Wi-Fi — это удобная технология, которая позволяет подключатся к интернету без проводов. Однако, как и любая другая технология, WiFi может быть подвержен атакам. Одним из способов обнаружить подозрительную активность в сети Wi-Fi — использование инструмента для анализа сетевого трафика Wireshark. В статье рассмотрим использование Wireshark для обнаружения атак на Wi-Fi, точнее обнаружение атаки деаутентификации в вашей сети.
Еще по теме: Актуальные техники взлома WiFi
Атаки на WiFi
Из-за недостатков в механизме работы Wi-Fi очень просто нарушить работу большинства сетей Wi-Fi с помощью инструментов, подделывающих пакеты деаутентификации.
Наиболее распространенные инструменты, такие как Aireplay-ng, делают это, отправляя на цель пакеты деаутентификации, которые отключают любого клиента от сети в любое время. Для этого требуется только беспроводной сетевой адаптер, который можно перевести в режим монитора, и выполнение простой команды.
Чтобы обнаружить эти атаки, можно использовать Wireshark, который позволит перехватывать пакеты и с помощью фильтрации разделять их на типы . Если у вас нет Wireshark, вы можете скачать его бесплатно с сайта wireshark.org.
Обнаружение атак на WiFi с помощью Wireshark
Wireshark — это бесплатный инструмент для анализа сетевого трафика. Он позволяет просматривать и анализировать данные, передаваемые по сети, в реальном времени.
Wireshark поддерживает большое количество протоколов, включая TCP, UDP, HTTP, DNS и многие другие, что делает его мощным инструментом для обнаружения различных видов сетевых атак.
Когда вы откроете Wireshark, вы увидите главное окно с пользовательским меню.
Сначала выберите сетевой интерфейс, который будете использовать для захвата пакетов. В моем случае используется wlan0mon. Затем в левом верхнем углу нажмите кнопку Start capturing packets (Начать захват пакетов).
Предположим, что злоумышленник для перехвата беспроводных клиентов с точки доступа (маршрутизатора) использует aireplay-ng, команду:
1 |
aireplay-ng -0 0 -a 3A:43:3D:BF:B1:90 wlan0mon |
Где:
- -0 означает деаутентификацию.
- -a 3A:43:3D:BF:B1:90 — это MAC-адрес точки доступа.
- wlan0mon — имя беспроводного интерфейса в режиме монитора.
Теперь давайте вернемся в Wireshark и остановим процесс захвата. Для обнаружения и поиска пакетов деаутентификации в беспроводных сетях используйте следующий фильтр.
1 |
wlan.fc.type_subtype == 12 |
На этом этапе можно понять, что кто-то пытается деаутентифицировать других клиентов сети, чтобы заставить их пройти повторную аутентификацию и получить 4-стороннее рукопожатие WPA/ WPA2, пока они проходят повторную аутентификацию.
Это известная техника для взлома беспроводных сетей на основе PSK (pre-shared key). Получив 4-стороннее рукопожатие WPA, злоумышленник может попытаться взломать его с помощью различных инструментов, таких, как Hashcat и получить доступ к сети.
Если вы обнаружили атаку на WiFi, примите меры по защите вашей сети. Это может включать в себя изменение пароля WiFi, настройку брандмауэра или обновление программного обеспечения маршрутизатора.
Wireshark — это отличный способ визуализации атак на Wi-Fi, позволяющий с минимальными усилиями определить атаку и узнать какие пакеты в ней участвуют.
ПОЛЕЗНЫЕ ССЫЛКИ: