web-dev-qa-db-ja.com

aireplay-ngで認証解除はどのように機能しますか?

認証解除時にaireplay-ngがどのように機能するかについて質問があります。つまり、APから別のクライアントを切断するのは本当に簡単です。deauthsを100回程度送信するように指定して、(authplay-ngで)deauthコマンドを1回実行するだけです。

では、認証解除は実際にはどのように機能しますか?

17
Rox

802.11フレームが構造化されている方法が原因で、802.11認証解除攻撃が発生する可能性があります。 802.11仕様は、クライアントとアクセスポイント間のパケットのフローを制御するだけでなく、フレームタイプ、電源管理、プロトコルバージョン、使用される暗号化スキーマなどの他の情報も伝送します。 802.11を理解するwifi-planet .com

クライアントがAPに安全に関連付けられている場合に802.11フレーム制御を利用することによる認証解除攻撃。攻撃者は、認証されていないクライアントになりすます一連の「認証解除」パケットをAPに送信し、APがパケットを受信したことを確認することを確認します。攻撃者はまた、APを装って一連のパケットをクライアントに送信し、「再認証が必要です!」と言います。次に、クライアントとAPは「ねえ、認証する必要があります!認証されなくなったと言っています!(これは攻撃者のパケットが原因です)。次に、2つが再認証され、攻撃者は完全なハンドシェイクをキャプチャできるようになります。- Aireplayのドキュメント

10
neil

とても簡単です。この仕様により、アクセスポイントは特別なパケットである「認証解除」パケットを特定のクライアントに送信できます。 「deauth」パケットは、クライアントに「接続を切断してから再接続して再認証してください」と伝えます。プロトコルがサポートする機能の完全に合理的なセット。

問題は、ワイヤレスネットワークで暗号化を有効にしている場合でも、「deauth」パケットが暗号化によって認証または保護されないことです。したがって、悪意のある攻撃者は、アクセスポイントから個々のクライアントに送信されたように装った、偽装された「認証解除」パケットを送信できます。そのクライアントは、「deauth」パケットがアクセスポイントから送信されたと考え、再認証を試みます。

なぜこれが問題なのですか?まあ、ほとんどの目的にとってそれは重要ではありません。ただし、攻撃者が最初のハンドシェイクを盗聴または改ざんできる場合にのみ攻撃者が実行できる攻撃もあります。クライアントが既に最初のハンドシェイクを実行した後に攻撃者が現れた場合、攻撃者は何をしますか?なぜ、彼はクライアントにスプーフィングされた「deauth」パケットを送信し、クライアントを強制的に再認証して最初のハンドシェイクを再度実行させることができます。これで、攻撃者は最初のハンドシェイク中にやりたいことを何でもできるようになります。そのため、「認証解除」パケットは攻撃者に少し余分な制御を与え、これは一部の攻撃シナリオで役立ちます。

6
D.W.

Deauthがハンドシェイクをキャプチャするためだけに使用される場合、攻撃者がcomでリッスンした場合、とにかく1〜2日以内にハンドシェイクをキャプチャするため、それは可能です。 13文字のパスワードを使用することが重要なのはこのためです。13文字のパスワードを取得した場合、解読するのに数十億年かかります。

0
martin