HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN Học phần: An tồn mạng Bài báo cáo: Tìm hiểu cơng cụ mdk3 Kali Linux Giảng viên hướng dẫn: TS Đặng Minh Tuấn Sinh viên thực hiện: Trần Thị Mai Anh Mã SV: B18DCAT013 Hà Nội 2021 LỜI MỞ ĐẦU Ngày với tiện lợi chuẩn mạng không dây IEEE 802.11, mạng truy cập khơng dây có bùng nổ lĩnh vực tiêu dùng, công nghiệp quân Các điểm yếu giao thức 802.11 công nhận rộng rãi, điều dẫn đến gia tăng công từ chối dịch vụ Với tiểu luận với đề tài “ Tìm hiểu công cụ mdk3 Kali Linux” tìm hiểu cơng cụ mdk3 ứng dụng để hiểu rõ tiến hành thử nghiệm kiểm chứng MỤC LỤC Giới thiệu khái niệm Hướng dẫn cài đặt sử dụng Lab kịch demo .17 Một chút tìm hiểu aireplay-ng 26 So sánh MDK3 Aireplay-ng .29 Tài liệu tham khảo .30 Giới thiệu khái niệm Hiện có nhiều phương thức truyền tải thông tin qua mạng phổ biến mạng WLAN Vậy WLAN ? WLAN loại mạng máy tính việc kết nối thành phần mạng không sử dụng loại cáp mạng thông thường , môi trường truyền thông thành phần mạng khơng khí Mạng cục không dây (WLAN) thay đổi cách Internet sử dụng giới ngày Công nghệ khơng dây có nơi Sân bay, Cơng viên, Khách sạn, Quán cà phê, Trường học, Văn phòng tịa nhà, v.v Kẻ cơng bắt đầu công vào client Tấn cơng Denial-of-Service (DoS) gì? Denial-of-Service (DoS) công nhằm tắt máy ngắt kết nối, khiến người dùng ngừng truy cập Các công DoS thường hoạt động cách áp đảo làm tải mục tiêu với request xử lý, dẫn đến từ chối dịch vụ cho người dùng Trong hai trường hợp, DoS tước quyền sử dụng dịch vụ tài nguyên hợp pháp người dùng Một công DoS đặc trưng cách sử dụng máy tính để khởi động công Nạn nhân công DoS thường email, website, tài khoản trực tuyến ngồi cịn có mạng, máy chương trình Mặc dù DoS khó để đánh cắp thơng tin quan trọng, chúng khiến nạn nhân phải nhiều thời gian tiền bạc để giải hậu Bởi cơng DoS dễ dàng thực từ đối tượng nào, việc tìm kiếm người chịu trách nhiệm khó khăn Có hai phương pháp công DoS: Flooding attack crashing attack Tấn công flooding xảy hệ thống nhận lưu lượng truy cập tối đa, khiến hệ thống chạy chậm lại cuối dừng lại DoS wifi chẳng hạn Authentication DoS, Deauthentication DoS dạng công flooding Tấn công crashing khai thác lỗ hổng hệ thống dịch vụ Trong công này, tận dụng lỗi mục tiêu sau khiến hệ thống bị sập tổn hại nghiêm trọng, khơng thể truy cập tạm ngừng sử dụng Cách DoS attack hoạt động? Trọng tâm công DoS làm tải công suất máy nhắm mục tiêu, dẫn đến việc từ chối dịch vụ yêu cầu bổ sung Có nhiều điểm tương đồng công DoS lỗi kết nối mạng không độc hại như: Sự cố kỹ thuật mạng, hệ thống bảo trì Tuy nhiên, triệu chứng sau công DoS: Hiệu suất mạng chậm cách bất thường tải tệp website chậm Không thể tải website Mất kết nối đột ngột thiết bị mạng Cách tốt để phát xác định công DoS thông qua giám sát phân tích lưu lượng mạng Lưu lượng mạng giám sát thơng qua tường lửa hệ thống phát xâm nhập Một công DoS ngăn người dùng truy cập dịch vụ cách làm tải tài nguyên vật lý kết nối mạng họ Cuộc công làm ngập dịch vụ với nhiều lưu lượng liệu mà khơng khác sử dụng luồng độc hại xử lý Một cách để làm tải tài nguyên vật lý dịch vụ gửi cho nhiều yêu cầu thời gian ngắn đến mức chiếm hết hard disk space, memory CPU time có sẵn Trong trường hợp cực đoan, điều chí dẫn đến