IT의 모든 기술

• 데이터를 송신 하기 전 다른 station 이 데이터를 송신 중인지를 확인하고 일정 시간 동안 대기하 는 방식 (경쟁 방식)
• 충돌을 사전에 회피함

​

• • DIFS : 회선을 초기화 하기 위한 시간 (충돌이 일어날 경우 사고처리 시간)
  • RTS : station이 사용하겠다고 알림
  • CTS : AP가 station과 Add-on을 하겠다고 broadcast로 뿌림
  • SIFS : 데이터를 보내기 전의 지연시간

​

• AP (Access Point)가 단말에게 전송할 데이터가 있는지 확인 한 후, 전송할 데이터가 있는 단말에 게 전송 권한을 줌. (Token Ring 방식 유사함)
• CSMA/CA 의 경쟁방식과는 다른 무경쟁 방식
• PCF 를 사용하는 장비는 없음. (실제 지원하는 장비가 없어서 사용 못 함.)
• 결국 몰라도 된다는뜻?ㅋㅋ

​

• AP (Access Point) : 무선 단말기로부터 전달된 프레임을 다른 단말에게 중계하는 유무선 연동 브리지 기능을 수행한다. ethernet의 브리지/스위치로 간주하면 된다.

• 단말 (Station, STA) : 무선 LAN용 Network Interface Card(NIC)를 장착하여, IEEE802.11 표준에 기반한 물리계층 및 MAC 계층의 동작을 수행한다. 다른 단말과 직접 연결할 수도 있지만, AP에 연결되어 데이터 프레임을 전송한다.

• 분배시스템(DS : Distribution system) : 여러 개의 AP를 연결하는 백본망으로써, 일반적으로 ethernet이 사용되지만, AP들을 무선에 연결하는 경우 도 있다.

• 기본 서비스 집합 (BSS : Basic Service Set) : 하나의 AP와 이것에 접속된 단말로 구성된 그룹이다. BSSID는 해당 AP의 MAC주소이다.

• 확장 서비스 집합 (ESS : Extended Service Set) : 여러 개의 BSS들, 즉, 여러 개의 AP들이 ethernet을 사용한 분배망에 연결되어, 각 단말들간에 상호 접속이 가능한 확장된 그룹이다. ESSID는 논리적으로 ESS를 구분하는 식별자로서 문자열이다. 동일한 ESS에 속한 단말들은 서로 다른 AP에 결합되어 있더라도 상호간에 통신할 수 있다.

​

​

• MAC 계층에서의 ACK 프레임 사용과 프레임 분할 기능
  • 프레임을 전달 받은 수신 측 MAC 은 반드시 이에 대한 명시적인 확인을 해 주기 위해 ACK 프레임으로 응답함.
  • 긴 프레임 전송 시 무선구간 품질을 위해 여러 개의 짧은 프레임으로 조각 내어 전송 함.(Fragmentation)
  • 무선이라는 환경으로 인해 프레임을 분할하기 때문에 응답이 없으면 데이터를 다시 보내고 다시 보내 진 데이터는 계속 쌓이게 됨.
  • 무선이 신호로 통신한다는 특징으로 인해 데이터를 받을 때 마다 정확하게 받았는지 ACK 를 날리는 것임.

​

* 데이터를 받을 때 마다 받았다는 ACK 를 날리는 것을 Positive Acknowledgement 라고 한다.

​

여기서 알수 있는 특징은 802.11MAC은 2계층인데도 불구하고 3,4계층의 역활도 수행한다. ACK 패킷을 보내고(4계층 역활), 프레임 분할(3계층 역활)을 한다. 이는 보안의 취약점의 보완과 품질 향상을 하기 위해 사용되어 진다.

​

​

• Hidden-Node 문제
  • AP 를 중심으로 통신하는 각 Station 들의 시야를 기준으로 받았을 때 자신의 캐리어 감지 범위를 벗어난 다른 Station 은 숨겨진 노드(Hidden-Node)가 됨.

​

​

• RTS (Requset To Send) /CTS (Clear To Send) 에 의한 Hidden-Node 문제 해결
  • RTS (Request To Send) - Station이 AP에게 Idle한지 물어보고 Idle하면 RTS(NAV)를 AP에게 보냄
  • CTS (Clear To Send) - AP가 RTS를 받으면 AP는 브로드케스트로 CTS(NAV)를 발생시킨다. 다른 Station은 NAV의 정보에 있는 시간 동안 송신을 연기한다.

​

• • host 가 AP 와 통신하고 있으면 다른 host 는 통신 할 수 없다.
  • 예로 Fragmentation Threshhold값을 3000이라 설정하면 NTT가 보낼 데이터값이 3000byte 이상이면 그때 1:1 통신을
  • 하기 위해 RTS를 보낼 수 있다. (1:1 점유 방지를 위함)
  • Hidden - Node 문제는 실제적 해결방안이 없다.
  • 이 방식은 실제적으로 사용 잘 안 함.

​

• 전원 공급 문제를 줄이기 위한 Power Saving Mode
  • 무선상은 엄청난 패킷들이 돌아다니고 들어온 패킷들은 어찌됬던 처리를 해야 한다.
  • 그럼 결국 베터리 소모량을 늘어날 수 밖에 없다. 이를 해결 하기 위한 방법이 이 방법이다.

​

• • Power Saving Mode
    • NTT는 power saving mode를 설정한다.
    • NTT는 설정했음을 AP에게 알려준다.
    • AP는 더 이상 NTT에게 패킷을 넘겨주지 않는다.
    • 만약 NTT에게 패킷이 왔다면 AP는 Buffer에 해당 패킷을 저장해 놓는다.
    • NTT는 다시 Awake를 AP에게 알려준다.
    • AP는 그때 Buffer에 있던 내용을 보낸다.

사용자 인증 해제 기법 : 타켓의 SSID를 확인하기 위한 사전 공격방법.

​

• Wireless Network 의 SSID를 쉽게 확인할 수 있는 공격 방법
• Legitimate User 에게 Deauthentication 프레임을 전달하여 Network와 연결이 끊어지게 한 후, Legitimate User의 re-association Request를 탐지하여 SSID를 확인함
• AP의 보안설정과는 관계없이 Management Frame은 암호화 되지 않고 인증 되어지지 않는다는 취약점을 이용함
• 암호화가 안되는 이유는 접속이 이루어지기 전단계이기 때문에 매커니즘을 넣을 수 없다.

정리하자면 Deauthenticating은 Association을 끊고 클라이언트가 AP에게 다시 세션을 맺으려고 보내는 re-association Request를 보낼 때 sniff해서 SSID 를 보기 위한 사전 작업.

​

​4Way Hand Shake

​

• 무선상에서 4Way Hand Shake는 암호화 동기화 하는 과정
• Diffie hellman과 유사

​

​deauthentication user attack 실습

• 목표 : Client 가 AP 에 접속되어 있는 걸 중간에 끼어 들어 강제로 접속을 끊는 것.
• 방법 : Kismet으로 AP의 정보를 Information gathering 한 후 알아온 정보 (BSSID, channel 등) 를 기반으로 Client의 접속을 끊음

랜카드를 모니터모드로 바꾼다. (안바꿔도 kismet을 실행하면 자동으로 바뀐다.)

Kismet을 실행한다.

* kismet 에 들어간 모습

단축키 S - C로 해당 ESSID로 들어갈 수 있고 나오는건 q 프로그램종료는 Q이다. 타켓이 접속되있을 것으로 보이는 AP로 들어간다.

bssid(AP MAC) 을 확인한다.

Iwconfig mon channel '1~11' 을 이용해서 AP와 채널을 맞춘 후 공격을 시작한다.

wireshark 를 실행한다.

wlan.bssid == 해당 BSSID 로 필터링해서 해당 패킷만 검색한다.

검색된 것 중 접속 되 있는 시스템의 ip주소를 찾아 MAC 주소를 확인한다.

