На чому палятся вардрайвери: програми для виявлення атак на бездротову мережу

1. Зміст статті Проникнути в чужу бездротову мережу - чим не забава ?! Побешкетувати - і змотатися....
2. А як щодо альтернативи Netstumbler'у?
3. Як спіймати хулігана?
4. активні методи
5. Ох вже цей MAC-адресу

Зміст статті

Наша взаимовыгодная связь https://banwar.org/

Проникнути в чужу бездротову мережу - чим не забава ?! Побешкетувати - і змотатися. Зломщик не вдалося підключитися до мережі по дротах і може перебувати де завгодно, лише б був впевнений прийом. В автомобілі, на вулиці, наприклад. Спробуй злови! Тільки ось що я тобі скажу: все це - популярне оману. Технології захисту розвиваються, і навіть банальне сканування ефіру самими звичайними програмами видасть тебе з потрохами. А ти не знав?

Wi-фу: "бойові" прийоми злому і захисту бездротових мереж

Як виявити сканування?

Щоб знайти поблизу бездротові пристрої, а отже, і
бездротові мережі, використовують спеціальні сканери ефіру. Поставив таку штуку на ноутбук або КПК і гуляєш по місту, в той час як програма веде логи всіх знайдених точок доступу, з зазначенням SSID (ідентифікатор мережі), виробника обладнання, механізму шифрування, швидкості роботи і навіть координат, якщо до ноуту підключений GPS- модуль.

Знайомі софтина - Netstambler, Macstambler, Kismet (або його версія під вінду - Kiswin) - за дві секунди просканує ефір і видадуть всю інформацію на екран.

Але тут є один важливий момент, про який багато хто навіть не підозрюють! Ці сканери не просто пасивно переглядають ефір, але також використовують активні методи дослідження, посилаючи в мережу спеціальні пакети. Якщо ти просканував ефір Netstambler'ом, то вважай, ти вже видав свою присутність. Добре, якщо
бездротова мережа - це самотня точка доступу, якої навряд чи навіть поміняли пароль для адміністрування через веб-панель. Але якщо це серйозна компанія, то до будь-якої подібної активності (всередині закритої мережі) поставляться з підозрою. І справа тут ось в чому.

Коли здійснюється пасивне сканування (відповідно до стандарту 802.11, тобто Wi-Fi), нічого страшного не відбувається, а й ефективність такого сканування нульова! Як тільки справа стосується інтимної інформації про мережу (яка може бути дуже корисна зломщикові), стемблер видає свою присутність через спеціального LLC / SNAP-фрейма.

Ще 3 роки тому (23 березня 2004 року) хакер-дослідник Mike Craik запропонував унікальний ідентифікатор, за яким можна задетектіть трафік програми NetStumbler: LLC-фрейми, які генеруються сканером і містять унікальний ідентифікатор (OID) 0x00601d і ідентифікатор протоколу (PID) 0x0001. Крім того, спеціальна строкова змінна, що передається через 58-байтное поле даних, містить інформацію про версії продукту в так званому «пасхальному яйці»:

0.3.2 Flurble gronk bloopit, bnip Frundletrune
0.3.2 All your 802.11b are belong to us
0.3.3 "intentionally blank"

Причин для таких каверз може бути багато, в тому числі прохання оперативних органів, сваритися з якими автору безкоштовної програми, природно, не хочеться. Щоб усунути «пасхальне яйце», слід поколупати бінарник netstumbler.exe редактором ресурсів і змінити його. Але це не вирішить проблему виявлення сканування (з LLC-фреймом нічого не зробити). І до речі, Ministumbler - тулза з тієї ж серії, тільки для платформи Pocket PC, -
містить аналогічні підступи.

А як щодо альтернативи Netstumbler'у?

Тепер зрозуміло, яким чином тебе може видати звичайне сканування? І начебто нічого не робив, а по шапці отримати вже можеш. Причому що з Netstumbler'ом, що з будь-яким іншим софтом. Розглянемо лише декілька прикладів.

