HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN I

BÁO CÁO BÀI TẬP NHÓM

Học phần: Kiểm thử xâm nhập mạng
Đề tài: Kiểm thử tấn công mạng không dây

Giảng viên hướng dẫn: TS. Nguyễn Ngọc Điệp

Nhóm môn học: Nhóm 02
Sinh viên thực hiện: Nguyễn Văn Trung - B17DCAT194
Nguyễn Văn Long - B17DCAT118
Ngô Mai Anh - B17DCAT006

1
Hà Nội - 2021

2
 MỤC LỤC
LỜI MỞ ĐẦU....................................................................................................................4



























 






























2
 









3
 LỜI MỞ ĐẦU

Công nghệ mạng đang hướng tới một kỷ nguyên mới của sự phát triển công nghệ
thông qua các công nghệ không dây. Wireless hay mạng không dây, ngày nay chúng đã
trở thành một phần không thể thiếu trong cuộc sống khi mà ta thấy chúng xuất hiện trong
hầu khắp các lĩnh vực đời sống: từ doanh nghiệp, trường học, các địa điểm giải trí và ngay
cả trong từng hộ gia đình. Nhờ sự tiện lợi của mình, mạng không dây đã dần thay thế kết
nối truyền thống bằng cáp truyền thống. Mạng không dây đang cách mạng hóa cách mọi
người làm việc và giải trí.

Nhưng cũng chính vì thế mà mạng không dây cũng là nơi ẩn chứa rất nhiều vấn đề
bảo mật hay các nguy cơ bị tấn công, nghe lén. Trong tài liệu này chúng ta sẽ tìm hiểu về
cách thức mạng không dây hoạt động như thế nào, các mối đe dọa của chúng cũng như
các cách tấn công và bảo vệ nó khỏi các cuộc tấn công. Chúng ta cũng tìm hiểu về cách
thức cài đặt và hoạt động của các công cụ này để có thể phát hiện, hiểu được và chuẩn bị
sẵn sàng cũng như cách khắc phục mỗi khi các cuộc tấn công xảy ra.

Hà Nội, ngày 12 tháng 04 năm 2021

DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT

Từ viết tắt Từ đầy đủ Giải thích

AP Access Point Điểm truy cập

Authentication, Authorization, Xác thực, cấp phép và kiểm

AAA
và Access Control toán

4
 AAD Additional Authentication Data Dữ liệu xác thực bổ sung

AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến

American Standard Code for Chuẩn mã trao đổi thông tin Hoa
ASCII
Information Interchange Kỳ

BSSs Basic Service Sets Mô hình mạng cơ sở

BSSID Basic service set identifier Địa chỉ MAC của điểm truy cập

BIP Broadcast Integrity Protocol Giao thức truyền phát toàn vẹn

Challenge-handshake Giao thức xác thực yêu cầu bắt

CHAP
authentication protocol tay

Một giao thức mã hóa được thiết

kế cho các sản phẩm mạng LAN
Couter Mode Cipher Block
không dây thực hiện các tiêu
CCMP Chaining Message Authentication
chuẩn của IEEE 802.11i sửa đổi
Code Protocol
cho tiêu chuẩn IEEE 802.11 ban
đầu

CF Contention Free Không có tranh chấp

CRC Cyclic Redundancy Check Kiểm tra dự phòng theo chu kỳ

Carrier - sense Multiple Access Đa truy cập cảm biến sóng mang
CSMA/CA
with Collision Avoidance với tính năng tránh va chạm

DDP Device Provisioning Protocol Giao thức cấp phép thiết bị

DES Data Encryption Standard Tiêu chuẩn mã hóa dữ liệu

DoS Denial of Service Tấn công từ chối dịch vụ

5
 DS Distribution system Hệ thống phân phối

DS Direct Sequence Trình tự trực tiếp

Direct sequence spread

DSSS Trải phổ trực tiếp
spectrum

Extensible Authentication
EAP Giao thức xác thực mở rộng
Protocol

Thuật toán Diffie – Hellman trên

ECDH Elliptic Curve Diffie - Hellman
đường cong Elliptic

Elliptic Curve Digital Signature Thuật toán chữ ký số trên đường

ECDSA
Algorithm cong Elliptic

ESSs Extended Service Sets Mô hình mạng mở rộng

ESSID Extended service set identifier Mở rộng của SSID

Federal Communications Ủy ban truyền thông Liên bang

FCC
Commission Hoa Kỳ

FCS Frame Check Sequence Khung kiểm tra trình tự

FH Frequency-hopping Nhảy tần

Frequency-hopping spread
FHSS Trải phổ nhảy tần
spectrum

FMS attacks Fluhrer - Mantin - Shamir attacks Cuộc tấn công mật mã dòng trên
RC4 cho phép kẻ tấn công khôi
6
 phục khóa trong một luồng được
mã hóa RC4 từ một số lượng lớn
các thư trong luồng đó.

Galois Message Authentication

GMAC Mã xác thực tin nhắn Galois
Code

GTK Group Temporal Key Khóa tạm thời của nhóm

Hash Message Authentication

HMAC Mã xác thực thông điệp băm
Code

Mô hình mạng độc lập hay còn

IBSSs Independent Basic Service Sets
gọi là mạng Ad hoc

IDS Intrusion Detection System Hệ thống phát hiện xâm nhập

Institute of Electrical and Viện kỹ thuật điện và điện tử

IEEE
Electronics Engineers của Mỹ

ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹn

IoT Internet of Things Internet vạn vật

Tập hợp các chuẩn chung nhất

(industry - defined set) trong việc
IPSec Internet Protocol Security kiểm tra, xác thực và mã hóa các
dữ liệu dạng packet trên tầng

Network (IP)

Industrial, scientific and Băng tầng dành cho công

ISM
medical nghiệp, khoa học và y học

7
ISP Internet service provider Nhà cung cấp dịch vụ Internet

IV Initialization Vector Vector khởi tạo

KSA Key Scheduling Algorithm Thuật toán lập khóa chính

LAN Local Area Network Mạng cục bộ

LEAP Lightweight EAP Giao thức xác thực mở rộng nhẹ

MAC Medium Access Control Điều khiển truy cập môi trường

MAN Metropolitan Area Network Mạng đô thị

MITM Man In The Middle Tấn công người đứng giữa

Phương thức kiểm tra tính toàn

MIC Message integrity check
vẹn của thông điệp

MSDU MAC Service Data Unit Đơn vị dữ liệu dịch vụ MAC

MPDU MAC Protocol Data Unit Đơn vị dữ liệu giao thức MAC

N/A Not Applicable Chưa sử dụng

NAS Network access server Máy chủ truy cập mạng

NIC Network Interface Controller Bộ điều khiển giao diện mạng

Nation Instutute of Standard Viện nghiên cứu tiêu chuẩn và

NIST
and Technology công nghệ quốc gia

Orthogonal frequency division

OFDM Trải phổ trực giao
multiplexing

8
 Opportunistic Wireless
OWE Mã hóa không dây cơ hội
Encryption

PC Persional Computer Máy tính cá nhân

Máy trợ lý cá nhân dùng kỹ

PDA Persional Digital Assistant
thuật số

Protected Extensible Giao thức xác thực mở rộng

PEAP
Authentication Protocol được bảo vệ

PMK Pairwise Master Key Khóa chính theo cặp

PN Packet Number Số gói

PPP Point-to-Point Protocol Giao thức liên kết điểm điểm

Pseudo – Random Generation

PRGA Thuật toán tạo giả ngẫu nhiên
Algorithm

PSK Pre-Shared Keys Khóa chia sẻ

PMF Protected Management Frames Khung quản lý được bảo vệ

QR Quick Response Phản hồi nhanh

Remote Authentication Dial In Dịch vụ truy cập bằng điện thoại
RADIUS
User Service xác nhận từ xa

Thuật toán mã hóa được phát triển

RC4 Rivest Cipher 4
bởi Ron Rivest

RF Radio frequency Tần số vô tuyến

RNG Random Number Generation Bộ sinh số ngẫu nhiên

9
SLIP Serial Line Internet Protocol Giao thức internet đơn tuyến

Simultaneous Authentication of
SAE Xác thực bằng đồng thời
Equals

Bộ nhận dạng dịch vụ, hay còn

SSID Service set identifier được gọi là tên của mạng không
dây

Target Beacon Transmission Thời gian Beacon truyền đi mục

TBTT
Time tiêu

TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn

TK Temporal Key Khóa tạm thời

TSC TKIP Sequence Couter Bộ đếm trình tự TKIP

TIM Traffic Indication Map Bản đồ chỉ dẫn luồng

Temporal Key Integrity

TKIP Giao thức toàn vẹn khóa tạm thời
Protocol

TLS Transport Layer Security Bảo mật tầng giao vận

TU Time Unit Đơn vị thời gian

UDP User Datagram Protocol Là một giao thức truyền tải

VLAN Virtual Local Area Network Mạng LAN ảo

VPN Virtual Private Network Mạng riêng ảo

WEP Wired Equivalent Privacy Bảo mật tương đương mạng đi

10
 dây

Hệ thống mạng không dây sử

WI-FI Wireless Fidelity
dụng sóng vô tuyến

WLAN Wireless Local Area Network Mạng cục bộ không dây

WPA/WPA2 Wi-fi Protected Access Bảo vệ truy cập Wi - fi

XOR Exclusive OR Phép toán thao tác bit

DANH MỤC CÁC BẢNG

Bảng Nội dung Trang

Bảng 1 Bảng mô tả các bước thực hiện thu thập thông tin

Bảng 2 Các tiêu chuẩn mạng không dây

Bảng 3 Bảng so sánh WEP, WPA, WPA2 và WPA3

11
Bảng 4 Các loại hình tấn công chính

Bảng 5

Bảng 6

Bảng 7

12
 DANH MỤC CÁC HÌNH VẼ

Hình Nội dung Trang

Hình 1 Card wifi cho pentest

Sử dụng Wigle.net phát hiện tọa độ các mạng không dây công
Hình 2
cộng trên bản đồ về tinh GPS

Hình 3 Kismet thu thập thông tin về các điểm truy cập AP

Hình 4 Sử dụng Google.com để tìm kiếm thông tin

Hình 5 Thu thập trên Sodan

Hình 6 Thu thập các điểm truy cập wifi bằng facebook

Hình 7 Kết quả sau khi thực hiện lệnh sudo airmon-ng wlan0mon

Kết quả khi khởi động công cụ Wifite để quét các mạng không
Hình 8
dây

Sử dụng nmap để quét các thiết bị đang hoạt động trong mạng
Hình 9
cùng với địa chỉ MAC của chúng

Hình 10 Chạy Ping sweep output nmap

Hình 11 Quét các thiết bị đang online trong mạng bằng nmap

Hình 12 Quét tất cả các port đang mở của tất cả các thiết bị trong mạng.

