WiFi WiFi WiFi Jammering

Existen ciertas pruebas durante un test de intrusión WiFi que, por decisión del cliente o por decisión nuestra, no se realizan ya que se podría denegar el servicio a los dispositivos conectados. Pero estas pruebas, aunque no lo parezcan, son muy útiles para ver el comportamiento de los sistemas de seguridad implantados y saber como van a responder ante un ataque real. En este artículo vamos a utilizar un WiFi Jammer, que no es más que una pequeña placa de bajo coste que dispone de conectividad WiFi y nos va a permitir realizar estas pruebas.

DISCLAIMER

Todas las pruebas realizadas a continuación tienen un propósito meramente educativo e informativo, por lo que cualquier uso malintencionado de las mismas no sería nuestra responsabilidad.

CONFIGURACIÓN

Conectaremos esta pequeña placa a un puerto usb para que levante el punto de acceso pwned con contraseña deauth a través del cual configuraremos todas sus características:

Al conectarnos a pwned se nos asignará una dirección IP del rango 192.168.4.0/24 . En nuestro caso, se ha asignado la dirección IP 192.168.4.2 y la 192.168.4.1 como puerta de enlace:

Abriremos un navegador y accederemos a la puerta de enlace 192.168.4.1 mostrándose la página principal de nuestro dispositivo. Esta página básicamente es como un Disclaimer donde se explica que este software es para buscar vulnerabilidades sobre el estándar 802.11 y que lo utilices sobre tus redes y dispositivos. Una vez leído, accederemos al menú a través del botón marcado en rojo:

MENÚ PRINCIPAL

Dentro del menú observamos cuatro opciones situadas arriba a la izquierda. Estas opciones son las que se detallan a continuación:

  • APs: página en la que podremos escanear puntos de acceso cercanos.
  • Stations: página en la que podremos escanear dispositivos móviles.
  • Attacks: página en la que podremos seleccionar entre tres tipos de ataque diferentes.
  • Settings: página en la que podremos configurar el punto de acceso del dispositivo.

A continuación veremos más en profundidad cada una de ellas.

APs

Esta primera opción del menú es la página principal del dispositivo desde donde podremos escanear puntos accesos cercanos:

A través del botón Scan hemos identificado 9 puntos de acceso entre los que se encuentra nuestra WiFi de pruebas THF . Los datos que se muestran por cada AP son los siguientes:

  • Ch: canal en el que está emitiendo.
  • SSID: nombre del punto de acceso.
  • RSSI: calidad de la señal que depende de la cercanía del AP.
  • Encrypt: tipo de cifrado que tiene configurado.
  • Select: botón para seleccionar el punto de acceso sobre el que realizar ataques.

Seleccionaremos el punto de acceso objetivo, en este caso THF, a través del botón Select, marcándose en azul:

STATIONS

En esta segunda opción podremos escanear los dispositivos asociados al punto de acceso seleccionado en el punto anterior. Durante la búsqueda de clientes se detendrá el punto de acceso pwned durante el tiempo establecido (15s por defecto) y tendremos que volver a asociarnos a él para ver los resultados:

ATTACKS

Esta tercera opción es quizás la más interesante pues es desde la que se realizarán todos los tipos de ataque disponibles:

  • Deauth: desautenticación y desasociación de clientes.
  • Beacon Flood: envío masivo de paquetes con un SSID inundando el espacio aéreo.
  • Probe Request Flood: envío masivo de paquetes de autenticación con un punto de acceso.

En esta misma página, un poco más abajo, se observa una descripción para cada uno de los ataques y una zona en la que se mostrarán los ESSID (aleatorios a través del botón Random o legítimos si lo clonamos con el botón Clone o lo introducimos a mano con el botón Add) de los puntos de acceso que se van a utilizar en los ataques Beacon Flood y Probe Request Flood:

SETTINGS

Esta última opción nos permitirá configurar las opciones WiFi de forma que podamos cambiar el ESSID, ocultarlo, establecer una password, establecer el canal, y varias opciones más:

La última zona de esta página permite configurar las opciones generales de los ataques:

Como habéis visto la configuración es realmente sencilla.

