwijderen. ESSIDs verzonden door hulpmiddelen zoals Wellenreiter of AirJack kan gemakkelijk worden gewijzigd. Bijvoorbeeld, in airjack.c (op het moment van schrijven) de standaard ESSID werd gedefinieerd on line 1694:

memcpy (AI-> ESSID + 1, "AirJack", 7);

Een goede draadloze IDS moeten implementeren en integreren van zowel aanval handtekening vergelijking en netwerkverkeer anomalie detectie.

een artikel afkomstig van Krelle Xijao

Disclaimer: Onze website is niet verantwoordelijk voor de informatie in dit artikel. In dit artikel wordt op geen enkele manier de standpunten, meningen, gedachten of overtuigingen van de artikelen directory personeel.
Vertaling aankondiging: Het artikel "Voorbeelden en Analyse van het gemeenschappelijk Wireless Attack Signatures" werd vertaald met behulp van een geautomatiseerde vertaling dienst. Onze excuses voor eventuele vertaalfouten die heeft plaatsgevonden. Dank u voor uw begrip.


Online: 1666 users browsing the articles directory