Hình 13 Quét lỗ hổng của Router Wifi bằng nmap

Hình 14 Quét hệ điều hành của Router wifi trong mạng

Hình 15 Dùng Wireshark ở chế độ monitor chụp các gói phát trên mạng

13
 không dây

Hình 16 Lọc theo địa chỉ MAC với Wireshark

Hình 17 Lọc theo tên mạng với Wireshark

Hình 18 Mô hình mở rộng mạng có dây

Hình 19 Mô hình nhiều điểm truy cập

Hình 20 Mô hình mạng không dây LAN – to – LAN

Hình 21 Mô hình điểm phát sóng 3G/4G

Hình 22 Mô hình quy trình xác thực hệ thống mở

Hình 23 Mô hình quá trình xác thực khóa dùng chung

Hình 24 Quy trình xác thực Wifi bằng máy chủ xácc thực tập trung

Hình 25 Quy trình bắt tay 4 bước

Hình 26 Thông tin chi tiết gói tin chứa PSII PMKID

Hình 27 Luồng hoạt động của WEP

Hình 28 Luồng hoạt động của khóa tạm thời

Hình 29 Luồng hoạt động của WPA

Hình 30 Luồng hoạt động của WPA2

Hình 31 Các bước tấn công xác thực lại

Hình 32 De-authentiacation và Disassociations

14
Hình 33 Tấn công làm ngập tràn các điểm truy cập không dây giả

Hình 34 Quy trình bắt tay 4 bước trong WPA2

Hình 35

Hình 36

Hình 37

Hình 38

Hình 39

Hình 40

Hình 41

Hình 42

Hình 43

Hình 44

Hình 45

Hình 46

Hình 47

Hình 48

Hình 49

Hình 50

Hình 51

15
Hình 52

Hình 53

Hình 54

Hình 55

Hình 56

Hình 57

Hình 58

Hình 59

Hình 60

Hình 61

Hình 62

Hình 63

Hình 64

Hình 65

Hình 66

Hình 67

Hình 68

Hình 69

Hình 70

16
17
 PHẦN I: KIỂM THỬ THU THẬP THÔNG TIN
(FOOTPRINTING)

1. Phương pháp kiểm thử thu thập

STT Bước Công cụ

1 Chuẩn bị các thiết bị cho việc thực hành Phương tiện đi lại, máy tính, card
kiểm thử và tấn công mục tiêu mạng mạng hỗ trợ kali linux.
không dây

2 Xác định phạm vi mục tiêu tấn công. GPS MAPMING: WiGLE,
SkyHOOK, Wifi - Finder, Wefi

3 Thực hiện, thu thập các điểm mạng Airodump, wifite, Kismet..
không dây trong phạm vi gần

4 Thực hiện thu thập thông tin qua công Google Search, Bing.com,Sodan..
cụ tìm kiếm

5 Thực hiện thu thập thông tin trên các Facebook, Instagram, Twitter,..
trang mạng xã hội

6 Thực hiện thu thập với kỹ thuật xã hội

Bảng 1: Bảng mô tả các bước thực hiện thu thập thông tin

2. Chi tiết các bước kiểm thử thu thập và kết quả

Bước 1: Chuẩn bị đồ nghề

18
 Hình 1: Card wifi cho pentest

Nhiệm vụ đầu tiên mà kẻ tấn công sẽ thực hiện khi tìm kiếm Wi-Fi mục tiêu đang
kiểm tra các mạng tiềm năng nằm trong phạm vi tìm cái tốt nhất để tấn công.

Lái xe xung quanh với máy tính xách tay hỗ trợ Wi-Fi được cài đặt công cụ khám
phá không dây và vạch ra các mạng không dây đang hoạt động.

Sau đây là những card wifi thông dụng và chipset hỗ trợ cho pentest wifi, trong
năm 2020 thì danh sách sau là tốt nhất:

- Alfa AWUS036NHA
- Alfa AWUS036NH
- Alfa AWUS036ACH
- Bản gốc ghi là TpLink v1 nhưng tôi thấy nên bỏ đi
- Panda PAU09
- Panda PAU05
- Alfa AWUS036NEH
- Alfa AWUS051NH

Bước 2: Xác định phạm vi, mục tiêu tấn công

GPS MAPMING:

19
 Những kẻ tấn công tạo ra bản đồ của các mạng Wi-Fi được phát hiện và tạo cơ sở
dữ liệu với số liệu thống kê được thu thập bởi các công cụ khám phá Wi-Fi chẳng hạn như
Netsurveyor, NetStumblers, v.v..

GPS được sử dụng để theo dõi vị trí của Wi-Fi được phát hiện mạng và các tọa độ
được tải lên các trang web như WIGLE. Những kẻ tấn công có thể chia sẻ thông tin này
với cộng đồng hack hoặc bán nó để kiếm tiền.

Ta có thể sử dụng WiGLE để thu thập và thiết lập bản đồ mạng, dễ dàng tìm kiếm
được mốc mạng không dây.

Hình 2: Sử dụng Wigle.net phát hiện tọa độ các mạng không dây công cộng trên
bản đồ về tinh GPS

Bước 3: Thực hiện, thu thập các điểm mạng không dây trong phạm vi gần

Để theo dõi và giám sát các điểm truy cập mạng không dây đang hoạt trong phạm
vi gần, chúng ta có thể sử dụng công cụ Kismet.

· Kismet là một hệ thống phát hiện mạng, dò gói và phát hiện xâm nhập cho mạng
LAN không dây 802.11. Kismet sẽ hoạt động với bất kỳ thẻ không dây nào hỗ trợ

20
 chế độ giám sát thô và có thể đánh giá lưu lượng 802.11a, 802.11b, 802.11g và
802.11n.

Dưới đây là các thông tin về các thiết bị không dây thu thập được:

Hình 3: Kismet thu thập thông tin về các điểm truy cập AP

Ta có thể thu thập được như tên wifi, địa chỉ MAC của wifi, sóng phát,.. Và một số
thông số cơ bản khác. Ngoài ra chúng ta có thể sử dụng bộ lọc của Kismet để theo dõi
riêng một mạng không dây nào đó.

Bước 4: Thực hiện thu thập thông tin qua công cụ tìm kiếm

Ở bước này khi đã xác định được điểm wifi truy cập, ta muốn biết nhiều hơn về
thông tin thiết bị, các bản phần mềm của điểm phát mạng không dây, hoặc thông tin về tổ
chức hoặc cá nhân sử dụng điểm phát truy cập đấy.
21
 Công cụ tìm kiếm ở đây ta có thể sử dụng Google.com để tìm vô vàn thông tin:

Hình 4: Sử dụng Google.com để tìm kiếm thông tin

Hoặc công cụ tìm kiếm sodan.io ta cũng có thể tìm được những thiết bị không dây
được public và để password mặc định, các webcame không dây được công khai, ...

Hình 5: Thu thập trên sodan

Bước 5: Thực hiện thu thập thông tin trên các trang mạng xã hội

22
 Chúng ta sử dụng các trang mạng xã hội (VD: Facebook)để thu thập thông tin về
các thông tin quan trọng mà người dùng đặt mật khẩu cho wifi có thể liên quan đến: ngày
sinh, họ tên người thân, biệt danh, các địa điểm yêu thích, món ăn yêu thích, thú cưng,
phim,…

Chúng ta còn có thể dùng chúng để tìm tới một số điểm truy cập wifi công cộng,
nơi mà có nhiều người truy cập tới, từ đó hacker có thể dễ dàng thực hiện hành vi của
mình.

VD: Sử dụng Facebook để tìm các điểm truy cập wifi công cộng ở đâu đó:

Hình 6: Thu thập các điểm truy cập wifi công cộng bằng Facebook

Bước 6: Thực hiện thu thập với kỹ thuật xã hội

Những kẻ tấn công có thể dùng kỹ thuật xã hội để thực hiện thu thập thông tin về
các thông tin liên quan tới mật khẩu và thiết bị AP.

23
 PHẦN 2: KIỂM THỬ DÒ QUÉT (SCANNING)

Sau phần thu thập thông tin, việc tiếp theo ta phải làm chính là tiến hành tiến hành
quét mạng mà chúng ta sẽ gọi bằng thuật ngữ scanning để kiểm tra các cổng đang mở hay
những dịch vụ mà mục tiêu đang sử dụng. Bên cạnh đó scanning còn cho biết các thông
tin quan trọng như giao thức kết nối không giây của mạng đó như thế nào, hệ điều hành
mục tiêu đang mở,..

1. Scan mục tiêu các mạng không dây trong vùng lân cận
Khi bắt đầu vào tiến hành kiểm thử, tấn công mạng không dây, thì ta cần xác định
được đúng các thông tin của mạng không giây đó như: BSSID (địa chỉ MAC của AP),
điện năng, số khung beacon, số khung dữ liệu, kênh, tốc độ, mã hóa (nếu có), và cuối
cùng là tên wifi - ESSID (SSID), channel = [Đặt kênh (channel) hoạt động cho giao diện
mạng.], … (có thể xem Chi tiết về các thông số trong bảng tại đây)

Để xem những mạng hiện tại đang hoạt động xung quanh, ta thực hiện lệnh sau:

sudo airmon-ng wlan0mon

24
 ết quả sau khi thực hiện lệnh sudo airmon-nHình 7:

Hình 7: Kết quả sau khi thực hiện lệnh sudo airmon-ng wlan0mon

Hoặc ta có thể sử dụng công cụ Wifite để rà quét các mạng xung quanh, xem các
giao thức bảo mật của nó cũng như các client đang sử dụng trong mạng.