VAMOS A JUGAR UN POCO

Para poder realizar las pruebas hemos creado un punto de acceso denominado THF con contexión a internet (puedes crearlo siguiendo nuestro artículo Crear un punto de acceso con Hostapd y Dnsmasq ) al que conectaremos nuestro dispositivo móvil. Nada más conectar el teléfono se observa que se nos ha asignado la dirección IP 10.5.5.3 del rango 10.5.5.2 – 10.5.5.5 configurado para nuestro AP:

Como primer punto antes de empezar, necesitamos cambiar en las opciones del WiFi Jammer el canal que trae por defecto y poner el mismo canal que nuestro AP objetivo, en este caso es el canal número 6:

De esta forma, al realizar un ataque nuestro dispositivo no se desconectará para cambiar del canal por defecto al canal del AP objetivo. Ahora, ya podemos comenzar nuestras pruebas 🙂 .

ATAQUE DEAUTH

Este tipo de ataque realiza el envío de paquetes de desasociación y de desautenticación sólo al punto de acceso o al punto de acceso y al cliente seleccionado. Con el punto de acceso objetivo seleccionado previamente, procederemos a acceder a la opción de Stations para localizar los clientes que tiene conectados a través del botón Start :

Como se puede observar, se ha identificado un cliente, que se corresponde con nuestro dispositivo móvil y que seleccionaremos con el botón Select . También podríamos haber introducido, de forma manual, su dirección MAC y un nombre identificativo. Ahora, en la opción de Attacks , con el AP y el cliente seleccionados, procederemos a ejecutar el ataque a través del botón Start:

A través de Wireshark podremos visualizar todos los paquetes de desautenticación que estamos enviando al punto de acceso y al cliente conectado:

Si observamos nuestro móvil, observamos que hemos perdido la conexión de manera inmediata. Hasta que este ataque no se detenga, no podremos volver a asociarnos al AP :

ATAQUE BEACON FLOOD

Este tipo de ataque consiste en inundar el espacio aéreo con paquetes Beacon . Estos paquetes son emitidos por los puntos de acceso para que otros dispositivos lo identifiquen y se puedan conectar a él. Contienen información del AP como por ejemplo: el canal en el que emiten, el tipo de cifrado tiene configurado, cual es el SSID, etc…

Con el AP objetivo seleccionado previamente, procederemos a clonarlo a través del botón CLONE :

 

Si accedemos a la parte inferior de esta misma pantalla, observamos que el punto de acceso seleccionado se ha clonado 48 veces. Este ataque enviará Beacon Frames por cada una de esas clonaciones:

Después procedemos a guardar la configuración a través del botón Save. Volveremos a la parte de arriba de la pantalla y pulsamos en el botón Start correspondiente al ataque Beacon Flood :

 

Con Wireshark escuchando el espacio aéreo, podremos visualizar todos estos paquetes Beacon enviados simulando ser APs :

Al abrir la configuración WiFi del móvil, observamos que se ha inundado el listado de APs con el que hemos clonado, que es THF :

 

ATAQUE PROBE REQUEST FLOOD

Este tercer tipo de ataque realiza el envío al punto de acceso de un gran número de paquetes Probe Request simulando ser clientes. Se generará así una gran cantidad de peticiones dirigidas al punto de acceso objetivo el cual intentará responder a todas las peticiones, lo que provocará la denegación del servicio del punto de acceso.

Al igual que los puntos anteriores, a través de Wireshark podremos observar todos los paquetes que estamos enviando al punto de acceso objetivo:

Al abrir la configuración WiFi del móvil, observamos que nos hemos quedado sin conectividad y posteriormente, no podemos conectarnos de nuevo al punto de acceso THF hasta que lo hemos reiniciado:

Como punto final os pongo una referencia a un video Youtube en el que se ve el funcionamiento de este pequeño artefacto: https://www.youtube.com/watch?v=N5JVQ-m5Kd0

Esperamos que os haya gustado, saludos !!!

“Don’t give up, great things take time”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *