在本系列文章的第一部分中,我们介绍了802.11的一些基本原理,并描述了如何利用协议的漫游和网络选择特性来执行无线中间人(PITM)攻击。 我们还讨论了如何在 EAPHammer 中执行基本的仿冒接入点攻击(参见: https://github.com/s0lst1c3/eaphammer)。 如果你还没有读过本系列文章的第一部分,你可以在这里找到:
在本系列的下一篇文章中,我们将描述客户端设备安全性的改进是如何使 Karma 攻击的效果大大降低的。 然后,我们将讨论 Dominic White (@singe)、 Ian de Villiers 和 George Chatzisofroniou (@sophron)开发的三种攻击技巧,奇热这些技巧可以用来规避这些改进 [1][2] :
· MANA 攻击: Dom White 和 Ian de Villiers 开发的一种 Karma 风格的攻击,其中伪基站(AP)重建附近设备的首选网络列表(PNL)。
· Loud MANA攻击: 由 Dom White 和 Ian de Villers 开发的MANA攻击的一个变种,在这种攻击中,伪基站发送信标和探测响应帧给附近设备的所有 PNL 中的每个 ESSID (我用集合论来描述这一点,见下面的详细解释)。
· 已知信标攻击: 由 George Chatzisofroniou 开发的一种伪基站攻击,攻击者试图暴力猜解邻近设备的 PNL 以实现强制连接。
在讨论了这些技术在算法和技术层面上的工作方式之后,我们将介绍这些技术是如何在 EAPHammer 中实现的。
主动探测的限制
在本系列文章的第一部分中,我们讨论了定向探测是如何成为一个相当明显的设计缺陷,对无线客户端设备具有严重的安全性影响。 因此,现代设备通常避免依赖定向探测请求,这严重限制了原始 Karma 攻击的成功率。
正如 White 和 de Villiers 在 DEF CON 22会议上发表的题为”天赐之物”的演讲中指出的那样,现代客户端设备通常具有以下两个特征之一:
· 该设备忽略来自非首次响应广播探测的 AP 的探测响应[1]。
· 该设备完全忽略使用主动探测,而完全依赖于被动扫描