thiệt hại thành phần vật lý cho tài nguyên Tương tự, để phá vỡ kết nối mạng dịch vụ, cơng DoS gửi input khơng hợp lệ, không định dạng số lượng lớn yêu cầu kết nối đến Trong điều giải quyết, yêu cầu kết nối từ người dùng hợp pháp khơng thể hồn thành Đôi khi, công DoS khai thác lỗ hổng chương trình website để buộc sử dụng tài nguyên kết nối mạng không cách, điều dẫn đến việc từ chối dịch vụ Một số phần mềm độc hại bao gồm khả khởi chạy công DoS Khi chúng lây nhiễm máy tính thiết bị, mối đe dọa sử dụng tài nguyên máy bị nhiễm để thực công Nếu nhiều máy bị nhiễm khởi chạy công vào mục tiêu, gọi công Distributed-Denial-of-Service (DDoS) Khối lượng liệu sử dụng công DoS DDoS lớn, lên tới tốc độ vài gigabit giây Botnet thường sử dụng để thực cơng DDoS, nhiều dịch vụ khơng có tài nguyên cần thiết để chống lại cơng từ hàng ngàn, chí hàng trăm ngàn thiết bị bị nhiễm Không giống virus malware, công DoS không phụ thuộc vào chương trình để chạy Thay vào đó, lợi dụng lỗ hổng cố hữu cách mạng máy tính giao tiếp Trong cơng DoS, máy tính trang bị để gửi khơng lời giới thiệu vào server, mà hàng trăm hàng ngàn Server biết lời giới thiệu giả, gửi lại response, đợi tối đa phút trường hợp để nghe response Khi không nhận response, server tắt kết nối máy tính thực cơng lặp lại, gửi loạt yêu cầu giả mạo Các công DoS chủ yếu ảnh hưởng đến tổ chức, kết nối Đối với người dùng, công cản trở truy cập dịch vụ, website DoS wifi kĩ thuật công đơn giản hậu để lại lớn Giống DoS thường gặp công vào Web / Server việc cơng vào AP ( Điểm truy cập Wifi ) với mục đích làm gián đoạn hoạt động mạng Wifi Tin tặc công cách thực số thăm dị mạng khơng dây xung quanh, xác thực điểm truy cập không dây tin tặc gởi deauthentication packets hợp lệ đến client kết nối đến access point MDK3 công cụ khai thác vào điểm yếu giao thức mạng không dây IEEE 802.11 Có chức hay dùng cơng cụ này: tạo điểm truy cập (Access Point – AP) giả, hai công DoS (Denial of Service – từ chối dịch vụ), tức tạo nhiều client giả mạo đòi yêu cầu kết nối với router wifi, dẫn tới việc tải cho router khiến thiết bị tạm thời ngắt hết kết nối khởi động lại Mức độ thành công mdk3 phụ thuộc nhiều vào cường độ tín hiệu máy cơng Do tốt nên sử dụng modem wifi cắm Hướng dẫn cài đặt cách sử dụng Mdk3 cài đặt sẵn Kali Linux Cài đặt Musket modification (mod-musket-r1) Kali Linux Cài đặt Linux (Debian, Mint, Ubuntu) 10 11 12 13 14 15 16 17 18 19 20 21 MDK USAGE: mdk3 [test_options] Try mdk3 fullhelp for all test options Try mdk3 help for info about one test only TEST MODES: b - Beacon Flood Mode Sends beacon frames to show fake APs at clients This can sometimes crash network scanners and even drivers a - Authentication DoS mode Sends authentication frames to all APs found in range Too much clients freeze or reset some APs p - Basic probing and ESSID Bruteforce mode Probes AP and check for answer, useful for checking if SSID has been correctly decloaked or if AP is in your adaptors sending range SSID Bruteforcing is also possible with this test mode d - Deauthentication / Disassociation Amok Mode Kicks everybody found from AP m - Michael shutdown exploitation (TKIP) Cancels all traffic continuously x - 802.1X tests w - WIDS/WIPS Confusion Confuse/Abuse Intrusion Detection