25
Hình 8: Kết quả khi khởi động công cụ wifite để quét các mạng không dây

26
2. Scan trong mạng không dây
- Scan dải địa chỉ IP tìm các kết nối thiết bị trong mạng.

Hình 9: Sử dụng nmap để quét các thiết bị đang hoạt động trong mạng cùng với
địa chỉ MAC của chúng

27
 Hình 10: chạy Ping sweep output nmap

- Scan các thiết bị còn sống trong mạng

Hình 11: Quét các thiết bị đang online trong mạng bằng nmap

- Scan port mở của tất cả các thiết bị có trong mạng.

Hình 12: Quét tất cả các port đang mở của tất cả các thiết bị trong mạng.

28
 - Scan các lỗ hổng có trong thiết bị trong mạng.
NSE script giúp cung cấp thông tin về lỗ hổng có thể trên hệ thống dựa theo API của
Vulners.com

Hình 13: Quét lỗ hổng của Router Wifi bằng nmap

- Scan hệ điều hành của của các thiết bị trong mạng

29
 Hình 14: Quét hệ điều hành của Router wifi trong mạng

3. Sử dụng Wireshark dò quét bắt gói tin

Chúng ta sử dụng Wireshark ở chế độ monitor để bắt các gói tin phát trên mạng
không dây, dưới đây là một số gói tin cơ bản được truyền trên mạng.

Để có thể sniffing các packets của một mạng không dây xác định bằng cách dùng
Wireshark chụp bắt gói tin rồi lọc lấy địa chỉ MAC của AP đó.

Hình 15: Dùng Wireshark ở chế độ monitor chụp các gói phát trên mạng không dây

Tiếp theo ta có thể sử dụng bộ lọc của wireshark để lọc ra những gói có MAC xác
định
wlan.bssid == <mac>

30
 Hình 16: Lọc theo địa chỉ MAC với Wireshark

Hoặc ta có thể lọc theo ssid: wlan.ssid = “ssid”

31
 Hình 17: Lọc theo tên mạng với Wireshark

Tham khảo thêm tại: WPA-CAPTURE

WIRESHARK DISPLAY FILTER
Video USE Wireshark DISPLAY FILTER

PHẦN 3: KIỂM THỬ TẤN CÔNG MẠNG KHÔNG DÂY

(WIRELESS ATTACK)
I.Giới thiệu

1. Wireless (mạng không dây)

- Bằng cách loại bỏ các kết nối vật lý hoặc cáp, các cá nhân có thể sử dụng mạng
theo những cách mới để làm cho dữ liệu di động, di động và có thể truy cập được.
Mạng không dây là một hệ thống liên lạc dữ liệu không giới hạn sử dụng công
32
 nghệ tần số vô tuyến để giao tiếp với các thiết bị và thu thập dữ liệu. Mạng này giải
phóng người dùng khỏi các kết nối phức tạp và có nhiều dây bằng cách sử dụng
sóng điện từ (EM) để kết nối hai điểm riêng lẻ mà không cần thiết lập bất kỳ kết
nối vật lý nào.
- Global System for Mobile Communications (GSM): Đây là một hệ thống chung
được sử dụng để truyền dữ liệu di động trong các mạng không dây trên toàn thế
giới.
- Bandwidth: Nó mô tả lượng thông tin có thể được phát qua một kết nối. Thông
thường, băng thông đề cập đến tốc độ truyền dữ liệu và được đo bằng bit (lượng dữ
liệu) trên giây (bps).
- Access Point (AP): Một AP được sử dụng để kết nối các thiết bị không dây với
mạng không dây/có dây. Nó cho phép các thiết bị truyền thông không dây kết nối
với mạng không dây thông qua các tiêu chuẩn không dây như Bluetooth và Wi-Fi.
Nó đóng vai trò như một bộ chuyển mạch hoặc trung tâm giữa mạng LAN có dây
và mạng không dây.
- Basic service set identifier (BSSID): Là địa chỉ điều khiển truy cập phương tiện
(MAC) của điểm truy cập (AP) hoặc trạm gốc đã thiết lập bộ dịch vụ cơ bản
(BSS). Nói chung, người dùng không biết BSS mà họ thuộc về. Khi người dùng di
chuyển thiết bị, BSS mà thiết bị sử dụng có thể thay đổi do có sự thay đổi trong
phạm vi được AP bao phủ, nhưng thay đổi này có thể không ảnh hưởng đến kết nối
của thiết bị không dây.
- Industrial, scientific, and medical (ISM) band: Băng tần này là tập hợp các tần
số được sử dụng bởi cộng đồng công nghiệp, khoa học và y tế quốc tế.
- Hospot: Đây là những nơi có mạng không dây để sử dụng công cộng. Điểm phát
sóng đề cập đến các khu vực có sẵn Wi - Fi, nơi người dùng có thể bật Wi - Fi trên
thiết bị của họ và kết nối với Internet.
- Association: đề cập đến quá trình kết nối một thiết bị không dây với một AP.
- Service set identifier (SSID): SSID là mã định danh duy nhất gồm 32 ký tự chữ
và số được cấp cho mạng cục bộ không dây (WLAN) hoạt động như một mã định

33
 danh không dây của mạng. SSID cho phép các kết nối đến mạng mong muốn giữa
các mạng độc lập có sẵn. Các thiết bị kết nối với cùng một mạng WLAN phải sử
dụng cùng một SSID để thiết lập kết nối.
- Orthogonal frequency division multiplexing (OFDM): OFDM là một phương
pháp điều chế dữ liệu kỹ thuật số, trong đó một tín hiệu, ở một tần số đã chọn,
được tách thành nhiều tần số sóng mang trực giao (xảy ra ở các góc vuông) với
nhau. OFDM ánh xạ thông tin về những thay đổi trong pha sóng mang, tần số, biên
độ hoặc sự kết hợp của những thứ này và chia sẻ băng thông với các kênh độc lập
khác. Nó tạo ra một sơ đồ truyền hỗ trợ tốc độ bit cao hơn so với hoạt động kênh
song song. Nó cũng là một phương pháp mã hóa dữ liệu số trên nhiều tần số sóng
mang.
- Multiple input, multiple output - orthogonal frequency - division multiplexing
(MIMO-OFDM): MlMO - OFDM ảnh hưởng đến hiệu quả phổ của các dịch vụ
truyền thông không dây 46 và SG. Việc áp dụng kỹ thuật MlMO - OFDM giúp
giảm nhiễu và tăng cường độ mạnh mẽ của kênh.
- Direct-sequence spread spectrum (DSSS): DSSS là một kỹ thuật trải phổ giúp
nhân tín hiệu dữ liệu gốc với mã trải rộng nhiễu giả - ngẫu nhiên. Còn được gọi là
sơ đồ truyền dữ liệu hoặc sơ đồ điều chế, kỹ thuật này bảo vệ tín hiệu khỏi bị nhiễu
hoặc gây nhiễu.
- Frequency-hopping spread spectrum (FHSS): FHSS, còn được gọi là đa truy
nhập phân chia theo mã theo tần số (FH - CDMA), là một phương pháp truyền tín
hiệu vô tuyến bằng cách chuyển đổi nhanh sóng mang giữa nhiều kênh tần số. Nó
làm giảm hiệu quả của việc đánh chặn trái phép hoặc gây nhiễu viễn thông. Trong
FHSS, một máy phát nhảy giữa các tần số có sẵn bằng cách sử dụng một thuật toán
được chỉ định, một chuỗi giả ngẫu nhiên được biết đến bởi cả người gửi và người
nhận.

a. Các loại mạng không dây:

34
 - Extension to a Wired Network (mở rộng mạng có dây) bằng cách đặt các AP giữa 3
mạng có dây và thiết bị không dây. Mạng không dây cũng có thể được tạo bằng AP. Các
loại APS bao gồm:

 AP phần mềm (SAPs): SAPs có thể được kết nối với mạng có dây và
chúng chạy trên máy tính được trang bị thẻ giao diện mạng không dây
(NIC).
 Phần cứng APS (HAPs): HAPs hỗ trợ hầu hết các tính năng không dây.
Trong loại mạng này, AP hoạt động như một bộ chuyển mạch, cung cấp kết
nối cho các máy tính sử dụng NIC không dây. AP có thể kết nối các máy
khách không dây với mạng LAN có dây, cho phép truy cập không dây vào
các tài nguyên LAN như máy chủ tệp và kết nối Internet.

Hình 18: Mô hình mở rộng mạng có dây

- Multiple Access Points: Loại mạng này kết nối không dây các máy tính bằng cách
sử dụng nhiều AP. Nếu một AP không thể bao phủ một khu vực, nhiều AP hoặc
điểm mở rộng có thể được thiết lập.

Khu vực không dây của mỗi AP phải chồng lên khu vực hàng xóm của nó. Điều
này cung cấp cho người dùng khả năng di chuyển liên tục bằng cách sử dụng một tính

35
năng được gọi là chuyển vùng. Một số nhà sản xuất phát triển các điểm mở rộng hoạt
động như rơ le không dây, mở rộng phạm vi của một AP duy nhất. Nhiều điểm mở rộng
có thể được kết nối với nhau để cung cấp khả năng truy cập không dây đến các vị trí xa
AP trung tâm.

Hình 19: Mô hình nhiều điểm truy cập

- Mạng không dây LAN-to-LAN: AP cung cấp kết nối không dây với các máy tính
cục bộ và các máy tính cục bộ trên các mạng khác nhau có thể được kết nối với
nhau. Tất cả các AP phần cứng đều có khả năng kết nối với các AP phần cứng
khác. Tuy nhiên, việc kết nối các mạng LAN qua các kết nối không dây là một
công việc phức tạp.

36
 Hình 20: Mô hình mạng không dây LAN – to – LAN

- 3G/4G Hotspot: Điểm phát sóng 3G/4G là một loại mạng không dây cung cấp
truy cập Wi - Fi cho các thiết bị hỗ trợ Wi - Fi, bao gồm máy nghe nhạc MP3, máy
tính xách tay, máy tính bảng, máy ảnh, PDA, netbook, v.v.