DStumbler

Це найвідоміший BSD-сканер бездротових мереж, який, на відміну від Netstumbler, може проводити пасивне сканування (режим RFMON), тобто визначає наявність точки доступу та її SSID. Проте, в режимі активного сканування в ньому теж існують ексклюзивні властивості. У пошуках точки доступу програма генерує величезну кількість запитів (frame_control 0x0040). Після отримання відповіді точки доступу на подібний запит буде проведена спроба запиту авторизації (0x0b) і асоціації (0x0c). Ці значення є константами, що
дає право на їх використання в якості унікального ідентифікатора.

Wellenreiter

Може бути, хтось, прочитавши це, подумає: «А в чому проблема? Заюзать той самий, пасивного сканування, та й по всьому! »Візьмемо сканер Wellenreiter, включений до складу відомого хакерського LiveCD-дистрибутива - BackTrack. Утиліта заточена під Unixware-оточення і як базової умови для старту, природно, використовує iwconfig. після впізнання
бездротової картки ESSID буде автоматично виставлений на «This is used for wellenreiter», а MAC-адресу налаштований на довільний. Знову палево!

Після такого розгрому навіть руки опускаються. Чи не софт, а справжнє западло для хакера. Що ж робити? Заюзать Windows-механізм? Завантажувати нічого не треба, і працює він, в общем-то, непогано - хороший, начебто, варіант ... Як би не так! Його механізм теж використовує активний режим сканування, надсилаються ті ж запити з широкомовною SSID і унікальним програмним ідентифікатором, що і буде основою детектив подібного роду сканування. Унікальний фрагмент знаходиться в частині «SSID Parameter Set» і складається з 32 байтів.

Скориставшись функціональними здібностями сніфера Ethereal (Wireshark), можна без зусиль визначити подібну активність потенційного «повітряного» хакера:

Netstumbler: wlan.fc.type_subtype eq 32 and llc.oui eq 0x00601d and llc.pid eq 0x0001

Dstumbler: (wlan.seq eq 11 and wlan.fc.subtype eq 11) or (wlan.seq eq 12 and wlan.fc.subtype eq 00)

Тут 11 (0x0b) - значення у фреймі авторизації, 12 (0x0c) - константа із запиту асоціації.

Як спіймати хулігана?

Важливо не стільки засікти несанкціоновані дії в мережі, скільки виявити порушника. Тут виникає певна головоломка, так як мобільність самої технології Wi-Fi спочатку має на увазі таких же мобільних клієнтів, які можуть переміщатися під час сеансу користування мережею. Нашим завданням буде вироблення схеми мережевої інфраструктури, в якій існувало б як мінімум дві причини, які свідчать про наявність зловмисника серед довіреної радіопокриття. Способи виявлення зловмисника зазвичай базуються на даних, що надходять з різних, віддалених один від одного джерел. При цьому аналізуються дані про рівень прийому абонента, а також інформація з логів систем виявлення вторгнень
(IDS).

Лог IDS-системи, що відзначає активність бездротових з'єднань за допомогою стандартного механізму Windows XP

На представленій схемі перед нами модель тривіальної постановки: точки Y і Z виступають в ролі AP- «моніторів» (сенсорів нападу), так чи інакше передають подія «відбулося сканування» на спеціальну систему. Кінець коридору обмежений бетонними стінами, ізолюючими сигнал від перешкод ззовні. Ставлячи кордон в радіопокриття точки (наприклад, 10 метрами), можна виробити дії з реагування на підозрілі події.

Модель логіки побудови безпеки за участю сенсорів

Не важко здогадатися, що якщо буде запідозрений послідовний Stumbling від точок z, y до x, то зловмисник знаходиться в цілком певному квадраті простору. Відповідно, створюючи подібну архітектуру по прапорам і спираючись на увагу і певний набір ПО, можна давати вказівку службі безпеки висуватися до відповідних боку.

Залишається питання: чим фіксувати дії сканера? Це реалізується наступними програмними рішеннями.

