Escolar Documentos
Profissional Documentos
Cultura Documentos
Engenharia de Telecomunicações
2
3
De acordo
Recife
____/___________/_____
_____________________________________
Orientador da Monografia
(Na versão final esta página deve ser substituída pela folha de aprovação
digitalizada.)
4
“Alle ihre erinnerungen kommen auf einmal.
Alle ihre erinnerungen und alle ihre aengste”.
Dr. Kreutz - Taken - Episódio 3: High Hopes
5
Agradecimentos
Os agradecimentos constituem o elemento pelo qual o autor agradece a todos
que colaboraram com seu trabalho e é opcional.
6
Resumo
O resumo é uma apresentação do trabalho na língua original em que o
mesmo foi escrito, redigido de forma objetiva e com destaque dos principais
elementos do conteúdo pesquisado. Na confecção do resumo devem ser
observados os seguintes aspectos:
7
Abstract
O abstract é igual ao resumo na língua vernácula, com a diferença de que
vem escrito em uma língua estrangeira. Usualmente, é feito em inglês, mas também
pode ser em espanhol ou francês. Para o modelo aqui descrito, será adotada a
língua inglesa.
8
Sumário
9
Índice de Figuras
Figura 1. Legenda 8
10
Índice de Tabelas
Tabela 1. Exemplo de Tabela 9
11
Tabela de Símbolos e Siglas
(Dispostos em ordem alfabética)
IEEE
WEP
DCF
PCF
12
Capítulo 1 - Introdução
Capítulo 1
Introdução
Em 19901, o IEEE designou um grupo de trabalho responsável pelo
desenvolvimento do padrão 802.11 com o objetivo de permitir a comunicação de
computadores através de uma rede sem fio (wireless).
Após anos de estudo, em 1997 é lançada2 uma versão inicial, com taxas de
transmissão de 1Mbps a 2 Mbps. O padrão surge com um protocolo de criptografia
WEP, que protege apenas os frames de dados, enquanto os frames de
gerenciamento e controle não apresentam qualquer mecanismo de proteção.
1.1 Objetivo
Este trabalho tem o objetivo de demonstrar como quadros de gerenciamento
forjados podem ser utilizados para realizar um ataque de negação de serviço (Denial
of Service) a redes 802.11.
1
http://www.devmedia.com.br/seguranca-em-redes-ieee-802-11-revista-infra-magazine-7/25680
2
http://ant.comm.ccu.edu.tw/course/92_WLAN/1_Papers/IEEE%20Std%20802.11-1997.pdf
Nome do autor 1
Capítulo 1 - Introdução
Nome do autor 2
Capítulo 3 –Conclusões e Trabalhos Futuros
Capítulo 2
Serviços de Desautenticação e de
Associação em uma rede 802.11
Uma rede 802.11 pode ser basicamente composta por um ponto de acesso ou
access point (AP) e por estações. Quando não há access point, diz-se que a
arquitetura da rede sem fio é do tipo ad hoc ou IBSS (independent BSS). Havendo
um AP, tem-se uma rede infraestruturada. Nestre trabalho serão consideradas
apenas as redes infraestruturadas.
Na Figura xy, são exibidos muitos destes conecitos apresentados nos três
últimos parágrafos.
Nome do autor 3
Capítulo 3 –Conclusões e Trabalhos Futuros
2.2 Serviços
● Desassociação: usado por uma estação quando ela vai se desligar ou sair do
AP;
Nome do autor 4
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 5
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 6
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 7
Capítulo 3 –Conclusões e Trabalhos Futuros
power-save-mode que o AP tem mais quadros para enviar. Isso é também usado por
AP’s para indicar que quadros de broadcast/multicast adicionais estarão sendo
enviados.
⮚ Protected Flag (W): indica se o quadro foi criptogrado ou não. Até o 802.11n,
apenas os quadros de dados podem ser criptografados com WEP, WPA ou WPA2.
processados em ordem.
Nome do autor 8
Capítulo 3 –Conclusões e Trabalhos Futuros
O processo para se conectar a uma rede sem fio passa por duas etapas: a
autenticação e a associação. Assim, é possivel encontrar três tipos de estações:
● Autenticadas e associadas.
