Дистанционное incze беспроводным кадров

Дистанционное incze беспроводным кадров

344
ПОДЕЛИТЬСЯ

В WiFi 802.11 N употребляет механизм агрегации кадров, чтоб уменьшить накладные расходы при передаче данных. Несколько кадров объединяются в один. Это дозволяет сформировать данные, проходящие через Wi-Fi устройства будут истолкованы им как отдельные кадры. Но, маркер разделителя фрейма передается совместно с данными.
То есть, имея контроль над потоком данных, передаваемых от сервера к клиенту (к примеру, когда вы скачиваете файл с сервера злодея) либо от клиента к серверу, вы сможете сделать случайное пакетов на всех уровнях модели OSI:

Пакет с хоть какой RadioTap заглавия: лавинный датчик, щуп запросу/Respone, Deauthentication
Уровень L2: указать хоть какой MAC-адресок в заголовке пакета, вы сможете выполнить команду ARP спуфинг
Л3/Л4 уровня: ремесло хоть какого TCP/udp и ICMP-пакеты с хоть какого IP-заголовка
и так дальше

Уязвимость лишь открытые сети эталона 802.11 N.

Схема физического уровня (phy) кадре с впрыском

Как видите, разделитель кадра (а-MPDY разделитель) соответствует прямо в с пользовательскими данными полезной перегрузки, потому при получении этого кадра, владелец, будет изготовлено deaggregate и наша последовательность будет интерпретироваться операционной системой как отдельный пакет.
Подробнее о уязвимости можно отыскать в докладе атаки на эталон 802.11 N кадра Mac агрегации
Эксплойты, использовавшие уязвимости github.com/rpp0/aggr-inject
Тип передаваемых данных не имеет значения, довольно иметь возможность сделать контролируемый атакующей поток данных. Чтоб придать периодов от точки доступа, клиента требуют сделать jpg файл, который дозволит скачать жертва (как на картинке в Заголовок поста). Скрипт генерации полезной перегрузки — aggr-inject.py. В данном случае приняты в качестве http-это обычный пример. В обратном направлении, от клиента к точке предлагается выслать особый формируется Post-запрос на интернет-сервер злодея. Принципиально, что данные были перенесены в целости на WiFi чипа, потому данных должен передаваться по открытому каналу (https не подступает), не подвергаться обработке, обжатия.
Простой пример, демонстрирующий Уязвимость: отправка широковещательного маяка кадров. Маяки, передаваемого точкой доступа, давая информацию о его сетевое имя (SSID).
Файл, вэкономике маяки с сетевым именованием «вводят имя SSID» aggr_beacon.jpg 250 МБ
Потому узреть инъекции пакетов нужно применять пассивное сканирование. Быстрее всего, Вы не увидите новейшую Сеть в перечне доступных Wi-Fi сетей, поэтому что в большинстве операционных систем употребляется активное сканирование, и лишь показать в сети, что ответил им на запрос проверки.
Кстати, Примечание для тех, кто употребляет Мак ОС, вы сможете gampat беспроводной трафик родной аэропорт карта. Дамп можно отыскать в /tmp/airportXXXX.кап Я рекомендую мои инструменты аэропорт нюхач.
Вредный файл загружается на планшете, дампер работает на ноутбуке, присоединенном к той же точке доступа, маршрутизатор TL-MR3020 прошивка связку openwrt 12.09. Также инъекции удачно воспроизводится с помощью USB-адаптер TL-wn821n. Мой тестовый щит схож картину в Заголовок поста.
Вот попался ноутбук пакеты:

тсрйитр-е-р /tmp/и аэропорта.pcap это типа мгт подтип Маяк13:33:11.317916 4269971522us tsft-84dB шума антенны 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:00:00:00:00:00:00 (да локальных сетей) ПДР:трансляция СА:00:00:00:00:00:00 (да локальных сетей) Маяк (вводят имя SSID) [6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
13:33:11.317916 4269971522us tsft плохо-ФТС-84dB шума антенны 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:00:00:00:00:00:00 (да локальных сетей) ПДР:трансляция СА:00:00:00:00:00:00 (да локальных сетей) Маяк (вводят имя SSID) [1.0* 35.0 23.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
13:33:11.317917 4269971522us tsft-84dB шума антенны 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:00:00:00:00:00:00 (да локальных сетей) ПДР:трансляция СА:00:00:00:00:00:00 (да локальных сетей) Маяк (вводят имя SSID) [6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
13:33:11.317918 4269971522us tsft-84dB шума антенны 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:00:00:00:00:00:00 (да локальных сетей) ПДР:трансляция СА:00:00:00:00:00:00 (да локальных сетей) Маяк (вводят имя SSID) [6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
13:33:11.317919 4269971522us tsft-84dB шума антенны 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:00:00:00:00:00:00 (да локальных сетей) ПДР:трансляция СА:00:00:00:00:00:00 (да локальных сетей) Маяк (вводят имя SSID) [6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
13:33:11.317921 4269971522us tsft-84dB шума антенны 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:00:00:00:00:00:00 (да локальных сетей) ПДР:трансляция СА:00:00:00:00:00:00 (да локальных сетей) Маяк (вводят имя SSID) [6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
13:33:11.317922 4269971522us tsft-84dB шума антенны 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:00:00:00:00:00:00 (да локальных сетей) ПДР:трансляция СА:00:00:00:00:00:00 (да локальных сетей) Маяк (вводят имя SSID) [6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
13:33:11.317923 4269971522us tsft-84dB шума антенны 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:00:00:00:00:00:00 (да локальных сетей) ПДР:трансляция СА:00:00:00:00:00:00 (да локальных сетей) Маяк (вводят имя SSID) [6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
13:33:12.876472 4271529509us tsft плохо-ФТС-шум 85 дБ антенна 0 2462 МГц 11г НТ/20 72.2 Мб/с МКН 7 20 МГц маленький ГИ гринфилд » СК » ТЭК BSSID:18:00:00:00:00:00 (да непонятно) ПДР:трансляция СА:1С:е9:87:8а:54:36 (Ош непонятно) Маяк (вводят имя SSID) [6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 Мбит] ЕСС ч: 1
Тайминги можно узреть, что уколы чрезвычайно радостный.
В целях проведения истинной атаки начинается на L2 и L3 уровнях, то есть для вас необходимо знать MAC-адресок точки доступа, в неких вариантах, MAC-адресок клиента, IP-адресов клиентов за NAT. Было бы лучше, чтоб выслать пакет deauth и отключите всех клиентов от сети. Потому, чтоб эксплуатировать Уязвимость в настоящих критериях очень трудно.
Хотя, может, я просто придурок и вы получите. Но я никогда не делал. Раз вы посылаете Syn от клиента на мир и реагировать на него, даже сделать трансляцию на маршрутизатор в состоянии established, новейший Syn от мира высылается заказчику будут отброшены. Раз вы посылаете клиенту Син от имени удаленного хоста, ответ с Syn-ACK пакет не сделать трансляцию и ответ ему от мира нереально. Я был в состоянии удачно проводить инъекции пакетов TCP и я попробовал подняться на TCP порт клиента за NAT, пытаясь сделать в nf_conntrack трансляции, хватает мои пакеты клиенту. Даже фантазии на эту тему разбивались о трудности с угадыванием seqence число.
Как вы сможете удачно делать с udp. Также в примерах есть метод сканирования Хостов за NAT, отправки ICMP. habrahabr.ru

НЕТ КОММЕНТАРИЕВ

ОСТАВЬТЕ ОТВЕТ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.