Snort Wireless

Адреса: snort-wireless.org
Платформа: Unix

Така собі «пожежна сигналізація», яка попередить практично про будь-якій спробі злому. Головне, щоб були грамотно налаштовані всі правила або, інакше кажучи, попередньо задані шаблони
атак і шкідливих об'єктів. Snort Wireless працює подібно популярному Snort, але в
бездротових мережах 802.11x, захищаючи їх від нападу. Налаштування зводиться до наступних пунктів:

• вказівка ​​інформації про території, що охороняється (параметри мережі, ім'я точки доступу);
• конфігурація предпроцессоров;
• конфігурація плагінів;
• додаткові власні правила.

Найбільш важливий пункт тут - конфігурація предпроцессоров, завдяки яким і відбувається перехід з натяку на
атаку до бойової тривоги.

Предпроцессор Anti Stumbler. Для виявлення точок доступу Netstumbler розсилає широкомовні нульові SSID, які змушують інші точки доступу надіслати свої SSID нам. Snort усвідомлює масовість цієї справи з одного MAC-адреси і оголошує тривогу. Крім цього, в наборі Snort Wireless присутні предпроцессори для детектив пасивного ськана і спроби підміни
MAC.

Предпроцессор Anti Flood. При перевищенні певної кількості кадрів в одиницю часу або спроб авторизації відбувається розпізнавання Denial Of Service
Atack.

Предпроцессор Anti Mac spoofing. Виявлення невідповідностей і порівняння з базою даних довірених клієнтів.

Після редагування всіх параметрів файл snort.conf оновиться, і ти зможеш запустити демон в фоновий режим:

snort -D -A ful l

Nssys glass

Адреса: home.comcast.net/~jay.deboer/nsspyglass
Платформа: Windows

Netstumbler Spyglass використовує той же принцип, що і предпроцессор Snort Wireless. На жаль, через малу спектра підтримуваного устаткування його не так часто застосовують. Розглянемо його настройку на прикладі роутера LinkSys. Перед роботою необхідно подбати про наявність драйвера WinPcap
(Winpcap.polito.it).

Конфігурація Nssys вимагає обов'язкового зазначення мережевого адаптера

Далі вся настройка здійснюється через досить дивний конфігураційний файл NSSpyglass.ini, що складається з наступних 12 рядків:

0402011110BB Access Point MAC Address (No colons and No spaces)
C: \ windows \ calc.exe
0
5
C: \ windows \ notepad.exe
0
1
1
0
1
0
1

В такому незрозумілому конфіге сам чорт ногу зломить, тому я поясню все по-порядку. У першому рядку потрібно прописати MAC-адресу точки доступу. Другий рядок вказує шлях до програми, яку буде запущено в момент впізнання зловмисника. Третя приймає значення 0 або 1, залежно від твого бажання запускати вказаний додаток чи ні. Четвертий рядок - таймаут в секундах до запуску наступного додатка після виявлення вардрайвера. П'ята і шоста рядок аналогічні другий і третій, але як раз наступного додатка. Сьома визначає запис історії подій в лог NSSpyglassLog.txt. Інше неважливо - скопируй, як є.

Після проби такого софта Nestumbler використовувати навіть якось не хочеться

Airsnare

Адреса: home.comcast.net/~jay.deboer/airsnare
Платформа: Windows

Якщо в мережі працюють одні й ті ж пристрої (наприклад, ноутбуки співробітників), то можна легко внести їх MAC-адреси в «білий список» і відстежувати появу сторонніх пристроїв, які в цей список не входять. На такому простому принципі, зокрема, базується програма Airsnare. Все, що тобі знадобиться для роботи, - це бібліотека WinPcap (winpcap.polito.it) і вільний комп'ютер, приєднаний до
бездротової точки доступу. У налаштуваннях програми не забудь вибрати необхідний адаптер і внести в Friendly Mac list все довірені пристрої, підключені до твоєї мережі, включаючи Mac'і, Xbox'и, мережеві принт-сервери, лептопи, iPod'и з піднятим Wi-Fi і тому подібні надлишки моди. Натискаємо «Start», і екран змінює колір на червоний, що говорить про те, що твоя тачка перейшла в бойовий режим, режим пошуку прищавих хакерів.