​

해당 시스템 MAC을 확인했으면

Aireplay-ng -0 100 -a AP MAC -c Client MAC 내 인터페이스

를 입력해 Deauthentication 프레임을 발생시킨다.

*참고..

-0(숫자) 옵션 : Deassociation packet

100 : 카운트 할 숫자. 자기가 원하는 만큼 지정 가능.

-a : AP 의 BSSID 값

-c : 상대방의 MAC 주소

- export 로 지정해서 해 줘도 됨. (변수지정)

예)

#export BSSID=00:00:00:00:00:00

#export VICTIM=11:11:11:11:11:11

#aireplay-ng -0 10 -a $BSSID -c $VICTIM rausb0

이렇게 되면 타겟 시스템은 게속 연결이 끊기게 된다.

​

​방어

• AP에서 Deauthentication 패킷을 발생 시키지 못하게 하는 방법 밖에 없다.
• Client는 Deauthentication 패킷을 무시하게끔 하는 방법밖에 없다.
• Deauthentication packet을 차단하거나 거부할 수 있는 설정은 없기 때문에 기본적인 설정으로는 막을 수 없다.
• 일부 제품에서는 패치 된 드라이버를 설치하여 deauthentication packet이나 disassociation packet을 무시 하도록 설정 할 수 있다. 하지만 제공 안하는 곳이 더 많다.
• Deauthentication 패킷도 정상 패킷이기 때문에 제공하지 않아도 어쩔 수 없다. 정상 패킷이기 때문에 변조 됐어도 알 수 없다.
• Wireless IDS는 공격을 탐지 할 수는 있지만 공격을 멈추거나 차단할 수는 없다.
  • 관리자에게 탐지 여부를 알려줌

802.11 Layer Overview

전의 설명처럼 유선통신과 무선통신은 2계층에서 사용하는 프로토콜이 다릅니다.

무작정 해킹을 따라하는 것도 좋지만 해킹의 원리를 이해하기 위해 802.11 레이어에 대한 이해가 필요합니다.

​

먼저 무선 통신 2계층인 Data Link Layer의 생김새를 보겠습니다.

​

Data Link Layer

뭐가 뭔지 아직은 잘 모르겠죠?

​

OSI 7 Layer 중 1,2계층을 비교해보겠습니다.

3계층부터는 유선과 동일하기 때문에 볼 필요가 없습니다.

​

이해를 돕기 위해 OSI 7 Layer와 비교

1. PMD (Physical Medium Dependent)
   • 변/복조를 하는 무선 모뎀 역할을 함.
   • 각각의 전송 매체마다 다른 변/복조 방식을 사용함.
2. PLCP (Physical Layer Convergence Protocol)
   • 하부에 다양한 종류의 PMD 와 상위에 MAC 계층간의 동작을 정합시키는 역할을 수행함.
   • MAC 계층으로부터 수신된 MPDU (MAC_PDU)에 프리앰블(Preamble)과 PLCP 헤더 정보를 추가하여 PMD 에게 보냄.​
     • 프리앰블(Preamble) : 1계층 헤더
       1. 네트워크 통신에서 두 개 이상의 시스템간에 전송 타이밍을 동기화 하기 위해 사용되는 신호.
       2. 적절한 타이밍은 모든 시스템들이 정보 전달의 시작을 올바르게 해석 할 수 있도록 보장.
       3. 프리앰블은 "누군가가 지금 막 데이터를 전송하려 한다." 는 의미로서 통신 시스템들이 이해할 수 있는 일련의 특정 송 신 펄스를 정의.
       4. 이것은 정보를 수신하고 있는 시스템들이 언제 데이터 전송이 시작되는지를 올바르게 이해하도록 보장.
       5. ㅁ). 프리앰블로서 사용되는 실제 펄스들은 사용하는 네트워크 통신 기술에 따라 달라짐.
   • 한마디로 1계층과 2계층을 연결해 줌.