Hình 21: Mô hình điểm phát sóng 3G/4G

b. Các tiêu chuẩn mạng không dây

37
 - Chuẩn IEEE 802.11 đã phát triển từ một tiêu chuẩn cho phần mở rộng không dây
cơ bản cho mạng LAN có dây thành một giao thức hoàn thiện hỗ trợ xác thực
doanh nghiệp, mã hóa mạnh và chất lượng dịch vụ. Khi được giới thiệu vào năm
1997, tiêu chuẩn WLAN chỉ định hoạt động ở tốc độ 1 và 2 Mbps trong dải hồng
ngoại cũng như trong dải tần công nghiệp, khoa học và y tế (ISM) 2,4-GHZ được
miễn giấy phép. Trong những ngày đầu, mạng 802.11 có một vài PC có khả năng
không dây được kết nối với mạng LAN Ethernet (IEEE 802.3) thông qua một AP
mạng duy nhất. Giờ đây, mạng 802.11 hoạt động ở tốc độ cao hơn đáng kể và ở
các băng tần bổ sung. Các vấn đề mới đã phát sinh, chẳng hạn như bảo mật,
chuyển vùng giữa nhiều AP và chất lượng dịch vụ. Các sửa đổi đối với tiêu chuẩn
được biểu thị bằng các chữ cái trong bảng chữ cái bắt nguồn từ các nhóm nhiệm vụ
802.11 đã tạo ra chúng, như được hiển thị trong bảng dưới đây.

Tần số Khoảng cách

Các tiêu chuẩn Điều chế Tốc độ (Mpbs)
(GHz) (m)

802.11(Wi-fi) 2.4 DSSS,FHSS 1,2 20-100

5 6, 9, 12, 18, 24, 35-100

802.11a OFDM
3.7 36, 48, 54 5000

802.11b 2.4 DSSS 1, 2, 5.5, 11 35 – 140

Nó là một cải tiến cho 802.11a và 802.11b cho phép khả năng di động
802.11d toàn cầu bằng cách cho phép thay đổi tần số, mức công suất và băng
thông

Nó cung cấp hướng dẫn cho việc truyền dữ liệu, thoại và video cho
802.11e
phép QoS

6, 9, 12, 18, 24,

802.11g 2.4 OFDM 38 – 140
36, 48, 54

38
 Một tiêu chuẩn cho mạng cục bộ không dây (WLANs) cung cấp mã
802.11i hóa cải tiến cho các mạng sử dụng các chuẩn 802.11a, 802.11b và
802.11g; xác định WPA2-Entemrise/WPA2-Personal cho Wi-Fi

802.11n 2.4, 5 MIMO-OFDM 54 – 600 70 – 250

802.15.1 GFSK,π/4-DPSK,
2.4 25 – 50 10 – 240
(Bluetooth) 8DPSK

0.868,
802.15.4 O-QPSK, GFSK,
0.915, 0.02, 0.04, 0.25 1 – 100
(ZigBee) BPSK
2.4

1609.34 -
802.16
2 – 11 SOFDMA 34 – 1000 9656.06 (1 - 6
(WiMAX)
dặm)

Bảng 2:Các tiêu chuẩn mạng không dây

802.11: Chuẩn 802.11 (Wi-Fi) áp dụng cho WLANs và sử dụng FHSS hoặc DSSS làm
phổ nhảy tần. Nó cho phép một thiết bị điện tử thiết lập kết nối không dây trong bất kỳ
mạng nào.

802.11a: Đây là bản sửa đổi đầu tiên cho chuẩn 802.11 gốc. Chuẩn 802.11 hoạt động ở
dải tần 5 GHz và hỗ trợ băng thông lên đến 54 Mbps bằng cách sử dụng ghép kênh phân
chia theo tần số trực giao (OFDM). Nó có tốc độ tối đa cao nhưng tương đối nhạy cảm
hơn với các bức tường và các chướng ngại vật khác.

802.11b: IEEE đã mở rộng tiêu chuẩn 802.11 bằng cách tạo ra các thông số kỹ thuật
802.11b vào năm 1999. Tiêu chuẩn này hoạt động ở băng tần 2,4 GHz ISM và hỗ trợ
băng thông lên đến 11 Mbps bằng cách sử dụng mô - đun trải phổ chuỗi trực tiếp (DSSS).

39
802.11d: Chuẩn 802.11d là phiên bản nâng cao của 802.11a và 802.11b hỗ trợ các miền
quy định. Các thông số kỹ thuật của tiêu chuẩn này có thể được đặt trong lớp điều khiển
truy cập phương tiện (MAC).

IEEE 802.11e: Nó được sử dụng cho các ứng dụng thời gian thực như thoại, VolP và
video. Để đảm bảo rằng các ứng dụng nhạy cảm với thời gian này có tài nguyên mạng mà
chúng cần, 802.11e xác định các cơ chế đảm bảo chất lượng dịch vụ (QoS) cho Lớp 2 của
mô hình tham chiếu, đó là lớp MAC.

802.11g: Nó là một phần mở rộng của 802.11 và hỗ trợ băng thông tối đa là 54 Mbps sử
dụng công nghệ OFDM. Nó sử dụng cùng một băng tần 2,4 GHz như 802.11b. Chuẩn
IEEE 802.11g xác định các phần mở rộng tốc độ cao cho 802.11b và tương thích với
chuẩn 802.11b, có nghĩa là các thiết bị 802.11b có thể hoạt động trực tiếp với AP
802.11g.

802.11i: Tiêu chuẩn IEEE 802.11i cải thiện bảo mật WLAN bằng cách triển khai các giao
thức mã hóa mới như Giao thức toàn vẹn khóa tạm thời (TKIP) và Tiêu chuẩn mã hóa
nâng cao (AES).

802.11n: IEEE 802.11n là bản sửa đổi nâng cao tiêu chuẩn 802.11g với các ăng - ten đa
đầu ra đa đầu vào (MIMO). Nó hoạt động ở cả hai băng tần 2,4 GHz và 5 GHz. Hơn nữa,
nó là một tiêu chuẩn công nghiệp IEEE cho truyền tải mạng cục bộ không dây Wi - Fi.
Truyền âm thanh kỹ thuật số (DAB) và WLAN sử dụng OFDM.

802.11ah: Còn được gọi là Wi-Fi HaLow, sử dụng băng tần 900 MHz cho mạng Wi - Fi
phạm vi mở rộng và hỗ trợ giao tiếp Internet of Things (IoT) với tốc độ dữ liệu cao hơn
và phạm vi phủ sóng rộng hơn so với các tiêu chuẩn trước đây.

802.11ac: Nó cung cấp một mạng thông lượng cao ở tần số 5 GHz. Nó nhanh hơn và
đáng tin cậy hơn so với chuẩn 802.11n. Hơn nữa, nó liên quan đến mạng Gigabit, cung
cấp trải nghiệm truyền dữ liệu tức thời.

802.11ad: Chuẩn 802.11ad bao gồm một lớp vật lý mới cho mạng 802.11 và hoạt động
trên phổ tần 60 GHz. Tốc độ truyền dữ liệu trong tiêu chuẩn này cao hơn nhiều so với các
tiêu chuẩn hoạt động trên băng tần 2,4 GHz và 5 GHz, chẳng hạn như 802.11n.
40
802.12: Việc sử dụng phương tiện truyền thông bị chi phối bởi tiêu chuẩn này vì nó hoạt
động trên giao thức ưu tiên theo yêu cầu. Tốc độ Ethernet với tiêu chuẩn này là 100
Mbps. Hơn nữa, nó tương thích với các tiêu chuẩn 802.3 và 802.5. Người dùng hiện đang
sử dụng các tiêu chuẩn đó có thể trực tiếp nâng cấp lên tiêu chuẩn 802.12.

802.15: Nó định nghĩa các tiêu chuẩn cho mạng khu vực cá nhân không dây (WPAN) và
mô tả các thông số kỹ thuật cho kết nối không dây với các thiết bị cố định hoặc di động.

802.15.1 (Bluetooth): Bluetooth chủ yếu được sử dụng để trao đổi dữ liệu trong khoảng
cách ngắn trên các thiết bị cố định hoặc di động. Chuẩn này hoạt động trên băng tần 2,4
GHz.

802.15.4 (ZigBee): Chuẩn 802.15.4 có độ phức tạp và tốc độ dữ liệu thấp. Đặc điểm kỹ
thuật được sử dụng trong ZigBee tiêu chuẩn này, truyền dữ liệu đường dài thông qua một
mạng lưới. Đặc điểm kỹ thuật xử lý các ứng dụng có tốc độ dữ liệu thấp 250 Kbps, nhưng
việc sử dụng nó làm tăng tuổi thọ pin.

802.15.5: Tiêu chuẩn này tự triển khai trên cấu trúc liên kết toàn lưới hoặc nửa lưới. Nó
bao gồm mạng ¡nítializatíon, định địa chỉ và thống nhất.

802.16: Tiêu chuẩn IEEE 802.16 là một tiêu chuẩn truyền thông không dây được thiết kế
để cung cấp nhiều tùy chọn lớp vật lý (PHY) và MAC. Nó còn được gọi là WiMax. Tiêu
chuẩn này là đặc điểm kỹ thuật cho các mạng truy nhập đô thị không dây băng rộng xed
(MANS) sử dụng kiến trúc điểm - đa điểm.

c. Các chế độ xác thực kết nối mạng không dây

Các chế độ thực hiện xác thực Wi - Fi bao gồm authentication hệ thống mở và
authentication khóa chia sẻ.

- Open system authentication process (Quy trình xác thực hệ thống mở): Trong
quy trình này, bất kỳ ứng dụng khách không dây nào cố gắng truy cập mạng Wi -
Fi sẽ gửi yêu cầu đến AP không dây để xác thực. Trong quá trình này, trạm gửi
một khung quản lý xác thực chứa danh tính của trạm gửi để xác thực và kết nối với
trạm không dây khác, đó là AP không dây. Sau đó AP trả về một khung xác thực

41
 để xác nhận quyền truy cập vào trạm được yêu cầu, từ đó hoàn tất quá trình xác
thực.

