Атака AirSnitch, позволяющая обойти изоляцию между клиентами в Wi-Fi

Исследователи из Калифорнийского университета в Риверсайде разработали (PDF) новый класс атак на беспроводные сети — AirSnitch. Атаки дают возможность обойти механизмы изоляции клиентов в Wi-Fi сети, не позволяющие клиентам напрямую обращаться друг к другу. При наихудшем сценарии атаки позволяют злоумышленнику перенаправить через себя трафик жертвы (MITM) для анализа или модификации незашифрованных запросов, а также подменить обращения к сайтам через отравление DNS-кэша.

Для проведения атак злоумышленник должен иметь возможность подключиться к той же беспроводной сети, что и у жертвы, или к гостевой сети, обслуживаемой той же точкой доступа. Например, атаки могут применяться в публичных общественных беспроводных сетях. Из 9 протестированных моделей беспроводных точек доступа от Netgear, Tenda, D-LINK, TP-LINK, ASUS, Ubiquiti, LANCOM и Cisco, а также решений с прошивками DD-WRT и OpenWrt, все из устройств оказались подвержены как минимум одному методу атаки.

Выделяются три проблемы, позволяющие совершить атаку. Первая проблема позволяет обойти изоляцию между клиентами из-за некорректного управления ключами, используемыми для защиты широковещательных кадров. Вторая проблема связана с тем, что изоляция обычно применяется на уровне MAC или на уровне IP, но не на обоих уровнях одновременно. Третья проблема вызвана ненадёжной синхронизацией идентификаторов клиентов на уровне всего сетевого стека, что позволяет перехватывать входящий и исходящий трафик других клиентов.

Современные беспроводные точки доступа объединяют в себе функции радиопередатчика и сетевого коммутатора (Layer 2 Switch), при этом коммутатор, в отличие от проводных сетей, вместо привязки клиента к физическому порту, использует логическую привязку к беспроводному каналу. В качестве идентификатора при такой привязке используется MAC-адрес клиента, который отождествляется с каналом в специальной таблице MAC-адресов. В случае переключения клиента на иной канал (например, после перехода с 2.4 ГГц на 5 ГГц) данные в таблице обновляются.

Атака проводится на первом (физический, радиоканал) и втором (канальный, MAC-адрес) уровнях сетевой модели OSI, и сводится к тому, что злоумышленник, подключившийся к той же точке доступа, но используя частотный диапазон не как у жертвы (например, 2.4 ГГц вместо 5 ГГц), отправляет запрос на согласование соединения (4-way handshake), указав MAC-адрес жертвы (подобие ARP-спуфинга в Ethernet-сетях). Так как клиенты идентифицируются по MAC-адресу, точка доступа считает, что клиент переключился на другой канал, и меняет запись в таблице MAC-адресов. После этого весть входящий трафик от точки доступа начинает отправляться на устройство атакующего.

Для организации двунаправленного перехвата атакующий, получив адресованные жертве данные, возвращает состояние таблицы MAC-адресов в исходное состояние. Для этого отправляется пакет «ICMP Ping» c указанием случайного MAC-адреса и шифрованием пакета ключом GTK (Group Temporal Key), общим для всех клиентов беспроводной сети. Точка доступа, получив данный пакет, возвращает привязку MAC-адреса жертвы к исходному беспроводному каналу. Вклинивание в трафик осуществляется через цикличную подмену и возвращение записи в таблице MAC-адресов.

Erik Peterson Редактор, Менеджер

A ProHoster specialist with over seven years of experience in hosting, network infrastructure, and internet security. I participate in the development and maintenance of server solutions, VPN services, and client platforms. I specialize in stability, data protection, and service optimization for clients. I regularly monitor updates in industry standards and best practices.

См. полную биографию

VPN VPS Shared Hosting SSL