Моніторинг довбає в мережу студентів у наявності

активні методи

У всіх цих прикладах так чи інакше були задіяні статичні системи виявлення
атак в бездротової середовищі. Але, напевно, є і більш складні та ефективні техніки виявлення зловмисника! Хочу звернути твою увагу на систему
Distributed Wireless Security Auditor , Яка принципово відрізняється від інших.

Комплекс DWSA власною персоною! Точки доступу, співробітники, довірена обладнання і навіть порушники - все, як на долоні.

Можливості DWSA дозволяють визначати фізичне становище зловмисника і навіть відображати його на інтерактивній карті, тобто здійснювати справжнісіньку прив'язку до місцевості. Це стає цілком реальним за рахунок постійного розподіленого моніторингу мережі. Здійснюється це таким чином: певній кількості співробітників компанії, припустимо, службі безпеки, видаються портативні комп'ютери зі спеціальним програмним оснащенням. Паралельно з цим встановлюється back-end сервер безпеки, який буде зчитувати цільову інформацію з пристроїв співробітників і заодно визначати їх місце розташування щодо точок доступу на основі відомостей про сигнал і їх радіопокриття. Обробку цих даних централізовано виконує спеціальний сервер. Він аналізує стан радіоефіру різних джерел і за допомогою законів геометрії і дискретної математики визначає зразкову розташування об'єкта. Зрозуміло, що чим більше елементів братиме участь в роботі розподіленої системи моніторингу, тим вище буде точність визначення на цій території.

Який же принцип лежить в основі визначення координат об'єкту? Банальна тріангуляція, яка також застосовується в глобальній системі позиціонування GPS. Як тих самих портативних девайсів було прийнято задіяти розробку IBM, іменовану Wireless Security Auditor (WSA). Девайс являє собою самий звичайний iPAQ PDA зі спеціальним дистрибутивом Linux і набором встановлених тулз для пен-тестів і аудиту
бездротових мереж: wlandump, ethereal, Sniffer і т.п. Використовуючи їх, співробітники, по суті, проводять активний аудит, звітуючи головного сервера.

Метод тріангуляції на пальцях

Ох вже цей MAC-адресу

Навіть просто виявивши чужого в мережі, про нього можна дещо дізнатися. Той же MAC-адресу, який є унікальним ознакою будь-якого обладнання, видасть деяку інформацію. Адже дуже просто встановити зв'язок між ним і виробником девайса. Справа в тому, що за першими октетам MAC'a і
базі OUI можна зробити співвідношення, визначивши виробника. Згадай, на це, зокрема, спирається Netstumbler при знаходженні точки, висвітлюючи в графі VENDOR використовуване обладнання, наприклад CISCO. У базі OUI це виглядає ось так:

00-00-0C (hex) CISCO SYSTEMS, INC.
00000C (base 16) CISCO SYSTEMS, INC.

Спеціалізовані структури ведуть облік даних такого роду з прив'язкою до продаваним пристроїв. Звернувшись до компанії-виробнику, компетентні структури в першу чергу виявлять, по яким точкам воно було розподілено і яким особам продано. Кредити та пластикові карти ще ніхто не відміняв, тому при певному везінні і наявності можливостей (яка є у органів) можна знайти хакера, навіть знаючи, здавалося б, якийсь, MAC-адресу. Ну що, ти засумнівався у своїй повній анонімності?

Дистрибутив Backtrack, програми MySLAX Creator, Bart PE Builder, MKBT, Syslinux, а також всі допоміжні утиліти ти знайдеш на
DVD, а так само на диску ти обов'язково знайдеш весь описаний в статті софт і корисні доки по методам трилатерации.
Якщо, прочитавши статтю, у тебе як і раніше залишаються питання або щось не виходить, подивися відеоінструкцію на диску.