Việc biết được P tức là 1 bản tin (lúc chưa mã hóa) trao đổi giữa Client và AP ở thời điểm nào đó về lý thuyết có vẻ là khó vì số lượng bản tin truyền đi là cực kỳ nhiều nhưng thực tế lại có thể biết được bằng cách sau: Kẻ tấn công làm cho Client và AP phải trao đổi với nhau liên tục, mật độ cao 1 bản tin (mà kẻ tấn công đã biết trước) trong khoảng thời gian đó. Như vậy xác suất bản tin trao đổi trong thời khoảng thời đó là bản tin mà kẻ tấn công biết trước là rất cao (vì còn có bản tin trao đổi của các kết nối khác, nhưng số lượng ít hơn). Phương pháp thực hiện như sau:
Thực hiện từ bên ngoài mạng không dây
Phương pháp này được thực hiện khi mạng không dây có kết nối với mạng bên ngoài. Kẻ tấn công từ mạng bên ngoài sẽ gửi liên tục các gói tin đến máy Client trong mạng không dây, gói tin đơn giản nhất có thể gửi là gói tin Ping dùng giao thức ICMP, khi đó bản tin giữa AP và Client sẽ là các bản tin ICMP đó. Như vậy hắn đã biết được bản tin gốc P.
Hình 3.4: Mô tả quá trình thực hiện từ bên ngoài mạng không dây
Thực hiện ngay từ bên trong mạng không dây
Việc thực hiện bên trong sẽ phức tạp hơn một chút, và phải dựa trên nguyên lý Sửa bản tin khai thác từ điểm yếu của thuật toán tạo mã kiểm tra tính toàn vẹn ICV. Kẻ tấn công sẽ bắt 1 gói tin truyền giữa Client và AP, gói tin là chứa bản tin đã được mã hóa, sau đó bản tin sẽ bị sửa một vài bit (nguyên lý bit-flipping) để thành 1 bản tin mới, đồng thời giá trị ICV cũng được sửa thành giá trị mới sao cho bản tin vẫn đảm bảo được tính toàn vẹn ICV. Nguyên lý Bit-Flipping có như sau:
Kẻ tấn công sẽ gửi bản tin đã sửa này đến AP. AP sau khi kiểm tra ICV, thấy vẫn đúng nó sẽ gửi bản tin đã giải mã cho tầng xử lý lớp 3. Vì bản tin sau khi mã hóa bị sửa 1 vài bit nên đương nhiên bản tin giải mã ra cũng bị sai, khi đó tầng xử lý ở lớp 3 sẽ gửi thông báo lỗi, và AP chuyển thông báo lỗi này cho Client. Nếu kẻ tấn công gửi liên tục lặp đi lặp lại bản tin lỗi này cho AP thì AP cũng sẽ gửi liên tục các thông báo lỗi cho Client. Mà bản tin thông báo lỗi này thì có thể xác định rõ ràng đối với các loại thiết bị của các hãng và kẻ tấn công đương nhiên cũng sẽ biết. Như vậy hắn đã biết được bản tin gốc P.
Hình 3.6: Mô tả quá trình thực hiện từ bên trong mạng không dây
Tóm lại, khi tìm được các cặp gói tin có IV giống nhau, kẻ tấn công tìm cách lấy giá trị P (có thể bẳng cách đẩy các gói tin P giống nhau vào liên tục) thì khả năng kẻ tấn công đó dò ra mã khóa dùng chung (shared key) là hoàn toàn có thể thực hiện được.
3.2.Những phương thức thay thế