3
http://standards.ieee.org/getieee802/download/802.11-2012.pdf
Nome do autor 9
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 10
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 11
Capítulo 3 –Conclusões e Trabalhos Futuros
4
http://mrncciew.com/2014/10/08/802-11-mgmt-beacon-frame/
5
Adaptado de: https://mrncciew.files.wordpress.com/2014/10/cwap-mgmt-beacon-01.png
6
Em uma linguagem mais formal seria: parâmetros etiquetados. No jargão de técnicos no Brasil é
muito comum aportuguesar as palavras do inglês. Exemplo: “crimpar”, “resetar”, “becapear”, etc.
Nome do autor 12
Capítulo 3 –Conclusões e Trabalhos Futuros
Segundo Gast (2005)7, cada elemento de informação recebe uma tag com a
numeração que identifica o elemento (Tag Number ou Element ID) e o comprimento
do elemento em Bytes (Tag length). É possível saber a identificação de cada
elemento consultando a tabela 8-54 da norma IEEE 802.11™-2012 8.
7
Gast, Matthew. 802.11 Wireless Networks: The Definitive Guide. Segunda Edição, 2005. Ed. O'Reilly.
Página 84.
8
http://standards.ieee.org/getieee802/download/802.11-2012.pdf
Nome do autor 13
Capítulo 3 –Conclusões e Trabalhos Futuros
9
Esta senha é única e conhecida por todos os usuários que se conectam ao AP.
Nome do autor 14
Capítulo 3 –Conclusões e Trabalhos Futuros
11
http://upcommons.upc.edu/bitstream/handle/2099.1/12744/Proyecto-jsr-20110712.pdf?sequence=1
Nome do autor 15
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 16
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 17
Capítulo 3 –Conclusões e Trabalhos Futuros
12
De Souza, Karoline; Perrone Muniz da Silva, Rafael. Segurança em Redes Wireless.
<http://www.teleco.com.br/tutoriais/tutorialsrwireless/pagina_3.asp>
Nome do autor 18
Capítulo 3 –Conclusões e Trabalhos Futuros
Para se associar a uma BSS, uma estação depois de autenticada, envia para
o AP um quadro chamado Association Request. Neste quadro a estação informa ao
AP a SSID a qual deseja se conectar, quais as taxas de transmissão suportadas
pela estação, informações sobre os protocolos da RSN supotados pela estação e no
caso de a estação oferecer suporte ao 802.11n, ela envia o campo HT Capabilities.
Todos estes parâmetros foram vistos na seção 2.4.2 e também estão contidos no
quadro Beacon. O único parâmetro contido na Association Request que ainda não
foi abordado é o Listen Interval, que basicamente informa ao AP quantos quadros
Beacon a estação receberá antes de sair do modo de economia de energia (power
saving mode). Durante este tempo em que a estação não recebe quadros de dados
e nem transmite, o AP que será resposável por armazenar os quadros de dados da
estação em um buffer. Se a estação ficar um longo período no modo de economia
de energia, o AP não poderá mais armazenar os dados para aquela estação que
seriam descartados. Para evitar esta situação, no momento da associação, se a
estação informar um Listen Interval que comprometa o buffer do AP, este recusará a
associação desta estação na BSS. Quando o valor do Listen Interval for igual a
0x00, significa que a estação nunca entrará em modo de economia de energia.
status code igual a 0x01 indicando que houve falha na associação. Caso os
parâmetros da estação forem compatíveis, o AP envia um quadro Association
Response com o status code igual a 0x00, aceitando a estação na BSS.
Nome do autor 20
Capítulo 3 –Conclusões e Trabalhos Futuros
Capítulo 3
Metodologia dos ataques de
negação de serviço através de
quadros de Desautentição e de
Associação
Foi utilizada uma biblioteca chamada scapy, versão 2.2.0, para forjar os
quadros de gerenciamento.
A memória flash do DLINK DIR 505 não tem capacidade suficiente para
instalação do Python e do scapy. Assim, é necessário a utilização de uma memória
flash externa, montada automaticamente através do fstab no linux. O procedimento
para instalar o openwrt, da instalação do Python, do scapy e a montagem da
memória flash externa está descrito no apêndice.
Para realizar os ataques a partir do notebook Acer é necessário instalar a
biblioteca scapy e um pacote de ferramentas chamado Aircrack-ng, pois será
necessário o comando “airmon-ng check kill” para eliminar todos os processos que
estão utilizando a interface wlan1 do notebook, o que é imprescindível para que se
possa mudar o canal de operação dessa interface.
3.1 Inundação de quadros de desautenticação
Neste ataque, o repetidor D-Link DIR-505, com Openwrt Chaos Calmer 15.05,
é configurado com a interface wlan0 em modo monitor. Assim, é possível capturar
quadros de dados, controle e gerenciamento.