and Prevention Systems f - MAC filter bruteforce mode 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 g b a This test uses a list of known client MAC Adresses and tries to authenticate them to the given AP while dynamically changing its response timeout for best performance It currently works only on APs who deny an open authentication request properly - WPA Downgrade test deauthenticates Stations and APs sending WPA encrypted packets With this test you can check if the sysadmin will try setting his network to WEP or disable encryption - Beacon Flood Mode Sends beacon frames to show fake APs at clients This can sometimes crash network scanners and even drivers OPTIONS: -n Use SSID instead of randomly generated ones -f Read SSIDs from file -v Read MACs and SSIDs from file See example file -d Show station as Ad-Hoc -w Set WEP bit (Generates encrypted networks) -g Show station as 54 Mbit -t Show station using WPA TKIP encryption -a Show station using WPA AES encryption -m Use valid accesspoint MAC from OUI database -h Hop to channel where AP is spoofed This makes the test more effective against some devices/drivers But it reduces packet rate due to channel hopping -c Fake an AP on channel If you want your card to hop on this channel, you have to set -h option, too -s Set speed in packets per second (Default: 50) - Authentication DoS mode Sends authentication frames to all APs found in range Too much clients freeze or reset almost every AP OPTIONS: -a Only test the specified AP -m Use valid client MAC from OUI database -c Do NOT check for test being successful -i Perform intelligent test on AP (-a and -c will be ignored) This test connects clients to the AP and reinjects sniffed data to keep the -s Set speed in packets per second (Default: unlimited) 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 p d m x - Basic probing and ESSID Bruteforce mode Probes AP and check for answer, useful for checking if SSID has been correctly decloaked or if AP is in your adaptors sending range Use -f and -t option to enable SSID Bruteforcing OPTIONS: -e Tell mdk3 which SSID to probe for -f Read lines from file for bruteforcing hidden SSIDs -t Set MAC adress of target AP -s Set speed (Default: unlimited, in Bruteforce mode: 300) -b Use full Bruteforce mode (recommended for short SSIDs only.) Use this switch only to show its help screen - Deauthentication / Disassociation Amok Mode Kicks everybody found from AP OPTIONS: -w Read file containing MACs not to care about (Whitelist mode) -b Read file containing MACs to run test on (Blacklist Mode) -s Set speed in packets per second (Default: unlimited) -c [chan,chan,chan, ] Enable channel hopping Without providing any channels, mdk3 will hop an al 14 b/g channels Channel will be changed every seconds - Michael shutdown exploitation (TKIP) Cancels all traffic continuously -t Set Mac address of target AP -w Seconds between bursts (Default: 10) -n Set packets per burst (Default: 70) -j Use the new TKIP QoS-Exploit Needs just a few packets to shut AP down -s Set speed (Default: 400) - 802.1X tests - EAPOL Start packet flooding -n Use SSID -t Set MAC address of target AP -w Set WPA type (1: WPA, 2: WPA2/RSN; default: WPA) -u Set unicast