Пассивные атаки

Основной целью таких атак является перехват данных, проходящих по каналам беспроводной сети. Для осуществления этого атакующему необходим компьютер с беспроводным сетевым адаптером и специальным программным обеспечением для перехвата трафика. Такое ПО получило название «сниффер» (от англ. to sniff – нюхать, принюхиваться). Яркими представителями этого класса программ являются: для ОС Windows – WinDump, Zxsniffer, Iris. Для UNIX-подобных ОС – TCPDump, Dsniff, Ethereal, Ettercap, AirSnort.

Пассивные атаки очень сложно обнаружить, т.к. никаких исходящих данных от атакующего не поступает. Системным администраторам не следует применять DHCP-серверы, или, если они так необходимы, стоит проверять лог-файлы как можно чаще. Если в сети появится неизвестный MAC-адрес, то следует считать, что это потенциальный взломщик.

Если вы обнаружили, что под окном вашей организации стоит автомобиль с подозрительной антенной, у водителя выясните назначение этой антенны. Именно он может оказаться злоумышленником.

В наше время пассивные атаки очень распространены, это даже стало хобби для многих людей. Такое занятие называется «war driving» или «war plugging» (боевое вождение или боевое присоединение). War-driver вооружаются ноутбуком, беспроводной сетевой картой и антенной помощнее. После проезда нескольких километров по мегаполису они уже имеют список ряда беспроводных сетей, 90% из которых плохо защищены.

Большинство этих «деятелей» используют бесплатную программу определения беспроводных сетей «The Netstumbler». На рисунках 2 и 3 изображено рабочее окно программы Netstumbler. Программа в основном работает с адаптерами, основанными на чипах «Hermes», так как именно они способны определять точки доступа, находящиеся в одном диапазоне и с активированным WEP. Одной из самых распространённых карт на базе чипа «Hermes» является «ORiNOCO». Другим преимуществом этой карты является возможность присоединения внешней антенны, которая в несколько раз увеличивает диапазон «видимости» сигналов точек доступа. К сожалению, карты на чипах «Hermes» не умеют работать в режиме «прослушки» (promiscuous mode). Для этих целей необходимо иметь карту на чипе «PRISM2». Большинство фирм-производителей используют именно этот чип, например, Linksys WPC. Искушенные war-driver имеют два адаптера, один для поиска сетей, другой для перехвата данных.

Несмотря на то что Netstumbler бесплатный продукт, это серьёзное и многофункциональное средство, которое является превосходным решением для поиска беспроводных сетей. Кроме того, Netstumbler может дать детальную информацию относительно найденных беспроводных сетей, эта информация может быть использована в комбинации с GPS, чтобы обеспечить точное местоположение относительно широты и долготы.

Рисунок 2. Рабочее окно программы NetStumbler

Рисунок 3. Рабочее окно программы NetStumbler

После запуска NetStumbler начинает слать широковещательные запросы несколько раз в секунду. Если одна из точек доступа ответила, NetStumbler оповещает об этом пользователя и выдаёт информацию, извлечённую из 802.11b фреймов: SSID, MAC-адрес, канал, силу сигнала и информацию о том, активирован ли WEP или нет.