Hình 22: Mô hình quy trình xác thực hệ thống mở

- Shared key authentícation process (Quá trình xác thực khóa dùng chung):
Trong quá trình này, mỗi trạm không dây nhận một khóa bí mật được chia sẻ qua
một kênh bảo mật khác với các kênh truyền thông mạng không dây 802.11. Các
bước sau minh họa việc thiết lập kết nối trong quy trình xác thực khóa dùng chung:

+ Trạm gửi một khung xác thực đến AP.

+ AP gửi một tin nhắn thách thức đến trạm.

+ Trạm mã hóa văn bản thách thức bằng khóa 64-bit hoặc 128-bit đã được định cấu
hình và gửi văn bản đã mã hóa đến AP.

+ AP sử dụng khóa Quyền riêng tư tương đương có dây (WEP) được định cấu hình
để giải mã văn bản đã mã hóa. AP so sánh văn bản được giải mã với văn bản thách thức
ban đầu. Nếu chúng khớp, AP xác thực trạm.

AP có thể từ chối đài nếu văn bản được giải mã không khớp với văn bản thách
thức ban đầu; khi đó, trạm sẽ không thể giao tiếp với mạng Ethernet hoặc mạng 802.11.

42
 Hình 23: Mô hình quá trình xác thực khóa dùng chung

- Wi - Fi Authentication Process Using a Centralized Authentication Server (Quy

trình xác thực Wi-Fi bằng máy chủ xác thực tập trung)

Chuẩn 802.1X cung cấp xác thực tập trung. Để xác thực 802.1X hoạt động trong
mạng không dây, AP phải có khả năng xác định an toàn lưu lượng truy cập từ một máy
khách không dây cụ thể. Trong quy trình xác thực Wi-Fi này, máy chủ xác thực tập trung
được gọi là Quay số xác thực từ xa - trong Dịch vụ người dùng (RADIUS) sẽ gửi khóa
xác thực tới cả AP và máy khách cố gắng xác thực với AP. Khóa này cho phép AP xác
định một ứng dụng khách không dây cụ thể.

Hình 24: Quy trình xác thực Wifi bằng máy chủ xácc thực tập trung
43
d. 2 kỹ thuật tấn công crack mật khẩu dựa trên quá trình xác thực WPA/WPA2

 Hand shake capture

- Khi một client muốn kết nối đến Router được cài đặt chuẩn bảo mật WPA/WPA2
để truy cập internet nó cần có PSK (Pre-shared Key) mà ta hay gọi là password.
Client cần có cách để chứng minh với Router rằng nó biết password mà không trực
tiếp gửi password qua Router (để tránh có kẻ thứ 3 bắt được gói tin này và thu
được password). Quá trình xác thực trải qua 4 bước (4-way handshake – giao thức
bắt tay 4 bước):

+ Client dò mạng và thấy sóng public của Router, trong sóng này có cái mã
Random là ANonce.

+ Client lấy cái ANonce, qua quá trình tính toán tính ra được cái mã SNonce, và
gửi đi SNonce cùng một số thông tin đã được mã hóa như tao là ai, tao có password wifi
nè, … cho Router.

+ Router nhận được SNonce, nó bảo: à há, thằng này biết password wifi nè, cho nó
kết nối thôi. Nó hăm hở gửi lại cho client 1 cái mã khóa chung gọi là GTK (Group
Temporary Key) và bảo rằng, ê thằng đệ, lấy cái Key này về mà mã hóa dữ liệu gửi cho
tao, tao sẽ biết đường mã giải mã.

+ Client nhận được cái GTK sẽ lưu lại (Installation), liền dùng nó mã hóa 1 cái thư
gửi lại cho Router với nội dung ACK thông báo cho Router rằng tao nhận được khóa rồi,
vui quá mày ơi. Từ đó 2 thằng dùng cái mã khóa chung này để gửi và nhận dữ liệu.

44
 Hình 25: Quy trình bắt tay 4 bước

Phương pháp tấn công ở đây là ta sẽ bắt các gói tin trong quá trình 4 - way
handshake này để thu được cái mật khẩu ở dạng mã hash. Không có cách nào để thu lại
được password gốc từ mã hash này vì đây là mã một chiều. Đây là lúc áp dụng Wordlist
Attack, tức là ta sẽ tạo wordlist chứa danh sách các password tiềm năng, rồi chuyển chúng
thành mã hash. Sau đó so sánh từng mã hash này với cái mã hash đã thu được từ đó suy ra
được password ban đầu.

 PMKID

Một kỹ thuật hack WiFi mới vừa được tiết lộ, cho phép tin tặc có thể crack mật
khẩu WiFi của hầu hết các router hiện đại một cách dễ dàng hơn.
Được phát hiện bởi nhà phát triển của công cụ băm mật khẩu phổ biến Hashcat,
Jens 'Atom' Steube, kỹ thuật hack WiFi mới nhắm vào các giao thức mạng không dây
WPA/WPA2 có bật tính năng chuyển vùng dựa trên PMKID (Pairwise Master Key
45
Identifier).
Cuộc tấn công vào các mạng WiFi kích hoạt WPA/WPA2 được vô tình phát
hiện bởi Steube khi đang phân tích tiêu chuẩn bảo mật WPA3 mới.
Phương pháp hack WiFi mới này có thể cho phép kẻ tấn công khôi phục mật khẩu
(preshared key), từ đó xâm nhập vào mạng WiFi và nghe lén các liên lạc trên Internet.

Hình 26: Thông tin chi tiết gói tin chứa PSII PMKID

Theo các nhà nghiên cứu, các phương thức hack WiFi trước đây yêu cầu kẻ tấn
công phải chờ ai đó đăng nhập vào mạng và phải bắt được thông tin xác thực 4 chiều đầy
đủ của giao thức xác thực cổng mạng EAPOL.
Trong khi đó, cuộc tấn công mới không yêu cầu phải có người dùng khác
trên mạng mục tiêu để bắt được thông tin xác thực. Thay vào đó, cuộc tấn công được thực
hiện trên RSN IE (Robust Security Network Information Element) sử dụng một frame
EAPOL (Giao thức xác thực mở rộng qua mạng LAN) duy nhất sau khi gửi yêu cầu từ
điểm truy cập.
Robust Security Network (Mạng an ninh mạnh) là một giao thức để thiết lập

46
liên lạc an toàn qua mạng không dây 802.11 và có kích hoạt PMKID, khóa cần thiết để
thiết lập kết nối giữa máy khách và điểm truy cập.

Bước 1: Kẻ tấn công có thể sử dụng một công cụ, như hcxdumptool (v4.2.0 hoặc cao
hơn), để yêu cầu PMKID từ điểm truy cập mục tiêu và dump frame nhận được vào một
tệp.
$ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status

Bước 2 - Sử dụng công cụ hcxpcaptool, đầu ra (ở định dạng pcapng) của frame có thể
được chuyển đổi thành một định dạng băm được Hashcat chấp nhận.
$ ./hcxpcaptool -z test.16800 test.pcapng

Bước 3 - Sử dụng công cụ bẻ khóa mật khẩu Hashcat (v4.2.0 hoặc cao hơn) để nhận mật
khẩu WPA PSK (Khóa chia sẻ trước) và Bingo!
$ ./hashcat -m 16800 test.16800 -a 3 -w 3 '? l? l? l? l? l? lt!'

Đó là mật khẩu của mạng không dây mục tiêu, quá trình bẻ khóa có thể mất thời
gian tùy thuộc vào độ dài và độ phức tạp của mật khẩu.

II. Các giao thức mã hóa mạng không dây (Wireless Encrytion)

1. Định nghĩa:

Mã hóa không dây là một quá trình bảo vệ mạng không dây khỏi những kẻ tấn
công cố gắng thu thập thông tin nhạy cảm bằng cách vi phạm lưu lượng RF. Phần này
cung cấp thông tin chi tiết về các tiêu chuẩn mã hóa không dây khác nhau như Wired
Equipvalent Privacy - WEP (Bảo mật tương đương mạng đi dây), Wi - Fi Protected
Access - WPA (Truy cập được bảo vệ bằng Wi - Fi), WPA2 và WPA3, ngoài ra còn bàn
đến các vấn đề trong WEP, WPA và WPA2.

2. Các dạng mã hóa mạng không dây:

47
 Các cuộc tấn công vào mạng không dây đang gia tăng hàng ngày với việc sử dụng
mạng không dây ngày càng nhiều. Việc mã hóa thông tin trước khi truyền trên mạng
không dây là phương pháp phổ biến nhất để bảo vệ mạng không dây trước những kẻ tấn
công. Có một số loại thuật toán mã hóa không dây có thể bảo mật mạng không dây. Mỗi
thuật toán mã hóa không dây đều có ưu điểm và nhược điểm.

- 802.11i: Đây là một sửa đổi IEEE chỉ định các cơ chế bảo mật cho mạng không
dây 802.11.
- WEP: WEP là một thuật toán mã hóa cho các mạng không dây IEEE 802.11. Đây
là một tiêu chuẩn bảo mật không dây cũ và có thể bị bẻ khóa dễ dàng.
- EAP: Giao thức xác thực mở rộng (EAP) hỗ trợ nhiều phương pháp xác thực,
chẳng hạn như thẻ mã thông báo, Kerberos và chứng chỉ.
- LEAP: Lightweight EAP (LEAP) là phiên bản EAP độc quyền do Cisco phát
triển.
- WPA: Đây là một giao thức mã hóa không dây tiên tiến sử dụng TKIP và Kiểm tra
tính toàn vẹn của tin nhắn (MIC) để cung cấp mã hóa mạnh mẽ và tính xác thực.
Nó sử dụng vectơ khởi tạo 48 bit (IV), kiểm tra dự phòng chu kỳ 32 bit (CRC) và
mã hóa TKIP để bảo mật không dây.
- TKIP: Đây là một giao thức bảo mật được sử dụng trong WPA để thay thế cho
WEP.
- WPA2: Đây là bản nâng cấp lên WPA sử dụng AES và Giao thức mã xác thực tin
nhắn chuỗi khối mã hóa chế độ bộ đếm (CCMP) để mã hóa dữ liệu không dây.
- AES: Nó là một mã hóa khóa đối xứng được sử dụng trong WPA2 để thay thế cho
TKIP.
- CCMP: Đây là một giao thức mã hóa được sử dụng trong WPA2 để mã hóa mạnh
mẽ và xác thực.
- WPA2 Enterprise: Nó tích hợp các tiêu chuẩn EAP với mã hóa WPA2.
- RADIUS: Đây là một hệ thống quản lý xác thực và tác giả được tập trung hóa.
- PEAP: Đây là một giao thức đóng gói EAP trong một đường hầm Bảo mật tầng
truyền tải (TLS) được mã hóa và xác thực.
48
 - WPA3: Đây là giao thức bảo mật Wi - Fi thế hệ thứ ba cung cấp các tính năng mới
cho việc sử dụng cá nhân và doanh nghiệp. Nó sử dụng Galois/Counter Mode -
256 (GCMP - 256) để mã hóa và mã xác thực thông điệp băm 384 bit với Thuật
toán băm an toàn (HMAC - SHA-384) để xác thực.
a. WEP (Wired Equipvalent Privacy):

WEP là một nỗ lực ban đầu để bảo vệ mạng không dây khỏi các vi phạm bảo mật,
nhưng khi công nghệ được cải thiện, rõ ràng là thông tin được mã hóa bằng WEP rất dễ bị
tấn công.