Como foi visto na seção 2.4.2, o comprimento do cabeçalho Radiotap de um
D-Link DIR-505 é de 36 Bytes. O 37º Byte mais significativo contém o inicio do
quadro 802.11 com as informações da versão do protocolo, o tipo e o subtipo do
quadro, conforme visto no inicio da seção 2.3. A versão do protocolo é 00 (em
binário); quando o quadro é do tipo gerenciamento o valor do subcampo tipo é 00 e
um quadro do tipo Beacon apresenta o valor do subtipo igual a 1000 que igual a 8
em hexadecimal. Então, o valor do primeiro Byte de um quadro Beacon é igual a
0x08 em hexadecimal. Entretanto, o valor armazenado na memória do receptor dos
quadros Beacon (DLINK DIR-505), está no formato little endian e portanto o valor do
subcampo tipo/subtipo será igual a 0x80.
Todos os quadros que possuem o 37º Byte mais significativo com um valor
igual a 0x80 são quadros tipo Beacon e deles será extraída a informação da BSSID
que emitiu este tipo de quadro. Então, uma lista de BSSIDs é criada e pacotes de
desautenticação serão enviados para todas as estações (FF:FF:FF:FF:FF:FF) de
cada uma dessas BSSID.
O processo de desautenticação foi abordado na seção 2.3. A fim de camuflar
o ataque o Reason Code utilizado no corpo do quadro de desautenticação foi o
código 0x02 que significa: “a autenticação anterior não é mais válida”. Este código
Nome do autor 22
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 23
Capítulo 3 –Conclusões e Trabalhos Futuros
Se nenhum desses campos aparece no Beacon, significa que a rede sem fio
está operando em 802.11b com criptografia WEP ou sem criptografia nos quadros de
dados. O código do ataque de inundação de requisições de Associação (ver
apêndice) possue partes específicas para verificar se estes campos estão ou não
presentes no Beacon e a partir daí, escolhe qual deve ser o formato do quadro de
requisição de associação que será forjado.
O script em Python no DLINK DIR-505 deve ser executado antes do script do
notebook do atacante a fim de que o DLINK DIR-505 consiga receber o quadro RTS
do notebook Acer, onde há a informação do BSSID da vítima e o canal que ela está
operando.
Nome do autor 24
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 25
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 26
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 27
Capítulo 3 –Conclusões e Trabalhos Futuros
Nome do autor 28
Capítulo 3 –Conclusões e Trabalhos Futuros
Capítulo 3
Conclusão e Trabalhos Futuros
Ssdsf dfd f dfd fdf dfd fdf df df d fd d d d fd d fddffgffgfgff gf h ghghg h gh gh g
hg g hg gh ghg hg g hgh.
aaaaaaaaaaaaaaaa
Nome do autor 29
Bibliografia
Bibliografia
(Ordenação aqui deve ser alfabética pelo sobrenome do primeiro autor)
Nome do autor 30
Apêndice A
Apêndice A
Camada Física do 802.11
A camada física define as especificações necessárias para a transmissão e
recepção de bits, que são as menores unidades de informação.
13
GOMES, Alcides Tadeu. Telecomunicações: transmissão e recepção de AM-FM-sistemas pulsados.
São Paulo: Érica 21a ed., 2007, pag. 16
Nome do autor 31
Apêndice A
Nome do autor 32
Apêndice A
14
http://sharkfest.wireshark.org/sharkfest.09/BU5_Leutert_Analyzing%20WLANs%20with%20Wireshar
k%20&%20AirPcap.pdf
Nome do autor 33
Apêndice A
Nome do autor 34
Apêndice A
Nome do autor 35
Apêndice A
Nome do autor 36
Apêndice A
Nome do autor 37
Apêndice A
8. Constelação QAM
Nome do autor 38
Apêndice A
As modulações com maiores constelações são aquelas que mais transmitem bits
por símbolo. Assim elas apresentam maiores taxas de transmissão. Elas também
apresentam maior eficiência espectral, que é um parâmetro que informa a taxa de
transmissão máxima, em bps, a qual pode ser transmitda para cada Hz de largura
de canal (bps/Hertz).
Entretanto, quanto mais símbolos, menor a distância euclidiana entre os que são
adjacentes e portanto, maior será a probabilidade de ocorrer erros.