cipher type (1: TKIP, 2: CCMP; default: TKIP) -m Set multicast cipher type (1: TKIP, 2: CCMP; default: TKIP) -s Set speed (Default: 400) - EAPOL Logoff test -t 10 If a station wants to leave a network, it sends a Deauthentication packet to the AP to deregister itself from it Additionally, the AP is allowed to disconnect stations when it thinks it is necessary (for example, the AP is full, and the oldest stations gets kicked from it to allow new clients to connect) As far as those packets are not encrypted our signed (if you are not using the new amendment IEEE_802.11w), an attacker can easily forge them to disconnect legitimate clients from your AP mdk3 is capable of creating different types of those packets, with different options: Deauthentication from AP to client: mdk3 injects a deauthentication packet with the MAC Adress of the AP to the Station, telling the station is has been disconnected for unspecified reasons Deauthentication from client to AP: mdk3 injects a deauthentication packet from the Station to the AP, telling the AP, the station is leaving the network Disassociation from AP to client: mdk3 tells the client, it has been kicked because the AP is full Disassociation from client to AP: mdk3 tells the AP, the client is leaving the network mdk3 listens on the current channel for Data packets, extracts the addresses of AP and Station from them, and sends one packet of each type Every second, a status message is displayed, if something has happened 16 Lab kịch demo Tấn công Authentication DoS - Trước tiên khởi động máy ảo Kali (sử dụng card wifi usb rời) boot kali USB Và kiểm tra card mạng kết nối - Mở cửa số Terminal chuyển đổi card mạng thành chế độ Monitor lệnh airmon-ng start 17 - Sau kiểm tra wifi tồn xung quanh lệnh: airodump-ng - Chọn mục tiêu muốn cơng sau dùng lệnh mdk3 a -a < địa mac> mdk3 wlan0 a -a 00:1C:E0:38:4B:3F (ở chọn công dos vào Access ChungCuMini) 18 Kết ping đến mạng không lên mạng Tấn công Deauthentication Deauthentication attack kiểu công từ chối dịch vụ nhắm mục tiêu đến liên lạc người dùng điểm truy cập khơng dây Wi-Fi Nói cách khác, kiểu công sử dụng để ngắt kết nối thiết bị khơng dây gần khỏi điểm truy cập cách gửi khung xác nhận từ địa MAC giả mạo Tấn công không qua chứng thực khai thác gần hoàn hảo lỗi nhận dạng mạng 802.11 Trong mạng 802.11 nút gia nhập vào mạng phải qua trình xác nhận trình có liên quan khác sau phép truy cập vào mạng Bất kỳ nút vị trí gia nhập vào mạng việc sử dụng khố chia sẻ vị trí nút để biết mật mạng Sau trình xác nhận, nút tới q trình có liên quan để trao đổi liệu quảng bá toàn mạng Trong suốt q trình chứng thực có vài tin liệu, quản lý điều khiển chấp nhận Một 19 tin mang lại cho nút khả địi hỏi khơng qua chứng thực từ nút khác Bản tin sử dụng nút muốn chuyển hai mạng không dây khác Ví dụ vùng tồn nhiều mạng khơng dây nút sử dụng tin Khi nút nhận tin “khơng qua chứng thực” tự động rời khỏi mạng quay trở lại trạng thái gốc ban đầu Trong cơng không qua chứng thực, tin tặc sử dụng nút giả mạo để tìm địa AP điều khiển mạng Khơng q khó để tìm địa AP khơng bảo vệ thuật tốn mã hố, địa chúng tìm thấy lắng nghe lưu lượng AP nút khác Khi tin tặc có địa AP, chúng gửi quảng bá tin khơng chứng thức tồn mạng khiến cho