Давайте рассмотрим особенности адаптеров и добавим мощности нашему донглу. Это необходимо, чтобы использовать ускоренные способы взлома, принудительно отключать беспроводные клиенты, атаковать скрытые сети и обходить фильтрацию по MAC-адресам.
Увеличиваем мощность Wi-Fi-адаптера
Сильнее всего на эффективность атаки влияет уровень сигнала. Твой донгл должен быть достаточно чувствительным, чтобы услышать слабый сигнал атакуемых точек доступа и перехватить все пакеты хендшейка. Одновременно ему нужен мощный передатчик, иначе отсылаемые им команды деавторизации или перебора WPS-пинов не достигнут цели.
Чувствительность приемника
Чем тише ты становишься, тем больше сможешь услышать — таков девиз Offensive Security, продвигающей популярный дистрибутив Kali Linux. Применительно к вардрайвингу он означает, что слушать эфир, находить в нем точки доступа Wi-Fi (далее — AP, access points) и собирать хендшейки нужно с максимально чувствительным приемником. То есть с таким адаптером, у которого высокое соотношение сигнал/шум.
Наивно ожидать его от USB-свистков со встроенными антеннами — у них очень слабый приемник, а слишком близко расположенные электронные компоненты генерируют сильные помехи. Поэтому важно выбрать Wi-Fi-адаптер не только с подходящим чипом, но и с адекватной схемотехникой (а в идеале — с хорошим экранированием).
Традиционно по этому показателю лидирует Alfa Network. Даже современные удешевленные ревизии без экранирующей пластины показывают чудеса. Например, AWUS051NH v2 лишен экранирования, но сделан все на том же чипе RT3572, и сделан качественно.
У него «правильный» чип RT3572 и весьма неплохая схемотехника (хотя у старых адаптеров от Alfa Network она еще лучше). За две минуты сканирования в моем тесте он поймал 70 точек доступа с уровнем сигнала 18 дБм и выше.
Сравним с результатами другого адаптера — Netis WF2150. Аналогичное место и время, те же две минуты сканирования.
Всего 49 AP, а уровень сигнала от большинства из них упал ниже 18 дБм. Несмотря на «правильный» чип RT5572N, результаты оказываются плачевными из-за примитивной схемы самого адаптера. Как уже писал ранее, можно его разобрать и подключить внешнюю антенну к миниатюрному гнезду на плате. Однако коэффициент усиления (КУ) внешней антенны — тоже палка о двух концах, поскольку вместе с полезным сигналом растет и уровень шумов.
Прежде чем менять антенну, обрати внимание на диаграмму направленности и поэкспериментируй с частично направленными антеннами. Узким лучом «яги» сложно прицелиться, а вот панельные антенны оказались очень удобны на практике. Они дадут тебе широкий сектор градусов в шестьдесят. По выбранному направлению они продемонстрируют результат примерно в шесть раз лучше, чем если бы ты размахивал полуметровым диполем.
Антенна с более высоким КУ порой дает результаты хуже, чем штатная кроха на 3 дБи. Поэтому смотри на тип антенны, расположение антенного модуля и его экранирование, а не пытайся сравнивать децибелы в лоб и просто взять палку подлиннее. Только сочетание чипа с поддержкой режима мониторинга и приемника с высокой чувствительностью позволит захватить качественные хендшейки, содержащие всю необходимую информацию для восстановления пароля подключения.
Мощность передатчика
Сидеть в засаде с чувствительным приемником совершенно безопасно, однако прождать сбор хендшейков можно не один час. Продвинутые атаки на беспроводные сети занимают минуты и строятся на том, что ты действуешь активно. Например, рассылаешь пакеты деавторизации, вынуждая легальные клиенты атакуемой точки доступа выполнять постоянный реконнект. Либо ты просто глушишь реальную AP, подменяя ее в эфире своим «злым клоном», и напрямую получаешь пароли от доверчивых клиентских устройств. Все это требует мощного передатчика, но где его взять?
Есть два варианта: сразу обзавестись мощным либо прибавить мощности имеющемуся. В первом случае могут быть проблемы с покупкой, особенно из-за рубежа. Устройства с мощностью выше 100 мВт часто задерживают на таможне. Плюс любая покупка требует затрат, поэтому рассмотрим второй вариант.
По умолчанию все Wi-Fi-модули стартуют на минимальной мощности. В таком режиме они запускаются согласно стандарту ISO 3166, который отражен в базе данных беспроводных устройств. В Linux это wireless regulatory database. В Kali Linux (включая Nethunter) она находится по адресу /lib/crda/regulatory.bin. Этот файл считывает агент центральной базы данных регламентированных настроек (Central Regulatory Domain Agent — CRDA) и отправляет ядру информацию о том, какая мощность допустима для передатчика в данном регионе. Таким образом, в ОС действует общая системная настройка мощности передатчика для любых Wi-Fi-адаптеров на конкретном беспроводном интерфейсе.
По умолчанию обычно задан какой-нибудь код из региона EMEA, где разрешаются только жалкие 100 мВт (20 дБм). Поэтому, подключив любой донгл, ты будешь тщетно слать пакеты deauth и пытаться заглушить найденные AP. Мало кто услышит твои 20 дБм, а львиная доля команд отфильтруется целевыми устройствами как помехи.
Посмотреть текущий регион, доступные каналы и разрешенные пределы мощности можно командой iw list, однако ее выдача получается очень длинной (на несколько экранов).
Быстро проверить MAC-адрес и заданную мощность передатчика удобнее командой iw имя_интерфейса> info.
Во времена BackTrack можно было просто взять адаптер посерьезнее (например, от Alfa Network) и сразу получить прибавку мощности. Дело в том, что в них изначально был прошит такой региональный код, который позволяет использовать большую мощность. Например, код «BO» — Боливия. Когда-то там была разрешена мощность передатчиков IEEE 802.11b/g/n до 2000 мВт (33 дБм). Это в двадцать раз больше значения по умолчанию в России. Сейчас в Боливии действует ограничение в 30 дБм (1000 мВт), но это все равно на порядок лучше дефолтных настроек.
Сегодня региональные настройки ужесточились, а одна и та же модель обзавелась парой-тройкой ревизий. Поэтому каждая покупка «Альфы» превратилась в лотерею. Можно нарваться на удешевленную ревизию или просто грубую подделку. Напрашивается вывод: надо вручную сменить регион, подключить «Альфу» или другой проверенный адаптер, задать более высокую мощность передатчика и наслаждаться жизнью. Действительно, в большинстве дистрибутивов для пентеста это делается просто. Я специально проверил пять разных: Kali, BugTraq II, Backbox, Cyborg и Matriux. Везде команда смены региона и увеличения мощности сработала буквально в пять строк.
Какие-то особенности были только в Backbox. Название беспроводного интерфейса в нем выглядит как wlxmac, где вместо mac — адрес адаптера, записанный в нижнем регистре. Утилита macchanger отрабатывает корректно, однако название интерфейса остается прежним. Это надо учесть в последней команде его активации (см. далее по тексту).
Общий принцип софтового увеличения мощности передатчика простой, но тут важны детали. Поэтому разберем его пошагово на примере Kali 2018.1.
Практически все команды выполняются от имени суперпользователя. Запусти терминал под рутом или дописывай sudo в начале каждой строки.
Сначала мы определяем имена беспроводных интерфейсов командой iwconfig. Видим, к примеру, wlan0 и wlan1 — как понять, какой из них нужный? Кроме многократно описанных красноглазых способов, есть и другие — быстрые и гарантированные.
Первый способ: физически отключаем USB-донгл и пишем команду iwconfigзаново. Тот интерфейс, которого теперь нет в списке, и был нужным.
Второй способ: вызываем wifite. Он хоть и считается примитивным скриптом, зато сразу спрашивает, какой интерфейс использовать, и обозначает их уже более внятно — с указанием чипсета и задействованных драйверов. Если в названии wlan есть известный чипсет и окончание USB — он и нужен.
После того как определились с названием беспроводного интерфейса, отключаем его.
ifconfig wlan1 down
На этом этапе желательно сменить MAC-адрес адаптера.
macchanger -r wlan1
Ключ -r задает случайный адрес, а если хочешь указать определенный, используй ключ --mac. Например:
macchanger --mac=2F:4B9:33:89:0B wlan1
Напоминаю, что первые три цифры указывают производителя. Их список (OUI vendor list). Он пригодится, если ты хочешь сымитировать подключение от устройства другого вендора или не слишком выдавать атаку полностью случайным MAC-адресом. К тому же многие AP сегодня сверяются с OUI и просто отказывают в подключении клиентам с MAC-адресом неизвестного производителя.
Теперь задаем название региона, в котором разрешены передатчики мощностью 30 дБм или выше.
iw reg set BO
Помимо BO, для повышения мощности также успешно используются регионы AM, BZ, GR, GY, NZ, VE и другие (полный список смотри в файле db.txt, ссылка на него есть во врезке далее по тексту). Опционально проверяем новую установку региона:
iw reg get
Далее меняем системную настройку допустимой мощности для выбранного беспроводного интерфейса:
iwconfig wlan1 txpower 30
Поднимаем его:
ifconfig wlan1 up
и проверяем результат:
iwconfig
Должно получиться примерно так, как на скриншоте ниже.
