Kiểu tấn công deauthetication là phương pháp khai thác hiệu quả một lỗi xuất hiện trong chuẩn 802.11. Trong một mạng 802.11, khi một node mới muốn
tham gia vào mạng lưới thì nó sẽ phải tiến hành các quy trình xác thực và liên kết. Sau khi đáp ứng được các yêu cầu thì node sẽ được cấp phép để truy cập vào mạng. Việc có được địa chỉ của AP trong mạng là vô cùng dễ dàng. Khi attacker
biết được địa chỉ của AP, nó sẽ sử dụng địa chỉ broadcast để gởi thông điệp
deauthentication đến cho tất cả các node bên trong mạng. Các node sẽ chấp nhận
các thông điệp deauthentication không hề nghi ngờ cũng như có các biện pháp xác minh xem thử có phải thơng điệp deauthentication được gởi từ AP hay không. Bước tiếp theo của quy trình này là tất cả các node nhận được deauthentication sẽ tiến
hành reconnect, reauthorize và reassociate đến AP. Việc các node đồng loạt tiến
hành reauthenticated sẽ khiến cho mạng bị tắc nghẽn. Hoặc sau khi kết nối lại, attacker liên tục gửi thông điệp yêu cầu xác thực lại cho người dùng khiến người
dùng khơng thể truy cập vào mạng.
Hình 3.2: Mơ hình Deauthentication Attack 3.2.3. Replay attack
như passwork thì kẻ tấn cơng sẽ chặn các gói tin đó lại. Các gói tin bị bắt khơng bị kẻ tấn công thay đổi nội dung mà giữ nguyên đợi đến 1 thời gian thích hợp nào đó
sẽ gởi gói tin đó đi giả dạng như nó được gởi ra từ máy gốc.
Trong mạng 802.11 tấn công Replay Attack hầu như chắc chắn sẽ tạo ra hiện tượng Denial of Service. Hiện tượng này xảy ra bởi vì các node nhận được
thông điệp sẽ dành trọn băng thông và thời gian sử lý cho việc decoded thông điệp dẫn đến tình trạng Denial of Service. 802.11 dễ bị tổn thương đối với loại hình tấn cơng này bởi vì kiểu tấn cơng này dựa trên việc thiếu hồn tồn thứ tự đánh số của các thông điệp. Các node nhận packets do những kẻ tấn công gởi đến, các paket này
đều hợp lệ tuy nhiên thứ tự của packet khơng đáp ứng được trình tự packet mà node
nhận được, điều này khiến cho node dành tồn bộ băng thơng và thời gian để
decode chúng. Ngoài ra 802.11 cũng khơng hề có bất kì phương pháp nào để xác
định và loại bỏ replayed messages.
3.2.4. Rogue Access Point (giả mạo AP)
Giả mạo AP là kiểu tấn công “man in the middle” cổ điển. Đây là kiểu tấn
công mà Attacker đứng ở giữa và trộm lưu lượng truyền giữa 2 nút. Kiểu tấn cơng này rất mạnh vì attacker có thể lấy đi tất cả lưu lượng đi qua mạng. Rất khó khăn để tạo một cuộc tấn công “man in the middle” trong mạng có dây bởi vì kiểu tấn cơng này yêu cầu truy cập thực sự đến đường truyền. Trong mạng khơng dây thì lại rất dễ bị tấn cơng kiểu này. Attacker cần phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chính thống. AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP chính thống đó là : SSID, địa chỉ MAC,...
Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả. Cách thứ nhất là đợi cho nguời dùng tự kết nối. Cách thứ hai là gây ra một cuộc tấn công từ
chối dịch vụ DoS trong AP chính thống do vậy nguời dùng sẽ phải kết nối lại với AP giả. Trong mạng 802.11 sự lựa chọn AP được thực hiện bởi cường độ của tín
hiệu nhận. Điều duy nhất attacker phải thực hiện là chắc chắn rằng AP của mình có cường độ tín hiệu mạnh hơn cả. Để có được điều đó attacker phải đặt AP của mình gần nạn nhân hơn là AP chính thống hoặc sử dụng kỹ thuật anten định hướng. Sau
khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả. Attacker sẽ sử dụng các tiện ích để ghi lại mật khẩu của nạn nhân khi trao đổi với Web Server. Như vậy, attacker sẽ có được tất cả những gì anh ta muốn
để đăng nhập vào mạng chính thống.
