Cuộc tấn công sử dụng thông điệp RNG-RSP
Đầu tiên khi SS muốn gia nhập mạng nó phải gửi một thông điệp yêu cầu Ranging (RNG-REQ). Thông điệp này thông báo cho BS về sự hiện diện của SS và yêu cầu các thông số như thời điểm truyền phát, công suất, tần số và các thông tin trong burst profile, thông điệp này được SS gửi đi theo chu kỳ. BS đáp lại bằng một thông điệp RNG-RSP. Trong các phiên bản cũ của 802.16 SS gửi thông điệp này theo chu kỳ. Nếu SS không hoàn thành quá trình ranging theo chu kỳ nó sẽ bị loại bỏ khỏi mạng và phải thực hiện quá trình gia nhập mạng ban đầu. Tuy nhiên phiên bản 802.16a không yêu cầu SS phải gửi thông điệp này theo định kỳ, thay vào đó SS có thể nhận bất cứ thông điệp nào từ phía BS và sử dụng nó để điều chỉnh ranging. Và BS gửi thông điệp RNG-RSP để thông báo cho SS về sự thay đổi các kênh hướng lên, hướng xuống, mức công suất phát và cũng có thể sử dụng thông điệp này để hủy bỏ sự truyền dẫn của SS và bắt đầu khởi đầu lại.
Bảng 2-1: Dạng thông điệp RNG-RSP
Lý do chính khiến thông điệp này trở thành điểm yếu là vì nó không hề được bảo mật. Và khi SS nhận được thông điệp này nó sẽ hoạt động theo sự chỉ dẫn trong thông điệp.
Có một số cách để sử dụng thông điệp này trong quá trình tấn công như sau:
- Cách 1: kẻ tấn công sử dụng thông điệp này với trường trạng thái ranging bằng 2 (Ranging status) tức là hủy bỏ sự truyền dẫn hiện tại của SS.
- Cách 2: dịch nạn nhân lên một cách khác. Nếu kẻ tấn công sử dụng một BS giả mạo ở một kênh riêng thì SS sẽ bị buộc phải giao tiếp với BS giả mạo này. Nếu không có một BS nào trên kênh đã chỉ ra SS sẽ lại trở lại kênh ban đầu.
Hình 2-4: Quá trình tấn công bằng thông điệp RNG-RSP
Cuộc tấn công vào thông điệp thông báo quyền không hợp lệ
Ta biết rằng máy trạng thái trao quyền là một phần của giao thức PKM. Như thường lệ nó sử dụng hai thông điệp quản lý PKM-REQ và PKM-RSP. SS gửi PKM-REQ tới BS. BS đáp lại bằng PKM-RSP.
Mã thông điệp là một trường 8 bit để chỉ ra chính xác loại thông điệp PKM. Nếu thông điệp có mã không hợp lý thì sẽ bị loại bỏ.
Bảng 2-3: Bảng thông điệp PKM
Phần nhận dạng PKM là một trường 8 bit được dùng như số serial. Mỗi lần PKM- REQ gửi bởi SS phần nhận dạng PKM-REQ sẽ tăng lên một giá trị. Khi BS đáp lại bằng thông điệp PKM-RSP sẽ gồm một phần nhận dạng tương ứng với thông điệp nó nhận được. Nếu SS nhận được bất kỳ thông điệp nào có phần nhận khác yêu cầu được gửi đi SS sẽ từ chối. Trường thuộc tính PKM rất khác nhau tùy theo loại thông điệp PKM. Trường nay thường chứa thông tin về mã sửa lỗi, thời gian sống của khóa, chuỗi hiển thị.
Theo bảng trên ta thấy có 4 thông điệp có thể được sử dụng để tấn công là: - Auth Reject
- Key Reject - Auth Invalid - TEK Invalid
Đây là những thông điệp có khả năng phủ nhận quá trình trao quyền của SS. Sử dụng những thông điệp này sẽ tạo ra những cuộc tấn công giống dạng Deauthentication. Tuy nhiên trong các thông điệp trên có 3 thông điệp Auth Reject, Key Reject và TEK Invalid không sử dụng được. Vì những thông điệp này yêu cầu số HMAC để xác thực thông điệp. Như ta đã biết rất khó để tạo ra một HMAC chính xác. Chỉ có một cách là phá vỡ sơ đồ bảo mật. Hơn nữa những thông điệp này chỉ có thể nhận được trong một khoảng thời gian rất ngắn.
Thông điệp cuối cùng còn lại là thông điệp Auth Invalid. Thông điệp này không yêu cầu xác thực bằng HMAC, không bao gồm nhận dạng PKM. Nó cũng không cần một trạng thái nào để được xem là hợp pháp. Thông điệp này là một thông điệp trạng thái, SS có thể nhận nó tại mọi thời điểm. Những lý do này khiến kẻ tấn công có thể sử dụng nó dễ dàng hơn.
Bảng 2-4: Thuộc tính thông điệp Auth Invalid
Mặt khác trong phần mã lỗi có giá trị bằng 0 không đưa ra một lý do nào về sự không hợp lệ của thông điệp sẽ tạo điều kiện tấn công.
Bảng 2-5: Giá trị mã lỗi trong thông điệp xác thực
Khi SS nhận được thông điệp Auth Invalid sẽ chuyển từ trạng thái được trao quyền sang trạng thái đợi trao quyền lại. Như vậy SS sẽ đợi cho đến khi nó nhận được tin phải hồi từ BS. Nếu thời gian đợi trao quyền lại chấm dứt trước khi SS nhận được tin từ BS, SS sẽ gửi 1 thông điệp xin trao quyền lại (Reauth Request) để cố gắng gia nhập mạng.Và trong khi đang đợi trao quyền lại SS có thể sẽ nhận được thông điệp loại bỏ trao quyền lại (Reauth Reject). Đây là trường hợp “lỗi trao quyền cố hữu”. Rơi vào trường hợp này SS sẽ trở về trạng thái yên lặng, không gửi bất kỳ một tin nào và luôn sẵn sàng đáp lại một thông điệp quản lý nào được gửi từ BS. Với có chế như trên kẻ tấn công có thể tạo ra một máy trạng thái trao quyền nguy hiểm.