Если не удалось, то внимательно проверь команды еще раз. Также учти, что общую настройку iw reg setможет игнорировать драйвер. На моей практике такое встречал
Увеличиваем мощность Wi-Fi-адаптера
Сильнее всего на эффективность атаки влияет уровень сигнала. Твой донгл должен быть достаточно чувствительным, чтобы услышать слабый сигнал атакуемых точек доступа и перехватить все пакеты хендшейка. Одновременно ему нужен мощный передатчик, иначе отсылаемые им команды деавторизации или перебора WPS-пинов не достигнут цели.
Чувствительность приемника
Чем тише ты становишься, тем больше сможешь услышать — таков девиз Offensive Security, продвигающей популярный дистрибутив Kali Linux. Применительно к вардрайвингу он означает, что слушать эфир, находить в нем точки доступа Wi-Fi (далее — AP, access points) и собирать хендшейки нужно с максимально чувствительным приемником. То есть с таким адаптером, у которого высокое соотношение сигнал/шум.
Наивно ожидать его от USB-свистков со встроенными антеннами — у них очень слабый приемник, а слишком близко расположенные электронные компоненты генерируют сильные помехи. Поэтому важно выбрать Wi-Fi-адаптер не только с подходящим чипом, но и с адекватной схемотехникой (а в идеале — с хорошим экранированием).
Традиционно по этому показателю лидирует Alfa Network. Даже современные удешевленные ревизии без экранирующей пластины показывают чудеса. Например, AWUS051NH v2 лишен экранирования, но сделан все на том же чипе RT3572, и сделан качественно.
У него «правильный» чип RT3572 и весьма неплохая схемотехника (хотя у старых адаптеров от Alfa Network она еще лучше). За две минуты сканирования в моем тесте он поймал 70 точек доступа с уровнем сигнала 18 дБм и выше.
Сравним с результатами другого адаптера — Netis WF2150. Аналогичное место и время, те же две минуты сканирования.
Всего 49 AP, а уровень сигнала от большинства из них упал ниже 18 дБм. Несмотря на «правильный» чип RT5572N, результаты оказываются плачевными из-за примитивной схемы самого адаптера. Как уже писал ранее, можно его разобрать и подключить внешнюю антенну к миниатюрному гнезду на плате. Однако коэффициент усиления (КУ) внешней антенны — тоже палка о двух концах, поскольку вместе с полезным сигналом растет и уровень шумов.
Прежде чем менять антенну, обрати внимание на диаграмму направленности и поэкспериментируй с частично направленными антеннами. Узким лучом «яги» сложно прицелиться, а вот панельные антенны оказались очень удобны на практике. Они дадут тебе широкий сектор градусов в шестьдесят. По выбранному направлению они продемонстрируют результат примерно в шесть раз лучше, чем если бы ты размахивал полуметровым диполем.
Антенна с более высоким КУ порой дает результаты хуже, чем штатная кроха на 3 дБи. Поэтому смотри на тип антенны, расположение антенного модуля и его экранирование, а не пытайся сравнивать децибелы в лоб и просто взять палку подлиннее. Только сочетание чипа с поддержкой режима мониторинга и приемника с высокой чувствительностью позволит захватить качественные хендшейки, содержащие всю необходимую информацию для восстановления пароля подключения.
Мощность передатчика
Сидеть в засаде с чувствительным приемником совершенно безопасно, однако прождать сбор хендшейков можно не один час. Продвинутые атаки на беспроводные сети занимают минуты и строятся на том, что ты действуешь активно. Например, рассылаешь пакеты деавторизации, вынуждая легальные клиенты атакуемой точки доступа выполнять постоянный реконнект. Либо ты просто глушишь реальную AP, подменяя ее в эфире своим «злым клоном», и напрямую получаешь пароли от доверчивых клиентских устройств. Все это требует мощного передатчика, но где его взять?
Есть два варианта: сразу обзавестись мощным либо прибавить мощности имеющемуся. В первом случае могут быть проблемы с покупкой, особенно из-за рубежа. Устройства с мощностью выше 100 мВт часто задерживают на таможне. Плюс любая покупка требует затрат, поэтому рассмотрим второй вариант.
По умолчанию все Wi-Fi-модули стартуют на минимальной мощности. В таком режиме они запускаются согласно стандарту ISO 3166, который отражен в базе данных беспроводных устройств. В Linux это wireless regulatory database. В Kali Linux (включая Nethunter) она находится по адресу /lib/crda/regulatory.bin. Этот файл считывает агент центральной базы данных регламентированных настроек (Central Regulatory Domain Agent — CRDA) и отправляет ядру информацию о том, какая мощность допустима для передатчика в данном регионе. Таким образом, в ОС действует общая системная настройка мощности передатчика для любых Wi-Fi-адаптеров на конкретном беспроводном интерфейсе.