 Mã hóa WEP là gì?

WEP là một thành phần của tiêu chuẩn WLAN IEEE 802.11. Mục đích chính của
nó là đảm bảo tính lưu trữ dữ liệu trên mạng không dây ở mức tương đương với các mạng
LAN có dây, có thể sử dụng bảo mật vật lý để ngăn chặn truy cập trái phép vào mạng.
Trong mạng WLAN, người dùng hoặc kẻ tấn công có thể truy cập mạng mà không cần
kết nối vật lý với mạng LAN. Do đó, WEP sử dụng cơ chế mã hóa ở lớp liên kết dữ liệu
để giảm thiểu truy cập không được phép vào mạng WLAN. Điều này được thực hiện bằng
cách mã hóa dữ liệu với thuật toán mã hóa Rivest Cipher 4 (RC4) đối xứng, đây là một cơ
chế mật mã được sử dụng để bảo vệ khỏi các mối đe dọa.

 Vai trò của WEP trong truyền thông không dây:

- WEP bảo vệ chống lại việc nghe trộm thông tin liên lạc không dây.

- Cố gắng ngăn chặn truy cập trái phép vào mạng không dây.

- Nó phụ thuộc vào một khóa bí mật được chia sẻ bởi một trạm di động và một AP.
Khóa này mã hóa các gói trước khi truyền. Thực hiện kiểm tra tính toàn vẹn đảm bảo rằng
các gói tin không bị thay đổi trong quá trình truyền. 802.11 WEP chỉ mã hóa dữ liệu giữa
các máy khách mạng.

 Ưu điểm chính của tính bảo mật của WEP:

- Ngăn chặn việc nghe trộm lớp liên kết.

- Kiểm soát truy cập: xác định ai có thể truy cập dữ liệu.
49
 - Tính toàn vẹn của dữ liệu: sẽ bảo vệ sự thay đổi dữ liệu của bên thứ ba.

- Hiệu quả.

 Các điểm quan trọng:

- WEP được phát triển mà không có bất kỳ đánh giá học thuật hoặc công khai nào.
Đặc biệt, nó đã không được các nhà mật mã học xem xét trong quá trình phát triển. Do đó,
nó có các lỗ hổng và lỗi thiết kế đáng kể.

- WEP là một mật mã dòng sử dụng RC4 để tạo ra một dòng byte được XOR với
bản rõ. Độ dài của WEP và khóa bí mật như sau:

+WEP 64-bit sử dụng khóa 40 bit

+WEP 128 bit sử dụng khóa 104-bít

+WEP 256-bit sử dụng khóa 232 bít

 Nhược điểm:

Những sai sót cơ bản sau đây làm suy yếu khả năng bảo vệ của WEP trước một
cuộc tấn công nghiêm trọng.

- Không có phương pháp xác định để phân phối khóa mã hóa:

+ Các khóa chia sẻ trước (PSKs) được đặt một lần khi cài đặt và hiếm khi
thay đổi.

+ Có thể dễ dàng khôi phục số lượng tin nhắn văn bản rõ được mã hóa bằng
cùng một khóa.

- RC4 được thiết kế để sử dụng trong môi trường ngẫu nhiên hơn so với môi
trường được sử dụng bởi WEP:

+ Vì PSK hiếm khi bị thay đổi, nên cùng một khóa được sử dụng nhiều lần.

+ Kẻ tấn công giám sát lưu lượng và tìm các cách khác nhau để làm việc với
thông điệp bản rõ.

+ Với kiến thức về bản mã và bản rõ, kẻ tấn công có thể tính toán khóa.

50
 - Những kẻ tấn công phân tích lưu lượng truy cập từ các mã bắt dữ liệu thụ động
và bẻ khóa các khóa WEP với sự trợ giúp của các công cụ như AirSnort và WEPCrack.

- Các thuật toán lập lịch khóa cũng dễ bị tấn công.

 Cách thức hoạt động:

Hình 27: Luồng hoạt động của WEP

- CRC-32 tổng kiểm tra được sử dụng để tính giá trị kiểm tra tính toàn vẹn 32 bit
(ICV) cho dữ liệu, giá trị này, lần lượt, được thêm vào khung dữ liệu.
- Một số tùy ý 24 bit được gọi là vectơ khởi tạo (IV) được thêm vào khóa WEP;
khóa WEP và IV được gọi là hạt giống WEP.
- Hạt giống WEP được sử dụng làm đầu vào cho thuật toán RC4 để tạo ra một dòng
khóa, được XOR theo bit khôn ngoan với sự kết hợp của dữ liệu và ICV để tạo ra
dữ liệu được mã hóa.
- Trường IV (IV + PAD + KID) được thêm vào bản mã để tạo khung MAC.
b. WPA (Wi-Fi Protected Access)

Truy cập được bảo vệ bằng Wi - Fi (WPA) là một giao thức bảo mật được xác định
theo tiêu chuẩn 802.11i. Trước đây, cơ chế bảo mật chính được sử dụng giữa các AP
không dây và máy khách không dây là mã hóa WEP, có một nhược điểm lớn là nó sử
dụng khóa mã hóa tĩnh. Kẻ tấn công có thể khai thác điểm yếu này bằng cách sử dụng các
công cụ miễn phí có sẵn trên Internet. IEEE định nghĩa WPA là "một sự mở rộng cho các
giao thức 802.11 có thể cho phép tăng cường bảo mật ...". Gần như mọi nhà sản xuất Wi -
Fi đều cung cấp WPA.
51
 WPA có bảo mật mã hóa dữ liệu tốt hơn WEP vì các thông điệp đi qua một bộ
Kiểm tra tính toàn vẹn của Thông điệp (MIC) bằng cách sử dụng Giao thức toàn vẹn khóa
tạm thời (TKIP), sử dụng mã hóa dòng RC4 với khóa 128 bit và MIC 64 bit để cung cấp
mã hóa và xác thực mạnh mẽ. WPA là một ví dụ về cách 802.11i cung cấp mã hóa mạnh
hơn và cho phép khóa chia sẻ trước (PSK) hoặc xác thực EAP. WPA sử dụng TKIP để mã
hóa dữ liệu, giúp loại bỏ các điểm yếu của WEP bằng cách bao gồm các chức năng trộn
theo từng gói, MICs, cơ chế mở rộng các IV và khóa lại.

WEP thường sử dụng khóa mã hóa 40 bit hoặc 104 bit, trong khi TKIP sử dụng
khoá 128 bít cho mỗi gói. MIC cho WPA ngăn kẻ tấn công thay đổi hoặc gửi lại các gói
tin.

TKIP: Nó được sử dụng trong một khóa mã hóa unicast thay đổi cho mọi gói tin,
do đó tăng cường bảo mật. Sự thay đổi này trong khóa cho mỗi gói được điều phối tự
động giữa máy khách không dây và AP. TKIP sử dụng thuật toán Kiểm tra tính toàn vẹn
của Michael với khóa MIC để tạo giá trị MIC. Nó sử dụng mã hóa mật mã dòng RC4 với
các khóa 128 bit và kiểm tra tính toàn vẹn của MIC 64 bit. Nó sẽ giảm thiểu tình trạng tổn
thương bằng cách tăng kích thước của IV và sử dụng các chức năng trộn. Theo TKIP,
máy khách bắt đầu bằng khóa tạm thời (TK) 128-bit, sau đó kết hợp với địa chỉ MAC của
máy khách và với một IV để tạo ra một dòng khóa được sử dụng để mã hóa dữ liệu qua
RC4. Nó thực hiện một trình tự bộ đếm để bảo vệ khỏi các cuộc tấn công phát lại. TKIP
nâng cao WEP bằng cách thêm cơ chế thay đổi khóa (rekeying) để cung cấp các khóa
toàn vẹn và mã hóa mới. TK được thay đổi sau mỗi 10.000 gói, điều này làm cho các
mạng được bảo vệ bằng TKlP có khả năng chống lại các cuộc tấn công phá mã liên quan
đến việc sử dụng lại khóa.

TKs: Tất cả thiết bị Wi-Fi mới được triển khai đều sử dụng mã hóa TKIP (cho
WPA) hoặc AES (cho WPA2) để đảm bảo bảo mật cho mạng WLAN. Trong cơ chế mã
hóa WEP, giao thức lấy các khóa mã hóa (TKS) từ khóa chính từng cặp (PMK), được tạo
trong phiên xác thực EAP, trong khi trong cơ chế mã hóa WPA và WPA2, giao thức lấy
các khóa mã hóa trong quá trình bắt tay bốn bước. Trong thông điệp EAP thành công,

52
PMK được gửi đến AP nhưng không được chuyển hướng đến Wi-Fi máy khách vì nó đã
lấy bản sao PMK của chính nó.

Hình dưới đây trình bày quy trình cài đặt các TK.

