Kiểu tấn công này, Man-in-the-moddle Attacks, là một tình trạng mà trong đó một cá nhân sử dụng một AP để chiếm đoạt quyền điều khiển của một node di động bằng cách gửi những tín hiệu mạnh hơn những tín hiệu hợp pháp mà AP đang gửi tới những node đó. Sau đó node di động kết hợp với AP trái phép này, để gửi các dữ liệu của người xâm nhập này, có thể là các thông tin nhạy cảm. Hình vẽ sau đưa ra một mô hình cho sự tấn công kiểu nay.
Hình 3.6: Man-in-the-middle attacks
Để các client liên kết với AP trái phép thì cồng suất của AP đó cao hơn nhiều của các AP khác trong khu vực và đôi khi phải là nguyên nhân tích cực cho các user truy nhập tới. Việc mất kết nối với AP hợp pháp có thể như là một việc tình cờ trong qua trình vào mạng, và một vài client sẽ kết nối tới AP trái phép một cách ngẫu nhiên.
Người thực hiện man-in-the-middle attack trước tiên phải biết SSID mà client sử dụng, và phải biết WEP key đang sử dụng của mạng.
Kết nối ngược (hướng về phía mạng lõi) từ AP trái phép được điều khiển thông qua một thiết bị client như là PC card, hoặc workgroup bridge. Nhiều khi man-in-the-middle attack được sắp đặt sử dụng một laptop với hai PCMCIA card.
AP và PC card thứ hai được dùng để kết nối laptop tới gần AP hợp pháp. Kiểu cấu hình này làm laptop thành một “man-in-the-middle attack” vận hành giữa client và AP hợp pháp. Một hacker theo kiểu man-in-the-middle attack có thể lấy được các thông tin có giá trị bằng cách chạy một chương trình phân tích mạnh trên laptop.
Một điều đặc biệt với kiểu tấn công này là người sử dụng không thể phát hiện ra được cuộc tấn công, và lượng thông tin thu nhặt được bằng kiểu tấn công này là giới hạn, nó bằng lượng thông tin thủ phạm lấy được trong khi còn trên mạng mà không bị phát hiện. Biện pháp tốt nhất để ngăn ngừa loại tấn công này là bảo mật lớp vật lý.