По умолчанию обычно задан какой-нибудь код из региона EMEA, где разрешаются только жалкие 100 мВт (20 дБм). Поэтому, подключив любой донгл, ты будешь тщетно слать пакеты deauth и пытаться заглушить найденные AP. Мало кто услышит твои 20 дБм, а львиная доля команд отфильтруется целевыми устройствами как помехи.
Посмотреть текущий регион, доступные каналы и разрешенные пределы мощности можно командой iw list, однако ее выдача получается очень длинной (на несколько экранов).
Быстро проверить MAC-адрес и заданную мощность передатчика удобнее командой iw имя_интерфейса> info.
Во времена BackTrack можно было просто взять адаптер посерьезнее (например, от Alfa Network) и сразу получить прибавку мощности. Дело в том, что в них изначально был прошит такой региональный код, который позволяет использовать большую мощность. Например, код «BO» — Боливия. Когда-то там была разрешена мощность передатчиков IEEE 802.11b/g/n до 2000 мВт (33 дБм). Это в двадцать раз больше значения по умолчанию в России. Сейчас в Боливии действует ограничение в 30 дБм (1000 мВт), но это все равно на порядок лучше дефолтных настроек.
Сегодня региональные настройки ужесточились, а одна и та же модель обзавелась парой-тройкой ревизий. Поэтому каждая покупка «Альфы» превратилась в лотерею. Можно нарваться на удешевленную ревизию или просто грубую подделку. Напрашивается вывод: надо вручную сменить регион, подключить «Альфу» или другой проверенный адаптер, задать более высокую мощность передатчика и наслаждаться жизнью. Действительно, в большинстве дистрибутивов для пентеста это делается просто. Я специально проверил пять разных: Kali, BugTraq II, Backbox, Cyborg и Matriux. Везде команда смены региона и увеличения мощности сработала буквально в пять строк.
Какие-то особенности были только в Backbox. Название беспроводного интерфейса в нем выглядит как wlxmac, где вместо mac — адрес адаптера, записанный в нижнем регистре. Утилита macchanger отрабатывает корректно, однако название интерфейса остается прежним. Это надо учесть в последней команде его активации (см. далее по тексту).
Общий принцип софтового увеличения мощности передатчика простой, но тут важны детали. Поэтому разберем его пошагово на примере Kali 2018.1.
Практически все команды выполняются от имени суперпользователя. Запусти терминал под рутом или дописывай sudo в начале каждой строки.
Сначала мы определяем имена беспроводных интерфейсов командой iwconfig. Видим, к примеру, wlan0 и wlan1 — как понять, какой из них нужный? Кроме многократно описанных красноглазых способов, есть и другие — быстрые и гарантированные.
Первый способ: физически отключаем USB-донгл и пишем команду iwconfigзаново. Тот интерфейс, которого теперь нет в списке, и был нужным.
Второй способ: вызываем wifite. Он хоть и считается примитивным скриптом, зато сразу спрашивает, какой интерфейс использовать, и обозначает их уже более внятно — с указанием чипсета и задействованных драйверов. Если в названии wlan есть известный чипсет и окончание USB — он и нужен.
После того как определились с названием беспроводного интерфейса, отключаем его.
ifconfig wlan1 down
На этом этапе желательно сменить MAC-адрес адаптера.
macchanger -r wlan1
Ключ -r задает случайный адрес, а если хочешь указать определенный, используй ключ --mac. Например:
macchanger --mac=2F:4B9:33:89:0B wlan1
Напоминаю, что первые три цифры указывают производителя. Их список (OUI vendor list). Он пригодится, если ты хочешь сымитировать подключение от устройства другого вендора или не слишком выдавать атаку полностью случайным MAC-адресом. К тому же многие AP сегодня сверяются с OUI и просто отказывают в подключении клиентам с MAC-адресом неизвестного производителя.
Теперь задаем название региона, в котором разрешены передатчики мощностью 30 дБм или выше.
iw reg set BO
Помимо BO, для повышения мощности также успешно используются регионы AM, BZ, GR, GY, NZ, VE и другие (полный список смотри в файле db.txt, ссылка на него есть во врезке далее по тексту). Опционально проверяем новую установку региона:
iw reg get
Далее меняем системную настройку допустимой мощности для выбранного беспроводного интерфейса:
iwconfig wlan1 txpower 30
Поднимаем его:
ifconfig wlan1 up
и проверяем результат:
iwconfig
Должно получиться примерно так, как на скриншоте ниже.
Если не удалось, то внимательно проверь команды еще раз. Также учти, что общую настройку iw reg setможет игнорировать драйвер. На моей практике такое встречал