​802.11 Data Link Layer를 좀더 파보자

• 인캡슐레이션 (Encapsulation)

• 디캡슐레이션 (Decapsulation)

* MAC -> PLCP -> PMD -> PLCP -> MAC :

이것이 무선에 사용하기 위해 encapsulation에 추가된 것.

AP - AP, AP - NTT 간에 이정보가 추가됨.

• Managed Mode - 가장 일반적이다.
  • 무선 클라이언트(Station)가 Wireless AP 로 바로 연결 할 떄 사용
  • 모든 통신 진행을 Wireless AP 에게 맡김.
  • 가정집의 공유기가 대표적이다.

​

• Ad-Hoc Mode - Master Control Station이 없는 경우
  • 컴퓨터들이 서로에게 직접 연결하기 위해 사용하는 모드
  • 각 클라이언트가 통신에 관한 모든 책임을 지게 됨.
  • BSSID 가 랜덤하게 생성.

​

• Master Mode
  • 무선 네트워크 인터페이스 카드(NIC)가 다른 드라이버 소프트웨어와도 결합해서 작동.
  • NTT는 Master NTT를 AP로 인식한다.
  • NIC가 마스터 모드를 지원해야 가능하다.

​

• Monitor Mode
  • RFMON (Radio Frequence Monitoring) 모드이다.
  • 오고가는 패킷을 전송 받거나 전송하지는 못하지만 Monitoring이 가능해서 모든 패킷을 볼 수 있다.
  • 특징은 다른 네트워크 패킷도 볼수 있다.
  • Passive mode 이다.

​

Ad-hoc / IBSS (Independent Basic Service Set) 방식

• Station 간에 AP를 거쳐서 통신하는 것이 아닌 직접통신을 함

​

BSS(Basic Service Set)

• Infrastructure Network 의 경우 AP 를 포함한 모든 Station 을 BSS 라고 함
• AP 는 BSS 내에서 단지 마스터 제어 스테이션의 역할을 가지므로 BSS 의 일부에 속함

​

ESS(Extended Service Set)

• 하나의 AP 로 커버할 수 없는 넓거나 길이가 긴 모양의 사무실 형태에서 사용되는 토폴로지
• 여러 개의 AP 를 이용하여 하나의 네트워크를 구성하며 각 AP 들은 동일한 SSID 를 사용함
• 동일한 네트워크 ESS에서 다른 BSS로 이동할 때 사용하는 것이 로밍이다.

​

IDentifier

SSID(Service Set IDentifier)

• 동일한 WLAN 내에서 오가는 각 패킷들의 해더에 덧붙여지는 고유의 식별자이며, 하나의 WLAN 을 다른 WLAN 과 구분해 줌
• 한마디로 네트워크 이름이고 ESS를 구분시켜주는 ID이다. (SSID = ESSID)
• 동일한 WLAN 에 있는 모든 무선 장치들은 반드시 동일한 SSID 를 가져야 함
• 평문으로 전달되는 보안상의 문제점이 있음

보통 하나의 ESS 안에 하나의 BSS가 있는것이 대부분이다.

따라서 SSID = ESSID

​

​

BSSID(Basic Service Set IDentifier)

• 각 BSS 를 구분하는 48비트 길이의 값을 의미함
• Infrastructure Network 형태에서는 BSSID 는 AP 의 MAC 주소를 의미하며 Ad-Hoc Network(1:1) 형태 에서는 BSSID 가 랜덤하게 생성됨

​

​

ESSID(Extended Service Set IDentifier)

• 논리적으로 ESS 를 구분하는 문자열 형태의 식별자
• 일반적으로 SSID 와 동일한 값을 가짐

​

​

​총정리

*로밍 (Roaming)

기지국에서 기지국으로 넘어가는 것.

같은 네트워크 망에서 서로 다른 BSS 에서 다른 BSS 로 옮겨 다니는 것.

무선 인터넷의 특징 중 하나는 AP에 계속 붙으려는 성질이 있다.

연결이 끊기면 붙을 수 있는 AP를 찾아 계속 붙으려는 성질 때문에 문제가 되기도 한다.

802.11x 표준