Kiểu tấn công này, Man-in-the-moddle Attacks, là một tình trạng mà trong đó một cá nhân sử dụng một AP để chiếm đoạt quyền điều khiển của một node di động bằng cách gửi những tín hiệu mạnh hơn những tín hiệu hợp pháp mà AP đang gửi tới những node đó. Sau đó node di động kết hợp với AP trái phép này, để gửi các dữ liệu của ngƣời xâm nhập này, có thể là các thông tin nhạy cảm. Hình vẽ sau đƣa ra một mô hình cho sự tấn công kiểu nay.
Hình 3.6: Man-in-the-middle attacks
Để các client liên kết với AP trái phép thì cồng suất của AP đó cao hơn nhiều của các AP khác trong khu vực và đôi khi phải là nguyên nhân tích cực cho các user truy nhập tới. Việc mất kết nối với AP hợp pháp có thể nhƣ là một việc tình cờ trong qua trình vào mạng, và một vài client sẽ kết nối tới AP trái phép một cách ngẫu nhiên.
Ngƣời thực hiện man-in-the-middle attack trƣớc tiên phải biết SSID mà client sử dụng, và phải biết WEP key đang sử dụng của mạng.
Kết nối ngƣợc (hƣớng về phía mạng lõi) từ AP trái phép đƣợc điều khiển thông qua một thiết bị client nhƣ là PC card, hoặc workgroup bridge. Nhiều khi man-in-the-middle attack đƣợc sắp đặt sử dụng một laptop với hai PCMCIA card. Phần mềm AP chạy trên một laptop, ở đó một PC card đƣợc sử dụng nhƣ là một
GVHD: TS – Hồ Văn Canh 54 SVTH: Vũ Thị Dung
AP và PC card thứ hai đƣợc dùng để kết nối laptop tới gần AP hợp pháp. Kiểu cấu hình này làm laptop thành một “man-in-the-middle attack” vận hành giữa client và AP hợp pháp. Một hacker theo kiểu man-in-the-middle attack có thể lấy đƣợc các thông tin có giá trị bằng cách chạy một chƣơng trình phân tích mạnh trên laptop.
Một điều đặc biệt với kiểu tấn công này là ngƣời sử dụng không thể phát hiện ra đƣợc cuộc tấn công, và lƣợng thông tin thu nhặt đƣợc bằng kiểu tấn công này là giới hạn, nó bằng lƣợng thông tin thủ phạm lấy đƣợc trong khi còn trên mạng mà không bị phát hiện. Biện pháp tốt nhất để ngăn ngừa loại tấn công này là bảo mật lớp vật lý.