Embedded Files
A. Nguyên lí
Frame Deauthentication (bản tin deauth – bản tin hủy xác thực) là một loại frame trong mạng Wi-Fi được sử dụng để thông báo cho một thiết bị không còn được phép truy cập mạng nữa. Bản tin deauthen có thể được gửi từ Access Point (AP) hoặc từ một thiết bị khác trên mạng Wi-Fi.
Khi một thiết bị nhận được bản tin deauthen, nó sẽ thực hiện quá trình đăng nhập lại vào mạng Wi-Fi hoặc tìm kiếm mạng Wi-Fi khác.
Lợi dụng đặc điểm này, hacker sẽ thực hiện việc gửi bản tin deauth liên tục vào mạng wifi (có thể nhắm vào 1 sta hoặc toàn bộ sta) khiến các sta trong mạng mất kết nối đến mạng wifi. Khi sta mất kết nối nó sẽ thực hiện việc kết nối lại đến mạng wifi bằng quá trình bắt tay 4 bước :
Quá trình bắt tay (handshake) trong mạng Wi-Fi thường điều khiển quá trình xác thực và thiết lập khóa để bảo vệ dữ liệu truyền qua mạng. Một quá trình bắt tay tiêu biểu trong mạng Wi-Fi là WPA/WPA2 Four-Way Handshake. Dưới đây là bốn bước chính của quá trình này:
Bước 1: AP Broadcasts Message 1 (Broadcast EAPOL Start):
Trạm (thiết bị) di động gửi một yêu cầu kết nối đến điểm truy cập (AP).
AP trả lời bằng một bản tin EAPOL (Extensible Authentication Protocol over LAN) Start, được gửi đến tất cả các trạm trong tầm.
Bước 2: Trạm Sends Message 2 to AP (EAPOL-Key message):
Trạm nhận được bản tin EAPOL Start từ AP và phản hồi bằng việc gửi một bản tin EAPOL-Key (Message 2).
Bản tin này chứa một số thông tin như ID của trạm, nonce của trạm và yêu cầu thiết lập khóa.
Bước 3: AP Sends Message 3 to Trạm (EAPOL-Key message):
AP nhận bản tin EAPOL-Key (Message 2) từ trạm và phản hồi bằng cách gửi một bản tin EAPOL-Key (Message 3).
Bản tin này bao gồm khóa được tạo ra và nonce của AP.
Bước 4: Trạm Sends Message 4 to AP (EAPOL-Key message):
Trạm nhận bản tin EAPOL-Key (Message 3) từ AP và phản hồi bằng việc gửi một bản tin EAPOL-Key (Message 4).
Bản tin này chứa xác nhận rằng quá trình bắt tay đã thành công và khóa đã được thiết lập.
Việc bắt gói tin handshake và giả mã hacker có thể lấy được mật khẩu wifi
B. Phương pháp phòng tránh
Trong mạng wifi, để nhằm hạn chế việc giả mạo bản tin deauth, có 1 công nghệ để bảo vệ gọi là Protected Management Frames, nó có trong tiêu chuẩn IEEE802.11w và WPA3.
IEEE 802.11w:
IEEE 802.11w là một tiêu chuẩn mở rộng của IEEE 802.11 (Wi-Fi), còn được gọi là "Protected Management Frames" (PMF).
Mục tiêu chính của 802.11w là cung cấp bảo mật cao hơn cho các truyền thông quản lý (management frames) trên mạng Wi-Fi.
Wi-Fi Protected Access 3 (WPA3) :
Cung cấp tính năng Protected Management Frames .
Simultaneous Authentication of Equals (SAE) là một phương thức chống tấn công trong quá trình thiết lập kết nối bảo mật mạng Wi-Fi. SAE là một phần của tiêu chuẩn bảo mật WPA3.
Nếu bạn yêu cầu cao về bảo mật hãy lựa chọn các dòng AP có PMF hoặc WPA3.
C. Phát hiện Deauthentication bằng Wireshark
Wireshark chúng ta có thể phân tích các lưu lượng 802.11 với những card mạng wlan hỗ trợ monitor mode.
Các bước :
Cài đặt wireshark đến phần npcap chọn "Support raw 802.11 traffic"
2. Mở Wireshark vào phần Capture Option tick vào ô Monitor Mode của card wlan và chọn Start
3. Khi Wireshark bắt đầu phân tích lưu lượng mạng, nếu có sẽ liên tục hiển thị các frame Deauthentication.
Tuy nhiên cũng cần lưu ý, 1 số AP cũng có thể gửi các frame Deauthentication đến client nhằm ngắt kết nối, ví dụ để buộc client roaming. Cần quan sát kĩ để phân biệt giữa bị tấn công hoặc là tính năng của AP.
Page updated
Google Sites
Report abuse