web-dev-qa-db-ja.com

特に新しい環境で、Evil Twin攻撃をどのように検出しますか?

あなたが旅行中で、空港ラウンジ、ホテルのロビー、または近くのコーヒーショップで一時停止しているとします。ラップトップを持ち帰り、利用可能なワイヤレスネットワークをスキャンします。ワイヤレスネットワークの名前は、カウンターの後ろ/紙片/よく知られているため、わかります。

2つのオプションがあることがわかります。

「無料の公共Wi-Fi」と
「無料の公共Wi-Fi」

どれが実際のワイヤレスネットワークで、どれがEvil Twin攻撃ですか?どうしてわかりますか?どのツールまたはテクニックを使用して決定しますか?

(どちらにも接続しない、またはパブリックワイヤレスを回避することを含む回答にはあまり興味がなく、管理者の観点からではなく、ユーザーから正当なAPと非正当なAPを区別する手法に関心があります。私は " Evil Twin "一般的な「悪意のある俳優」という意味ではなく、この特定の意味で。)

48
J Kimball

伝統的に、悪魔の双子の攻撃を検出するための簡単なユーザー指向の方法はありませんでした。 evil twin attack (ETA)を検出しようとするほとんどの試みは、基本的には承認されたネットワーク管理者がワイヤレストラフィックをスキャンして比較しているネットワークの管理者を対象としています。これはあなたが興味を持っているものの多くではありません。

論文 here (および slides )があり、ユーザーの視点からリアルタイムのETAを決定するための実験的なアプローチについて説明しています。基本的に、彼らは巧妙なアプローチを使用して、どのアクセスポイントが承認され、どのアクセスポイントが悪魔の双子であるかを統計的に決定します。

私が提案する単純なアプローチ(常に機能するとは限らない)は、自分を嗅ぎ、IPアドレスを確認することです。未認証のAPには非標準(つまり、予想どおりの)IPが含まれるため、いくつかの赤いフラグがスローされます... ここ は、独自のETAをセットアップする方法を説明するリンクです。私の方法で遊ぶことができます(または独自の方法を試してください)。 警告:ETAを作成する場合は、 ラボ環境 で作成してください。これは、公共では違法であるためです。

また、ETAは大幅に mitigatedExtensible Authentication Protocols を使用する認証システムを介してネットワークを保護するだけで、 WPA2-enterprise などのようになります。どの works クライアントとアクセスポイントの両方を検証します。


他のいくつかのポイントに対処するには...

承認されたネットワーク管理者と通信する方法がある場合(または少なくとも適切なアクセスポイントがわかっている場合)、デジタル領域の外で疑似メタアソリゼーション方法をすでに完了しています(IE Iは物理的に適切なルーターを参照し、それがMACアドレス、IP設定などであることを認識しているため、アダプターが私に接続していると伝えている内容とそれらを比較できます)。ほとんどの場合、私たちはこの情報を持っていないので、たとえ持っていたとしてもそれを信頼すべきではありません。したがって、信頼できないネットワーク(ETであるかどうかに関係なく)を使用するための「最善の」方法は、ネットワークが危険にさらされていると常に想定し、VPNを実装するか、単に完全に排除することです。

24
Matthew Peters

彼らは両方とも悪だ。暗号化されていないすべてのトラフィックが監視および変更されることを想定せずに、「無料のパブリックWifi」に接続しないでください。最善の解決策は、パブリックネットワークにまったく接続しないことですが、それが選択肢にない場合は、独自のDNSを指定して(ルーターに代わりに選ばせるのではなく)、httpsを使用できる場所ならどこでも使用できます。 、パブリックネットワーク上の機密アカウントにアクセスせず、VPNを検討し、ソフトウェアとファームウェアを最新の状態に保ちます。

質問への直接的な回答として、一部のルーターにはMACアドレスがラベルに印刷されています。ルーターの所有者に確認してもらい、接続してpingを送信し、arpテーブル(arp -a)一致するかどうかを確認します。または、近くに詐欺師がいることをルーターの所有者に知らせ、ネットワーク名を変更してもらうこともできます。

38
Aron Foster

Wifiがダウンしたことをバリスタ/店員などに伝えます。ルーターを再起動できますか。ほとんどの人は幸いにもそうするでしょう、APを一瞬ダウンさせ、プロセスの邪悪なツインルーターをパワーサイクルに耐えるアクティブなネットワークとして公開します。

悪質なツインルーターが複数ある場合でも、これは機能します。

複数の適切なルーターがある場合、これは少なくとも1つを識別します。同じ戦術を使用して他の人を特定できます(まだ機能していません。これが唯一のwifiボックスですか?この技術はすべて混乱しているので、すべての人にそれを実行する必要があるのでしょうか?)または、適切なAPを特定したら、デバイスをそれに接続し、2番目のデバイスを使用して、他のAPに接続し、ネットワーク経由で最初のデバイスを探します。適切なAPが侵害されていない限り、元のデバイスを検出するAPはすべて適切なAPです。しかし、それが危険にさらされている場合は、すべてのAPが不良です。

別の方法としては、ルーターの製造元を確認できる場合は、その管理パネルにログインしてみてください。ログインプロンプトがメーカー/ブランドと一致しない場合は、悪魔の双子を見つけたことになります

ここでの最善の解決策は、疑わしい結果との広範な比較を実行するのではなく、主に正当なAPのプロバイダーに話しかけることです。

22
Tom J Nowell

邪悪な双子がコピーできないことが1つあります:location。 3台のコンピューターをセットアップし、次に triangulate にします。または、ある種の時間検出器があります。それらの1つがあなたが知っているほど速く応答している場合、それらは光の速度に従って、店内にいる必要があります、それからそれは店舗にいること。これは、遅延により三角測量が困難になる場合に役立ちます。

注:ルーターが他のソースから移動していないことが何らかの理由で判明した場合は、1つのmoving距離検出器を使用できます。これにより、使用する多くのデータポイントが得られ、検出器が正確でない場合に役立ちます。

注:ルーターの信号パワーと検出機能が同じであり、ルーターの方が近いことがわかった場合、実用的な方法の1つは、weakerパケット。

13
PyRulez

標準的な設定でEvil Twin攻撃を検出するために、実際に持っている唯一の情報とSSID、ワイヤレスアクセスポイントのMACアドレス、およびDHCP IPアドレス、ゲートウェイ、およびDNSサーバーが配布します。それとは別に、本当のAPが2.4GHzにあり、邪悪なAPが5GHzにあるような、オリジナルとは異なる周波数を使用する邪悪な双子を見つけるかもしれません。多くのアクセスポイントはWebインターフェイスを介して構成されます。これは、Linksys APを使用している場合、 http://192.168.1.1/Managment.asp のページにアクセスできる可能性があることを意味しますが、邪悪なAP。

悪魔の双子は、SSIDとMACを複製するだけの方がはるかに簡単であるため、その詳細レベルの構成を複製する必要はないでしょう(SSIDとMACを複製するほうがはるかに簡単です)。

したがって、予想されるDHCP構成のセットアップまたは予想される構成URLがわかっている場合は、接続しているAPが誤っているかどうかを確認できます。

5
Nik Roby

本当に簡単な方法の1つは、ネットワーク管理者であれば、物理ネットワークに接続されたホストを持つことです。そのため、すばやくpingを実行すると、別のネットワークに傍受されているかどうかがわかります。

あなたが公共エリアにいるというユースケースでは、VPNを使用することは良い考えかもしれません。

3
munchkin