Hình 28: Luồng hoạt động của khóa tạm thời

- AP gửi ANonce đến máy khách, ứng dụng này sử dụng nó để xây dựng
khóa tạm thời theo cặp (PTK).
- Máy khách phản hồi bằng giá trị Nonce của chính nó (SNonce) với AP,
cùng với một MIC.
- AP gửi khóa tạm thời của nhóm (GTK) và một số thứ tự, cùng với một MIC
khác, được sử dụng trong các khung quảng bá tiếp theo.
- Máy khách xác nhận rằng các khóa tạm thời đã được cài đặt.
 Cách thức hoạt động của WPA:

53
 Hình 29: Luồng hoạt động của WPA

- TK - địa chỉ truyền và bộ đếm trình tự TKIP (TSC) được sử dụng làm đầu
vào cho thuật toán RC4 để tạo dòng khóa.

+ Chuỗi IV hoặc TK, địa chỉ truyền hoặc địa chỉ đích MAC và TK được kết
hợp với hàm băm hoặc hàm trộn để tạo ra khóa 128 bit và 104 bit.

+ Khóa này sau đó được kết hợp với RC4 để tạo ra luồng khóa có cùng độ
dài với thông điệp gốc.

- Đơn vị dữ liệu dịch vụ MAC (MSDU) và bộ kiểm tra tính toàn vẹn của
thông điệp (MIC) được kết hợp bằng cách sử dụng thuật toán Michael.
- Sự kết hợp của MSDU và MIC được phân mảnh để tạo ra đơn vị dữ liệu
giao thức MAC (MPDU).
- ICV 32 bit được tính toán cho MPDU.
- Sự kết hợp của MPDU và ICV được XOR theo từng bit với dòng khóa để
tạo ra dữ liệu được mã hóa.
- IV được thêm vào dữ liệu được mã hóa để tạo khung MAC.
c. WPA2

Wi - Fi Protected Access 2 (WPA2) là một giao thức bảo mật được sử dụng để bảo
vệ mạng không dây. WPA2 thay thế WPA vào năm 2006. Nó tương thích với chuẩn
802.11i và hỗ trợ nhiều tính năng bảo mật 1 mà WPA không có. WPA2 giới thiệu việc sử
dụng thuật toán mã hóa AES 140 - 2 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST)

54
FIPS 140 - 2 - một thuật toán mã hóa không dây mạnh mẽ và Giao thức mã xác thực
thông điệp khối chuỗi mã hóa bộ đếm (CCMP). Nó cung cấp khả năng bảo vệ dữ liệu và
kiểm soát truy cập mạng mạnh hơn WPA. Hơn nữa, nó cung cấp mức độ bảo mật cao cho
các kết nối Wi - Fi để chỉ những người dùng được ủy quyền mới có thể truy cập vào
mạng.

 Phương thức hoạt động:

WPA2 cung cấp hai chế độ hoạt động:

- WPA2 - Personal: WPA2 - Personal sử dụng mật khẩu được đặt trước,
được gọi là khóa chia sẻ trước (PSK), để bảo vệ truy cập mạng trái phép.
Mỗi thiết bị không dây sử dụng cùng một khóa 256 - bit được tạo từ mật
khẩu để xác thực với AP. Trong chế độ PSK, mỗi thiết bị mạng không dây
mã hóa lưu lượng mạng bằng khóa 128 bit bắt nguồn từ cụm mật khẩu gồm
8 - 63 ký tự ASCII. Bộ định tuyến sử dụng kết hợp cụm mật khẩu, SSID
mạng và TKIP để tạo khóa mã hóa duy nhất cho mỗi máy khách không dây.
Các khóa mã hóa này thay đổi liên tục.
- WPA2 - Enterprise: WPA2 - Enterprise sử dụng EAP hoặc RADIUS để
xác thực máy khách tập trung bằng nhiều phương pháp xác thực, chẳng hạn
như thẻ mã thông báo, Kerberos và chứng chỉ. WPA - Enterprise chỉ định
một khóa mật mã duy nhất cho mọi hệ thống và ẩn nó khỏi người dùng để
cung cấp bảo mật bổ sung và ngăn chặn việc chia sẻ khóa. Người dùng được
cấp phát thông tin đăng nhập bởi một máy chủ tập trung, mà họ phải xuất
trình khi kết nối với mạng.
 Cách thức hoạt động của WPA2:

Trong quá trình triển khai CCMP, dữ liệu xác thực bổ sung (AAD) được tạo
bằng cách sử dụng 3 MAC header và được đưa vào quy trình mã hóa sử dụng cả
mã hóa AES và CCMP. Do đó, phần không được mã hóa của khung hình được bảo
vệ khỏi mọi sai lệch hoặc biến dạng. Giao thức sử dụng số gói theo trình tự (PN)
và một phần của tiêu đề MAC để tạo Nonce mà nó sử dụng trong quá trình mã hóa.

55
 Giao thức cung cấp dữ liệu văn bản rõ ràng và các khóa tạm thời, AAD và Nonce
được sử dụng làm đầu vào cho quá trình mã hóa dữ liệu sử dụng cả thuật toán AES
và CCMP.

Một PN được bao gồm trong tiêu đề CCMP để bảo vệ khỏi các cuộc tấn
công phát lại. Dữ liệu kết quả từ nhịp điệu AES và CCMP tạo ra văn bản được mã
hóa và giá trị MIC được mã hóa. Cuối cùng, tiêu đề MAC được lắp ráp, tiêu đề
CCMP, dữ liệu được mã hóa và MIC được mã hóa tạo thành khung MAC WPA2.
Hình hưới đây cho thấy quy trình hoạt động của WPA2.

Hình 30: Luồng hoạt động của WPA2

d. WPA3

Wi-Fi Protected Access 3 (WPA3) đã được Wi - Fi Alliance công bố vào tháng 1

năm 2018 như là một triển khai nâng cao của WPA2 cung cấp các giao thức tiên phong.

56
Giống như WPA2, giao thức WPA3 có hai biến thể: WPA3 - Personal và WPA3 -
Enterprise.

WPA3 cung cấp các tính năng tiên tiến để đơn giản hóa bảo mật Wi-Fi và cung cấp
các khả năng cần thiết để hỗ trợ triển khai mạng khác nhau, từ mạng công ty đến mạng
gia đình. Nó cũng đảm bảo tính nhất quán của mật mã bằng cách sử dụng các thuật toán
mã hóa như AES và TKIP để bảo vệ khỏi các cuộc tấn công mạng. Hơn nữa, nó cung cấp
khả năng phục hồi mạng thông qua Khung quản lý được bảo vệ (PMF) mang lại mức độ
bảo vệ cao chống lại các cuộc tấn công nghe trộm và giả mạo. WPA3 cũng không cho
phép các giao thức cũ đã lỗi thời.

 Phương thức hoạt động:

WPA3 cung cấp hai chế độ hoạt động:

- WPA3-Personal: Chế độ này chủ yếu được sử dụng để cung cấp xác thực
dựa trên mật khẩu. WPA3 khó bị tấn công hơn WPA2 vì nó sử dụng một
giao thức thiết lập khóa hiện đại được gọi là Xác thực đồng thời các bằng
(SAE), còn được gọi là Dragonfly Key Exchange, thay thế khái niệm PSK
được sử dụng trong WPA2 - Personal. Một số tính năng của WPA3 -
Personal được mô tả dưới đây:

+ Chống lại các cuộc tấn công từ điển ngoại tuyến: sẽ ngăn chặn các
cuộc tấn công mật khẩu thụ động như brute - force.

+ Khả năng chống khôi phục khóa: Ngay cả khi mật khẩu được xác định,
không thể nắm bắt và xác định khóa phiên trong khi vẫn duy trì tính bí mật về phía
trước của lưu lượng mạng.

+ Lựa chọn mật khẩu tự nhiên: cho phép người dùng chọn các cụm từ yếu
hoặc phổ biến làm mật khẩu, dễ nhớ.

+ Khả năng truy cập dễ dàng: có thể cung cấp khả năng bảo vệ cao hơn
WPA2 mà không làm thay đổi các phương pháp trước đây được người dùng sử
dụng để kết nối với mạng.

57
 - WPA3 - Enterprise: Chế độ này dựa trên WPA2. Nó cung cấp bảo mật tốt
hơn WPA2 trên toàn mạng và bảo vệ dữ liệu nhạy cảm bằng cách sử dụng
nhiều khái niệm và công cụ mật mã. Một số giao thức bảo mật được sử
dụng bởi WPA3 - Enterprise được mô tả bên dưới.

+ Mã hóa xác thực: sẽ giúp duy trì tính xác thực và tính bảo mật của dữ
liệu. Với mục đích này, WPA3 sử dụng Galois /Giao thức chế độ bộ đếm 256 - bit
(GCMP - 255).

+ Dẫn xuất khóa và xác thực: Nó giúp tạo khóa mật mã từ mật khẩu hoặc
khóa chính. Nó sẽ sử dụng chế độ xác thực thông điệp băm 384 bit (HMAC) với
Thuật toán băm an toàn, được gọi là HMAC – SHA - 384.

+ Thiết lập và xác minh khóa: sẽ giúp trao đổi khóa mật mã giữa hai bên.
Với mục đích này, WPA3 sử dụng trao đổi Elliptic Curve Diffie - Hellman
(ECDH) và Elliptic Curve Digital Signature Algorithm (ECDSA) sử dụng một
đường cong elliptic 384 bit.

+ Bảo vệ khung và quản trị mạnh mẽ: WPA3 sử dụng Giao thức truyền
phát toàn vẹn kết hợp với mã xác thực tin nhắn Galois 256 bit (BIP – GMAC –
256) nhằm mục đích này.

 Các cải tiến trong WPA3 với nền tảng của WPA2:

WPA3 có thể được sử dụng để thực hiện chiến lược bảo mật phân lớp có thể
bảo vệ tất cả các khía cạnh của mạng Wi - Fi. WPA3 có một chương trình chứng
nhận chỉ định các tiêu chuẩn hiện hành mà sản phẩm phải hỗ trợ. Giao thức bắt tay
Dragonfly / SAE là bắt buộc đối với chứng nhận WPA3.

Các tính năng quan trọng của WPA3 như sau:

- Bắt tay an toàn: Giao thức Xác thực bằng đồng thời (SAE), còn được gọi
là bắt tay Dragonfly, có thể được sử dụng để tạo mật khẩu chống lại các
cuộc tấn công từ điển và brute - force, ngăn chặn việc giải mã dữ liệu ngoại
tuyến.

