«Ложная точка доступа — это не просто «чужой роутер» в офисе. Это физическое воплощение доверия, которое пользователи автоматически оказывают знакомому имени сети. Атака работает потому, что протокол Wi-Fi изначально не умеет проверять подлинность самой точки доступа для клиента, только клиента для точки доступа. Это фундаментальная асимметрия, на которой строится целый класс угроз.»
Ложные точки доступа и атака «Злой двойник»
Одна из базовых атак на беспроводные сети — установка злоумышленником несанкционированной точки доступа (Rogue AP) внутри или вблизи защищённого периметра. Цель — заставить пользователей подключиться к ней, приняв за легитимное сетевое оборудование. После успешного подключения атакующий получает контроль над трафиком жертв, что открывает путь для перехвата данных, внедрения вредоносного ПО или создания скрытого канала в корпоративную сеть.
Более изощрённая версия этой атаки — «Злой двойник» (Evil Twin). Здесь злоумышленник не просто ставит случайную точку доступа, а клонирует параметры реальной корпоративной сети: имя (SSID), тип шифрования, а в некоторых случаях даже подделывает MAC-адрес. Для пользователя такая сеть выглядит идентичной настоящей, особенно если сигнал от ложной точки сильнее.
Ключевой элемент атаки — подмена DNS. Контролируя точку доступа, злоумышленник может отравить кэш DNS у подключённых клиентов, подменив адреса критических сервисов (почта, портал, CRM) на фишинговые копии. Пользователь, вводя учётные данные, передаёт их напрямую атакующему.
Особую опасность представляют публичные сети, использующие Captive Portal — страницу с авторизацией или принятием условий использования. Злоумышленник может создать его точную копию, собирая данные для входа, email-адреса или демонстрируя рекламу с эксплойтами. Защита строится на использовании криптографических протоколов (DNSSEC, HTTPS), фильтрации пакетов на стороне клиента и функций обнаружения спуфинга в современных Wi-Fi-стеках.
Атаки на деаутентификацию и разрыв связи
Чтобы принудительно перевести клиентов на свою ложную точку доступа, злоумышленник может разорвать их существующее соединение с легитимной сетью. Для этого используется деаутентификационная (Deauthentication) или деассоциационная атака.
Суть в отправке поддельных управляющих кадров от имени точки доступа клиенту (или от имени клиента точке доступа) с командой на немедленное отключение. Поскольку такие кадры в базовых реализациях 802.11 не защищены криптографически и не требуют подтверждения, клиент вынужден разорвать сессию. После этого он автоматически попытается переподключиться, и если в эфире есть более мощный сигнал «Злого двойника» с тем же SSID, высока вероятность подключения именно к нему.
Практическая реализация часто использует инструменты вроде Aircrack-ng. Сначала с помощью airodump-ng проводится разведка: определяется канал (CH), имя сети (ESSID), MAC-адрес целевой точки доступа (BSSID) и подключённых клиентов. Затем с помощью aireplay-ng осуществляется массовая отправка деаутентификационных пакетов.
aireplay-ng --deauth 100 -a 08:02:8E:D3:88:82 -c DC:A4:CA:67:3B:01 wlan1monГде -a — BSSID точки доступа, -c — MAC-адрес конкретного клиента (для точечной атаки), а 100 — количество посылаемых кадров.
Защитой от таких атак служит стандарт 802.11w (Management Frame Protection, MFP), который предусматривает криптографическую защиту управляющих кадров. Однако его поддержка должна быть как на точке доступа, так и на клиентских устройствах.
Атаки на список предпочитаемых сетей
Операционные системы и Wi-Fi-клиенты хранят список доверенных сетей (Preferred Network List, PNL). В нём содержатся SSID и, в зависимости от настроек, хэши или даже пароли от этих сетей. При отсутствии соединения клиент активно зондирует эфир, рассылая пробные запросы с именами сетей из этого списка.
Атакующий, находящийся в режиме мониторинга, может перехватить эти запросы. Увидев, что клиент ищет сеть «Corp_Guest», он быстро разворачивает точку доступа с таким же именем. Клиент, настроенный на автоматическое подключение, установит соединение с ложной точкой без ведома пользователя. Это делает опасным хранение в PNL сетей с низким уровнем безопасности (открытых или с устаревшим шифрованием), к которым когда-либо подключалось устройство.
Создание помех и глушение сигнала
Целью глушения (jamming) является создание условий отказа в обслуживании (DoS) на физическом уровне. Атакующий генерирует радиочастотные помехи в диапазонах 2.4 ГГц или 5 ГГц, «забивая» полезный сигнал шумом. Это приводит к обрывам соединений, резкому падению скорости или полной невозможности подключения.
В отличие от деаутентификации, это нецелевая атака, влияющая на все устройства в зоне действия помех. Современные точки доступа могут детектировать такие аномалии по резкому росту уровня шума и количеству ошибок, но противодействовать им на уровне конечного оборудования сложно. Методы защиты включают использование экранирования, переход на проводные сегменты в критичных зонах и применение частотного планирования с резервными каналами.
War Driving и War Flying
War Driving — это метод разведки, при котором атакующий перемещается (на автомобиле, пешком) с оборудованием для мониторинга Wi-Fi-эфира. Цель — составление карты беспроводных сетей, их параметров (SSID, тип шифрования, мощность сигнала) и потенциально уязвимых точек входа. Данные часто наносятся на карты вроде тех, что предоставляет проект WiGLE.
Эволюцией метода стал War Flying — использование дронов или других БПЛА для сканирования сетей в труднодоступных местах, на верхних этажах зданий или на обширных территориях. Это позволяет обнаружить сети, невидимые с уровня земли, и оценить реальный радиус действия корпоративного Wi-Fi, что важно для анализа утечек сигнала за пределы охраняемой зоны.
Борьба с такими методами разведки включает в себя грамотную настройку мощности передатчиков точек доступа, чтобы сигнал не выходил за необходимые физические границы, отключение широковещательной рассылки SSID (хотя это слабая защита) и постоянный мониторинг радиоэфира на предмет несанкционированных точек доступа и клиентов.