nút mạng dừng trao đổi tin với mạng Sau tất nút cố kết nối lại, chứng thực lại liên kết lại với AP nhiên việc truyền tin không qua chứng thực lặp lại liên tục khiến cho mạng rơi vào tình trạng bị dừng hoạt động 20 21 mdk3 nhảy kênh 1, 11 đồng thời ngắt kết nối station tìm thấy Hầu hết station cố gắng kết nối lại, nhiên gần liên lạc chúng bị ngắt kết nối lần sau chúng yêu cầu lại địa IP với DHCP ARP Điều kích hoạt chu kỳ deauthentication khác mdk3 Sử dụng 802.11w có sẵn số hệ thống phát xâm nhập IDS để phát công vào mạng bạn Bạn muốn kiểm tra xem mạng bị cơng từ chối dịch vụ hay khơng Vì trước tiên bạn thử công đơn giản để xem cách AP bạn xử lý nhiều client kết nối Thông thường giới hạn định (128 256 client), AP từ chối thêm client Các AP giá rẻ có xu hướng treo máy cần reset, cẩn thận với điều Giả sử AP bạn có địa MAC 00: 00: 11: 22: 33: 44, bước kiểm tra đầu tiên: a kích hoạt chế độ Auth DoS -a chọn AP mục tiêu bạn -m mdk3 sử dụng địa hợp lệ để việc lọc trở nên khó Sau vài giây, mdk3 hiển thị thông báo sau: AP 00:00:11:22:33:44 is responding: AP bạn phản hồi client giả mạo mdk3 Điều cho bạn biết thử nghiệm bạn hoạt động 22 AP 00:00:11:22:33:44 has stopped responding and seems to be frozen after 157 clients: AP bạn ngừng phản hồi yêu cầu mdk3 Kiểm tra xem AP bạn có cịn hoạt động hay khơng Nếu khơng, dễ bị công Auth DoS cần phải reset xảy Bạn nên yêu cầu sửa chữa từ nhà cung cấp AP 00:00:11:22:33:44 is reporting ERRORs and denies connections after 251 clients: AP bạn ngừng chấp nhận client mới, gặp cố mà từ chối client Mạng bạn FULL hoạt động Tuy nhiên, bạn kết nối với AP client giả mạo từ mdk3 hết thời gian sử dụng AP chấp nhận lại client Điều khơng có sai, điều kiện DoS tuân theo tiêu chuẩn IEEE 802.11 Sau đó, bạn muốn thử kiểm tra xem AP bạn có khó phân biệt client giả client thật Điều gây tình trạng Từ chối Dịch vụ liên tục cho client công diễn Và sau client hợp pháp ngắt kết nối, khơng thể tham gia lại mạng mdk3 thống kê giây:         Created: Số lượng client giả mạo mdk3 xử lý cố gắng kết nối giữ kết nối với mạng Authenticated: Số chu kỳ xác thực thành công Associated: Số chu kỳ Assocation thành công Denied: Số chu kỳ khơng thành cơng (vì AP full) Got kicked: Số lượng client giả mạo kết nối AP gửi gói Deauthentication đến Captured: Số lượng gói liệu VALID chụp Sent: Số gói liệu gửi đến mạng với danh tính client giả mạo Responses: Số phản hồi mà client giả nhận sau gửi liệu 23  Relayed: Số lượng gói liệu mà AP chấp nhận từ client giả mạo (nếu chặn gói chuyển tiếp, AP chuyển tiếp gói đến để biết chấp nhận gói) Trong demo này, cơng thơng minh bắt đầu khoảng 10 phút sau cơng tiêu chuẩn Như bạn thấy, AP VẪN từ chối client Vì vậy, cẩn thận bạn kiểm tra mạng khơng có đủ downtime Giả sử bạn có mạng quan trọng bảo mật tốt Giả sử mạng sử dụng vài tháng, kẻ cơng khơng may mắn bắt client xác thực Bạn định thêm số bảo mật cho mạng cách tắt tính phát SSID Bằng cách đó, kẻ cơng khơng thể kết nối với khơng biết SSID nó, khơng thể thực công Từ chối Dịch vụ Xác thực Bạn chọn SSID ngắn, bạn thêm ký tự đặc biệt vào với hy vọng khơng thể đốn được: aa1* Hãy kiểm tra xem SSID giải mã công Wordlist hay không: Thật đáng buồn, AP bạn ghi đè SSID ZEROS khơng phải thẻ độ dài nó, mdk3 biết SSID