15
https://www.lume.ufrgs.br/bitstream/handle/10183/3582/000390127.pdf?sequence=1
Nome do autor 39
Apêndice A
16
http://www.linuxtv.org/wiki/images/f/fa/Est_BER_vs_EbN0.png
17
Digital Communication, Chitode, 2 edição, 2009 – Editora Technical Publications Pune, pag. 3-19
Nome do autor 40
Apêndice A
18
Shannon C. E. A Mathematical Theory of Communication. The Bell System Technical Journal,
Volume. 27, pags. 379–423, 623–656, Julho, Outubro, 1948.
19
http://paginas.fe.up.pt/~sam/CCD/apontamentos_SS/Introdu%E7%E3o.pdf
Nome do autor 41
Apêndice A
(X Y) Y=X (Y Y) = X 0=X
20
802.11 Wireless Networks: The Definitive Guide.
Nome do autor 42
Apêndice A
Nome do autor 43
Apêndice A
https://www.okob.net/texts/mydocuments/80211physlayer/
Se o valor de um dibit (di+1, di) for igual a (0,0), então a fase que esta
relacionada com esse dibit será igual a 0. Se (di+1, di) = (0,1) então o valor da fase
determinada por esse dibit, será igual a π e assim sucessivamente de acordo com a
Tabela 1.
Bob Pearson (2000, pag. 4-3), na nota Application Note 9850 da Intersil, dá
um ótimo exemplo da obtenção de uma palavra-código de 8 chips, que será
mostrado a seguir.
d7 = 1, d6 = 0, d5 = 1, d4 = 1, d3 = 0, d2 = 1, d1 = 0, d0 = 1
Nome do autor 44
Apêndice A
● Fase φ1: o dibit (d1, d0) = (0, 1). Então, de acordo com a Tabela 1, um dibit
que assume o valor (0, 1) tem sua fase igual a π. Logo, φ1 = π.
● Fase φ2: o dibit (d3, d2) = (0, 1). Logo, φ2 também será igual a π.
Tendo em mãos o valor das fases, φ1, φ2, φ3 e φ4, é possível determinar a
palavra-código "c":
Ou seja:
Nome do autor 45
Apêndice A
Quando se utiliza uma sequência de 8 bits para ser representada por 8 chips,
como no exemplo acima, transmite-se a uma taxa de 11 Mbps.
Nome do autor 46
Apêndice A
Cada símbolo de uma das modulações BPSK, QPSK ou QAM é uma função
seno ou cosseno, cada uma delas com amplitude e fase diferentes e de mesma
frequência.
Para transladar sinais de tempo contínuo, como uma função sinc, para
frequências maiores, basta multiplicar cada símbolo no domínio do tempo por ejωt,
onde ωk = 2πfkt é um múltiplo da frequência fundamental.
Ainda na figura xy, após a geração das amostras das senóides, estas
amostras são somadas para formar o simbolo OFDM. As primeiras amostras de
cada senóide são somadas resultando na primeira amostra do símbolo OFDM. A
21
<http://www.sabereletronica.com.br/artigos/2861-tcnica-de-modulao-multiportadora-uma-anlise-de-pr
oblema-de-multipercurso-na-transmisso-terrestre>
Nome do autor 47
Apêndice A
Nome do autor 48
Apêndice A
Nome do autor 49
Apêndice A
Nome do autor 50
Apêndice A
Apêndice B
Códigos utilizados nos Ataques
Nome do autor 51
Apêndice A
Nome do autor 52
Apêndice A
Nome do autor 53
Apêndice A
Continuação do código:
Nome do autor 54
Apêndice A
Continuação do código:
Nome do autor 55
Apêndice A
Continuação do código:
Nome do autor 56
Apêndice A
Nome do autor 57
Apêndice A
Nome do autor 58
Apêndice A
Continuação do código:
Nome do autor 59
Apêndice A
Nome do autor 60
Apêndice A
Nome do autor 61
Apêndice A
Nome do autor 62
Apêndice A
Nome do autor 63
Apêndice A
Nome do autor 64
Apêndice A
Nome do autor 65
Apêndice A
● Instalação de pacotes:
opkg update
● Montagem do pendrive:
umount /mnt
cd /etc/config
cp fstab fstab_backup
Nome do autor 66
Apêndice A
vi /etc/config/fstab
config 'global'
config 'mount'
Reiniciar o Openwrt:
● reboot
Nome do autor 67
Apêndice A
cd
opkg update
wget www.secdev.org/projects/scapy/files/scapy-2.2.0.zip
unzip scapy-2.2.0.zip
cd scapy-2.2.0
Nome do autor 68