СЦЕНАРІЙ АТАКИ З ВИКОРИСТАННЯМ НЕСАНКЦІОНОВАНОЇ ТОЧКИ ДОСТУПУ У МЕРЕЖАХ IEEE 802.11

One of the most serious security threats to wireless local area networks (WLANs) in recent years is rogue access points that intruders use to spy on and attack. Due to the open nature of the wireless transmission medium, an attacker can easily detect the MAC addresses of other devices, commonly used as unique identifiers for all nodes in the network, and implement a spoofing attack, creating a rogue access point, the so-called "Evil Twin". The attacker goal is to connect legitimate users to a rogue access point and gain access to confidential information. This article discusses the concept, demonstrates the practical implementation and analysis of the “Evil Twin” attack. The algorithm of the intruder's actions, the scenario of attack on the client, and also procedure for setting up the program-implemented rogue access point is shown. It has been proven that the implementation of the attack is possible due to the existence of several access points with the same service set identifier and MAC address in the same area, allowed by 802.11 standard. The reasons for failure operation of the network and possible interception of information as a result of the attack are identified, methods of detecting rogue access points are analyzed. During the experiment, observations of the 802.11 frames showed that there were deviations in the behavior of beacon frames at the time of the "Evil Twin" attack. First, the number of beacon frames coming from the access point which succumbed to the attack is increasing. Secondly, the traffic analyzer detected significant fluctuations in the values of the received signal level, which simultaneously come from a legitimate and rogue access point, which allows to distinguish two groups of beacon frames. The "Evil Twin" attack was implemented and researched using Aircrack-ng – a package of software for auditing wireless networks, and Wireshark – network traffic analyzer. In the future, the results obtained can be used to improve methods of protection against intrusion into wireless networks, in order to develop effective systems for detecting and preventing intrusions into WLAN.Однією з найсерйозніших загроз безпеці безпроводових локальних мереж (WLAN) в останні роки є шахрайські несанкціоновані точки доступу, які зловмисники використовують для шпигунства і атак. Через відкритий характер середовища передачі безпроводових мереж, зловмисник може легко виявляти МАС-адреси інших пристроїв, що зазвичай використовуються як унікальні ідентифікатори для всіх вузлів в мережі та реалізовуючи спуфінг-атаку, створювати несанкціоновану безпроводову точку доступу, так званий, "Злий двійник" (“Evil Twin”). Зловмисник має на меті перепідключити законних користувачів до шахрайської точки доступу та отримати доступ до конфіденційної інформації. У даній статті розглянуто концепцію, продемонстровано практичну реалізацію та досліджено атаку “Evil Twin”. Показано алгоритм дій зловмисника, сценарій атаки на клієнта, а також процедуру налаштування програмно-реалізованої несанкціонованої точки доступу. Доведено, що реалізація атаки можлива завдяки, дозволеному стандартом 802.11, існуванню кількох точок доступу з однаковими ідентифікатором набору послуг та MAC-адресою в одній і тій же області. Виявлено причини порушення функціонування мережі та можливого перехоплення інформації в результаті атаки, проаналізовано сучасні методи виявлення несанкціонованих точок доступу. В ході експерименту, проведено спостереження за кадрами 802.11 та показано, що існують відхилення в поведінці кадрів-маяків під час атаки "Evil Twin". По-перше кількість кадрів-маяків, які надходять від точки доступу, що піддалась атаці, зростає. По-друге, аналізатором трафіку зафіксовано суттєві флуктуації значень рівня прийнятого сигналу, які одночасно надходять від легітимної та шахрайської точки доступу, що дозволяє виділити дві групи кадрів-маяків.  Реалізація та дослідження даного виду атаки проведено з використанням пакету програм для аудиту безпроводових мереж Aircrack-ng та Wireshark для захоплення і аналізу мережного трафіку. В подальшому отримані результати можуть бути використані для вдосконалення методів захисту від стороннього втручання в безпроводові мережі, з метою розробки ефективних систем виявлення і запобігання вторгнень в WLAN

A Dynamically Refocusable Sampling Infrastructure for 802.11 Networks

The edge of the Internet is increasingly wireless. Enterprises large and small, homeowners, and even whole cities have deployed Wi-Fi networks for their users, and many users never need to--- or never bother to--- use the wired network. With the advent of high-throughput wireless networks (such as 802.11n) some new construction, even of large enterprise build- ings, may no longer be wired for Ethernet. To understand Internet traffic, then, we need to understand the wireless edge. Measuring Wi-Fi traffic, however, is challenging. It is insufficient to capture traffic in the access points, or upstream of the access points, because the activity of neighboring networks, ad hoc networks, and physical interference cannot be seen at that level. To truly understand the MAC-layer behavior, we need to capture frames from the air using Air Monitors (AMs) placed in the vicinity of the network. Such a capture is always a sample of the network activity, since it is physically impossible to capture a full trace: all frames from all channels at all times in all places. We have built a monitoring infrastructure that captures frames from the 802.11 network. This infrastructure includes several channel sampling strategies that will capture repre- sentative traffic from the network. Further, the monitoring infrastructure needs to modify its behavior according to feedback received from the downstream consumers of the captured traffic in case the analysis needs traffic of a certain type. We call this technique refocusing . The coordinated sampling technique improves the efficiency of the monitoring by utilizing the AMs intelligently. Finally, we deployed this measurement infrastructure within our Computer Science building to study the performance of the system with real network traffic