bạn dài ký tự Do đó, thử từ tệp định dài ký tự May mắn thay, aa1* không tìm thấy danh sách mdk3 khơng thể tìm thấy SSID ẩn Bây kẻ cơng cố gắng sử dụng Bruteforce SSID ngắn Giả sử kẻ công thử số ký tự cuối muốn thử tất ký tự có thể: 24 Lần mdk3 thành cơng -b lnus có nghĩa bắt đầu chữ thường, sau số, sau chữ hoa cuối ký hiệu Sau khoảng 2500 lần thử, SSID tìm thấy Do sử dụng SSID dài 25 Một chút tìm hiểu aireplay-ng Giống mdk3 sau thực lệnh airmon-ng airodump-ng hướng dẫn phía ta bắt đầu sử dụng aireplay-ng - Mở cửa sổ Terminal khác, gõ lệnh sau (chú ý phải quyền root): aireplay-ng deauth [10] -a [mã_bssid] [interface] Thực xong lệnh trên, trở lại cửa sổ vừa Khi lên “WPA handshake” Lúc thư mục bạn định (ở Desktop) xuất file, có file cap Ở bước này, có WPA handshake, file cap bạn chứa mật bị mã hoá mà bạn lấy cắp từ người kết nối với wifi Vấn đề lại giải mã file để lấy mật khẩu, đến ta dùng đến aircrack-ng với phương pháp brute force dictionary force để mò mật 26 Dùng từ điển: aircrack-ng -w [đường_dẫn_tới_file_từ_điển] -b [mã_bssid] [đường_đẫn_file_cap] Ví dụ aircrack-ng -w /root/Downloads/tudien.txt -b 90:8D:78:75:6D:4C /root/Desktop/ABCDEF-01.cap Hoặc gieo với lệnh crunch: crunch [độ_dài_min] [độ_dài_max] [liệt_kê_kí_tự] [tuỳ_chọn_thêm] | aircrack-ng -b [mã_bssid] -w[đường_dẫn_file_cap] Nếu tìm có kết này: “KEY FOUND!” 27 Sau phá mật dù thành công chưa thành cơng, ta cần trả lại trạng thái lúc đầu card wifi Tắt phiên làm việc wlp6s0mon với lệnh airmon-ng stop wlp6s0mon khởi động lại chương trình quản lý kết nối network lệnh service network-manager restart - Tấn công deauthentication sử dụng aireplay-ng aireplay-ng -0 -a [MAC address] [interface] 28 So sánh MDK3 Aireplay-ng Aireplay-ng hoạt động lỗi Q trình Deauthentication thực nhanh chóng, user chọn khoảng thời gian khử xác thực (0 cho vô hạn) Mặc dù việc gửi deauthentication packet (gói khử xác thực) khơng hoạt động hầu hết trường hợp Aireplay trực tiếp không hoạt động số AP Client gửi deauth packet (gói khử xác thực) không giống MDK3 dẫn đến thất bại Ngược lại MDK3 phần mềm sử dụng thư viện OSDEP từ dự án aircrack-ng thực điều tương tự với chắn MDK3 gửi hai deauth packet (gói khử xác thực) deassociation packet (gói loại bỏ liên kết) giúp vượt trội công việc Và MDK3 cung cấp tùy chọn phù hợp người dùng nâng cao MDK3 vượt trội hơn, trình khử xác thực chậm thực thi, thử nghiệm mạng khác giúp dễ dàng kết nối trao đổi thông tin với mdk3 so với aireplay-ng 29 Tài liệu tham khảo https://en.kali.tools/?p=34 https://en.wikipedia.org/wiki https://viblo.asia https://kalilinuxtutorials.com/mdk3 https://www.kali.org/tools/aireplay-ng http://www.aircrack-ng.org 30 ... [chan,chan,chan, ] Enable channel hopping Without providing any channels, mdk3 will hop an al 14 b/g channels Channel will be changed every seconds - Michael shutdown exploitation (TKIP) Cancels... channel where AP is spoofed This makes the test more effective against some devices/drivers But it reduces packet rate due to channel hopping -c Fake an AP on channel If you want... you can check, if an AP is in your range (ie if you can reach it and it reaches you) Most APs have a feature called "hidden SSID" With a hidden SSID, a network cannot be "found" with Windows, and