Kiểu tấn cơng này tồn tại là do trong 802.11 không yêu cầu chứng thực 2 hướng giữa AP và nút. AP phát quảng bá ra toàn mạng. Điều này rất dễ bị attacker nghe trộm và do vậy attacker có thể lấy được tất cả các thông tin mà chúng cần. Các nút trong mạng sử dụng WEP để chứng thực chúng với AP nhưng WEP cũng có
những lỗ hổng có thể khai thác. Một attacker có thể nghe trộm thơng tin và sử dụng bộ phân tích mã hố để trộm mật khẩu của người dùng.
3.2.5. Deny of Service Attack (Dos)
DoS là một kỹ thuật được sử dụng chỉ đơn giản để làm hư hỏng mạng khơng dây hoặc làm cho nó khơng thể cung cấp dịch vụ như thông thường. Tương tự như những kẻ phá hoại sử dụng tấn công DoS vào một web server làm nghẽn server đó thì mạng WLAN cũng có thể bị shut down bằng cách gây nghẽn tín hiệu RF. Những tín hiệu gây nghẽn này có thể là cố ý hay vơ ý và có thể loại bỏ được hay không loại bỏ được. Khi một attacker chủ động tấn cơng DoS, attacker có thể sử dụng một thiết bị WLAN đặc biệt, thiết bị này là bộ phát tín hiệu RF công suất cao hay thiết bị
chuyên dung khác.
Để loại bỏ kiểu tấn công này thì yêu cầu đầu tiên là phải xác định được
nguồn tín hiệu RF. Việc này có thể làm bằng cách sử dụng một Spectrum Analyzer (máy phân tích phổ). Có nhiều loại Spectrum Analyzer trên thị trường nhưng ta nên dùng loại cầm tay, dùng pin cho tiện sử dụng. Một cách khác là dùng các ứng dụng Spectrum Analyzer phần mềm kèm theo các sản phẩm WLAN cho client.
Khi nguồn gây ra DoS là không thể di chuyển được và không gây hại như
cài đặt mạng WLAN cho môi trường rộng lớn, phức tạp thì cần phải xem xét kỹ
càng. Nếu như nguồn nhiễu RF trải rộng hơn 2.4 Ghz như bộ đàm, lị vi sóng … thì admin nên sử dụng những thiết bị theo chuẩn 802.11a hoạt động trong băng tần 5 Ghz UNII thay vì sử dụng những thiết bị 802.11b/g hoạt động trong băng tần 2.4
Ghz sẽ dễ bị nhiễu.
DoS do vô ý xuất hiện thường xuyên do nhiều thiết bị khác nhau chia sẽ chung băng tần 2.4 ISM với mạng WLAN. DoS một cách chủ động thường không phổ biến lắm, lý do là bởi vì để thực hiện được DoS thì rất tốn kém, giá của thiết bị rất mắc tiền, kết quả đạt được chỉ là tạm thời shut down mạng trong thời gian ngắn.
Một số công cụ thực hiện như :
• WLAN-Jack
• FATA-Jack
3.2.6. Man in the middle Attack (MITM)
Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó attacker sử
dụng một AP để đánh cắp các node di động bằng cách gởi tín hiệu RF mạnh hơn AP thực đến các node đó. Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn
nên sẽ kết nối đến AP giả mạo này, truyền dữ liệu có thể là những dữ liệu nhạy cảm
đến AP giả mạo và attacker có tồn quyền xử lý. Đơn giản là kẻ đóng vai trị là một
AP giả mạo đứng giữa tất cả các Client và AP thực sự, thậm chí các Client và AP thực không nhận thấy sự hiện diện của AP giả mạo này.
Để làm cho client kết nối lại đến AP giả mạo thì cơng suất phát của AP giả
mạo phải cao hơn nhiều so với AP thực trong vùng phủ sóng của nó. Việc kết nối lại với AP giả mạo được xem như là một phần của roaming nên người dùng sẽ
không hề biết được. Việc đưa nguồn nhiễu toàn kênh (all-band interference - chẳng hạn như bluetooth) vào vùng phủ sóng của AP thực sẽ buộc client phải roaming.
Attacker muốn tấn công theo kiểu Man-in-the-middle này trước tiên phải biết
được giá trị SSID là các client đang sử dụng (giá trị này rất dễ dàng có được bằng
các cơng cụ qt mạng WLAN). Sau đó, attacker phải biết được giá trị WEP key
được điều khiển thông qua một thiết bị client như PC card hay Workgroup Bridge.
Nhiều khi, tấn công Man-in-the-middle được thực hiện chỉ với một laptop và 2
PCMCIA card. Phần mềm AP chạy trên máy laptop nơi PC card được sử dụng như
là một AP và một PC card thứ 2 được sử dụng để kết nối laptop đến AP thực gần
đó. Trong cấu hình này, laptop chính là man-in-the-middle (người ở giữa), hoạt động giữa client và AP thực. Từ đó attacker có thể lấy được những thơng tin giá trị
bằng cách sử dụng các sniffer trên máy laptop.
Điểm cốt yếu trong kiểu tấn công này là người dùng không thể nhận biết được. Vì thế, số lượng thơng tin mà attacker có thể thu được chỉ phụ thuộc vào thời
gian mà attacker có thể duy trì trạng thái này trước khi bị phát hiện. Bảo mật vật lý (Physical security) là phương pháp tốt nhất để chống lại kiểu tấn công này
Hình 3.3:Mơ hình tấn cơng Man in the middle Wireless MITM
Giả sử cho rằng Client B đã được chứng thực hợp lệ với C là một AP thực. Attacker X là một laptop có 2 wireless card, thơng qua một card, hắn sẽ hiện diện trên mạng wireless là một AP. Attacker X sẽ gửi những frame không hợp lệ đến B
X trên kênh khác với kênh của Access Point C, đây có thể xem là một cuộc tranh
giành giữa Attacker X và Access Point C.
Nếu B kết nối với X, thì cuộc tấn cơng theo phương pháp MITM coi như thành cơng. Sau đó, X sẽ gửi lại những frame mà nó nhận từ chuyển sang cho C, ngược lại những frame mà nó nhận từ C chuyển sang cho B sau khi thay đổi sao cho phù hợp.
ARP Poisoning
ARP cache poisoning là một công nghệ đã được dùng trong mạng có dây
thơng thường. Nhưng hiện tại cơng nghệ này được xuất hiện lại trong các AP mà để kết nối đến Switch/Hub với các client trong mạng có dây.
ARP thường được sử dụng để xác định địa chỉ MAC khi mà đã biết địa chỉ
IP. Sự chuyển đổi này được thực hiện thông qua việc tìm kiếm trong một bảng địa chỉ, ARP cache sẽ giữ nhiệm vụ cập nhật bảng địa chỉ này bằng cách gửi broadcast các gói dữ liệu yêu cầu chứa các địa chỉ IP đến các client, nếu như IP của client nào trùng với IP nhận được thì sẽ phản hồi lại với gói dữ liệu chứa MAC Address của mình. Những thành phần trong bảng này sẽ hết hạn trong một khoảng thời gian nhất
định vì client có thể thay đổi phần cứng (NIC) thì khi đó bảng này sẽ được cập nhật
lại.
Tuy nhiên, một nhược điểm của ARP là khơng có bất kỳ sự kiểm tra nào từ những phản hồi của các client hợp lệ hoặc là nhận phản hồi từ những client giả mạo. ARP Poisoning là một phương pháp tấn công lợi dụng vào lỗ hổng này. Nếu ARP cache bị lỗi thì hệ điều hành sẽ vẫn lưu địa MAC sai của một vài địa chỉ IP.
Attacker sẽ thực hiện bằng cách gửi các gói dữ liệu phản hồi với những MAC Address sai.
ARP Poisoning là một trong những công nghệ mà cho phép tấn công theo kiểu MITM. Attacker X sẽ đưa hắn vào giữa 2 máy B và C, bằng cách “nhiễm” vào B cho nên IP của C được kết nối với MAC Address của X, ngược lại bằng cách
“nhiễm” vào C cho nên IP của B sẽ kết nối với MAC Address của X, nghĩa là cuối cùng mọi giao tiếp giữa B và C đều phải thông qua X.
Tấn cơng ARP poisoning thì có thể áp dụng cho tất cả các host trong cùng một subnet. Hầu hết các AP đóng vai trị cầu nối để truyền nhận lớp địa chỉ MAC, cho nên tất cả các client kết nối đến đều có thể bị nguy hiểm. Nếu như một AP được kết nối trực tiếp đến Switch/Hub mà khơng có Router/Firewall thì sau đó các client kết nối đến Switch/Hub rất dễ bị tấn công. Chú ý rằng hầu hết các thiết bị có mặt trên thị trường hiện nay đều được tích hợp Switch với 4 hoặc 5 port vào trong AP, Router hoặc DSL/cable modem để kết nối Internet, bên trong thì AP đã được kết nối với Switch. Kết quả là attacker có thể là một client và trở thành một MITM giữa 2 mạng có dây thơng thường, một mạng wireless và một mạng có dây, hoặc cả 2 mạng wireless.
Các công cụ thực hiện như:
• HostAP (hostap.epitest.fi)
• AirJack (http://802.11ninja.net/airjack/)
• Ettercap (http://ettercap.sourceforge.net/).
3.2.7. Passive Attack (Tấn công bị động)
Tấn công bị động (passive) hay nghe lén (sniffing) có lẽ là một phương pháp tấn công WLAN đơn giản nhất nhưng vẫn rất hiệu quả. Passive attack không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của attacker trong mạng vì khi tấn cơng attacker khơng gửi bất kỳ gói tin nào mà chỉ lắng nghe mọi dữ liệu lưu thông trên mạng. WLAN sniffer hay các ứng dụng miễn phí có thể được sử dụng để thu thập
thông tin về mạng không dây ở khoảng cách xa bằng cách sử dụng anten định
hướng. Phương pháp này cho phép attacker giữ khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu thập được những thông tin quý giá.
Sniffer thường là một phần mềm có thể lắng nghe và giải mã các gói dữ liệu lưu thơng trên mạng, sniffer đóng vai trị một hệ thống trung gian và sẽ copy tất cả các gói dữ liệu mà được gửi từ máy A sang máy B, chụp lấy password trong những phiên kết nối của các Client. Vì vậy mạng Wireless rất dễ bị nghe lén so với mạng
Có nhiều ứng dụng có khả năng thu thập được password từ những địa chỉ
HTTP, email, instant message, FTP session, telnet. Những kiểu kết nối trên đều
truyền password theo dạng clear text (khơng mã hóa). Nhiều ứng dụng có thể bắt
được cả password hash (mật mã đã được mã hóa bằng nhiều thuật tốn như MD4,
MD5, SHA,...) truyền trên đoạn mạng không dây giữa client và server lúc client đăng nhập vào. Bất kỳ thông tin nào truyền trên đoạn mạng không dây theo kiểu
này đều rất dễ bị tấn công bởi attacker. Tác hại là không thể lường trước được nếu như attacker có thể đăng nhập vào mạng bằng thơng tin của một người dùng nào đó và cố tình gây ra những thiệt hại cho mạng.
Một attacker có thể ở đâu đó trong bãi đậu xe, dùng những cơng cụ để đột
nhập vào mạng WLAN. Các công cụ có thể là một packet sniffer, hay một số phần mềm miễn phí để có thể crack được WEP key và đăng nhập vào mạng.
Passive Scanning
Passive Scanning là cách mà Attacker dung để lấy thông tin từ mạng bằng
cách điều chỉnh thiết bị sao cho có tầng số sóng radio khác nhau. Passive Scanning nghĩa là cho Wireless NIC lắng nghe trên mỗi kênh một vài thông điệp mà không cho thất sự hiện diện của Attacker.
Attacker có thể quét bị động mà không cần phải gửi bất cứ thông điệp nào. Chế độ này gọi là RF monitor, khi đó mỗi frame dữ liệu lưu thơng trên mạng có thể bi copy bởi Attacker, mặc định thì chức năng này thường khơng có ở những
Wireless NIC hiện có trên thị trường do đã được cài firmware đã tắt chức năng này. Trong chế độ này một Client có thể chụp lấy những gói dữ liệu mà khơng cần phải kết nối với AP hoặc Ah-hoc network.
Detecting SSID
Thơng thường bằng cách Passive Scanning các Attacker có thể tìm ra được SSID của mạng, bởi vì SSID nằm trong các frame sau: Beacon, Probe Request, Probe Responses, Association Requests và Reassociation Requests.
Trên một số AP co thể cấu hình cho SSID được gửi đi trong frame Beacon
các frame beacon mục đích giảm tổi thiểu sự nhận biết của các Client về SSID.