58
 - Wi - Fi Easy Connect: Tính năng này đơn giản hóa quy trình cấu hình bảo
mật bằng cách quản lý các kết nối giao diện khác nhau trong mạng có một
giao diện bằng Giao thức cấp phép thiết bị Wi - Fi (DPP). Điều này có thể
bảo mật cho phép nhiều thiết bị thông minh trong mạng kết nối với một
thiết bị bằng cách sử dụng mã hoặc mật khẩu phản hồi nhanh (QR). Nó
cũng giúp thiết lập kết nối giữa các thiết bị IoT khác nhau.
- Mã hóa không xác thực: sẽ sử dụng một tính năng mới được gọi là Mã
hóa không dây cơ hội (OWE) thay thế xác thực "mở" 802.11 bằng cách
cung cấp khả năng bảo vệ tốt hơn khi sử dụng các điểm truy cập công cộng
và mạng công cộng.
- Khóa phiên lớn hơn: Quy trình bảo mật mật mã của WPA3 - Enterprise hỗ
trợ kích thước khóa từ 192 bit trở lên, rất khó bẻ khóa, đảm bảo khả năng
bảo vệ chắc chắn.
3. So sánh WEP, WPA, WPA2 và WPA3
WEP cung cấp tính bảo mật dữ liệu trên mạng không dây, nhưng nó yếu và không
đáp ứng được bất kỳ mục tiêu bảo mật nào của nó. Trong khi WPA giải quyết hầu hết các
vấn đề của WEP, WPA2 làm cho mạng không dây gần như an toàn như mạng có dây. Vì
WPA2 hỗ trợ xác thực nên chỉ những người dùng được ủy quyền mới có thể truy cập
mạng. WEP nên được thay thế bằng WPA hoặc WPA2 để bảo mật mạng Wi-Fi. Mặc dù
WPA và WPA2 kết hợp các biện pháp bảo vệ chống lại các cuộc tấn công giả mạo và
phát lại, WPA3 có thể cung cấp một cơ chế bảo vệ bằng mật khẩu nâng cao hơn và các
kết nối loT an toàn; hơn nữa, nó sử dụng các kỹ thuật mã hóa mạnh mẽ hơn. Bảng dưới
đây so sánh WEP, WPA, WPA2 và WPA3 về thuật ngữ mã hóa được sử dụng, kích thước
khóa mã hóa, vectơ khởi tạo (IV) mà nó tạo ra, quản lý khóa và tính toàn vẹn của dữ liệu.

Thuộc tính
Chiều Cơ chế kiểm
Mã hóa Thuật toán mã Kích thước
dài khóa Quản lý khóa tra tính toàn
hóa IV
mã hóa vẹn
WEP RC4 24 bits 40/104 Không có cơ chế CRC - 32
59
 bits
Thuật toán
WPA RC4, TKIP 48 bits 128 bits Bắt tay 4 bước Michael và
CRC - 32
WPA2 AES - CCMP 48 bits 128 bits Bắt tay 4 bước CBC - MAC
AES – GCMP Độ dài tùy BIP - GMAC
WPA3 192 bits ECDH và ECDSA
256 ý từ 1 - 264 - 256
Bảng 3: Bảng so sánh WEP, WPA, WPA2 và WPA3
4. Các vấn đề của WEP, WPA và WPA2
a. Các vấn đề của WEP

Mã hóa WEP thường dùng để bảo mật mạng không dây vì một số vấn đề và bất
thường nhất định, bao gồm những điều sau đây:

- CRC32 không đủ để đảm bảo tính toàn vẹn mật mã hoàn toàn của một gói:
Bằng cách bắt hai gói, kẻ tấn công có thể lật một chút trong luồng được mã hóa và
sửa đổi tổng kiểm tra để gói được chấp nhận.
- IV có 24 bit: IV là trường 24 bit, quá nhỏ để bảo mật và được gửi trong phần văn
bản rõ ràng của một tin nhắn. Một AP phát các gói ISOC - byte ở tốc độ 11 Mbps
sẽ làm cạn kiệt toàn bộ không gian IV trong năm giờ.
- WEP dễ bị tấn công bởi các cuộc tấn công bản rõ đã biết: Khi xung đột IV xảy
ra, có thể xây dựng lại dòng khóa RC4 dựa trên IV và trọng tải được giải mã của
gói tin.
- WEP dễ bị tấn công từ điển: Vì WEP dựa trên mật khẩu nên nó dễ bị tấn công bẻ
khóa mật khẩu. Không gian IV nhỏ cho phép kẻ tấn công tạo một bảng giải mã,
được coi là một cuộc tấn công từ điển.
- WEP dễ bị tấn công DoS: Điều này là do các thông điệp liên kết và liên kết
không được xác thực.
- Kẻ tấn công cuối cùng có thể xây dựng một bảng giải mã các dòng khóa được
tái tạo: Với khoảng 24 GB dung lượng, kẻ tấn công có thể sử dụng bảng này để
giải mã các gói WEP trong thời gian thực.
60
 - Việc thiếu quản lý khóa tập trung khiến việc thay đổi khóa WEP thường
xuyên trở nên khó khăn.
- IV là giá trị được sử dụng để ngẫu nhiên hóa giá trị dòng khóa và mỗi gói có
giá trị IV: IV tiêu chuẩn chỉ cho phép trường 24 bit, quá nhỏ để bảo mật và được
gửi trong phần văn bản rõ ràng của tin nhắn. Tất cả các giá trị IV có sẵn có thể
được sử dụng hết trong vòng vài giờ tại một AP bận rộn. IV là một phần của khóa
mã hóa RC4 và dễ bị tấn công phân tích nhằm khôi phục khóa sau khi đánh chặn
và phân tích một lượng lưu lượng tương đối nhỏ. Các dòng khóa giống hệt nhau
được tạo ra với việc sử dụng lại IV để bảo vệ dữ liệu vì các dòng khóa IV ngắn
được lặp lại trong một thời gian ngắn. Hơn nữa, các bộ điều hợp không dây từ
cùng một nhà cung cấp có thể tạo ra cùng một chuỗi IV. Điều này cho phép những
kẻ tấn công xác định dòng khóa và giải mã bản mã.
- Tiêu chuẩn không yêu cầu mỗi gói phải có một IV duy nhất: Các nhà cung cấp
chỉ sử dụng một phần nhỏ khả năng 24-bit có sẵn. Do đó, một cơ chế phụ thuộc
vào tính ngẫu nhiên hoàn toàn không phải ngẫu nhiên và những kẻ tấn công có thể
dễ dàng xác định dòng khóa và giải mã các thông điệp khác.
- Việc sử dụng RC4 được thiết kế để trở thành mật mã sử dụng một lần và
không nhằm mục đích sử dụng cho nhiều bản tin.

Bởi vì hầu hết các tổ chức đã định cấu hình các mạng máy khách và AP của họ để
sử dụng cùng một khóa chia sẻ hoặc bốn khóa mặc định, tính ngẫu nhiên của dòng khóa
phụ thuộc vào tính duy nhất của giá trị IV. Việc sử dụng IV và một khóa đảm bảo rằng
dòng khóa cho mỗi gói là khác nhau, nhưng trong hầu hết các trường hợp, IV thay đổi
trong khi khóa không đổi. Vì chỉ có hai thành phần chính cho quá trình mã hóa này và
một thành phần không đổi, nên quá trình này có mức độ ngẫu nhiên không thể chấp nhận
được. Một AP bận có thể sử dụng tất cả 224 giá trị IV có sẵn trong vòng vài giờ, yêu cầu
sử dụng lại các giá trị IV. Sự lặp lại như vậy trong một quá trình dựa vào sự ngẫu nhiên
dẫn đến thất bại.

Vấn đề IV càng trở nên trầm trọng hơn bởi thực tế là tiêu chuẩn 802.11 không yêu
cầu mỗi gói phải có một giá trị IV khác nhau, điều này tương tự như việc tăng cường bảo

61
mật nghiêm ngặt trong khi áp dụng các biện pháp yếu. Trong nhiều thực hiện, giá trị IV
chỉ thay đổi khi NIC không dây khởi động lại, thường là trong quá trình khởi động lại.
Mặc dù 24 bit cung cấp đủ các kết hợp có thể có của các giá trị IV, hầu hết các triển khai
chỉ sử dụng một số ít bit; do đó, những triển khai này thậm chí không sử dụng các biện
pháp bảo mật có sẵn cho chúng.

Các lý do tạo ra IV yếu trong WEP bao gồm:

- Để tạo các gói khác nhau trong WEP, thuật toán RC4 sử dụng thuật toán lập khóa
chính (KSA) để tạo IV và thêm nó vào khóa cơ sở, giúp dễ dàng dự đoán được vài
byte đầu tiên của bản rõ.
- Giá trị IV không rõ ràng đối với mạng. Do đó, có thể sử dụng cùng một IV với
cùng một khóa bí mật trên nhiều thiết bị không dây.
- Phương pháp nối IV vào đầu khóa bảo mật làm cho mạng dễ bị tấn công Fluhrer –
Mantin - Shamir (FMS), cho phép kẻ tấn công thực thi các công cụ tập lệnh để bẻ
khóa khóa bí mật bằng cách kiểm tra một liên kết.
- Hầu hết các IV yếu phụ thuộc vào khóa WEP và tiết lộ thông tin chính xác về các
byte khóa từ byte đầu ra RC4 đầu tiên, cũng như các manh mối nhỏ hơn từ các
byte khác.
- Thông qua xử lý bổ sung trên các byte được khôi phục, các phần của thuật toán tạo
giả ngẫu nhiên (PRGA) có thể được mô phỏng để trích xuất thông tin quan trọng
trong byte của IV.
- Không thể phát hiện hiệu quả giả mạo tin nhắn. Mặc dù các phương pháp như tổng
kiểm tra và ICV có thể kiểm tra tính toàn vẹn của thông báo, nhưng chúng có một
số nhược điểm. Một số phương pháp an toàn để tính toán MIC có chi phí tính toán
cao khi được giới thiệu trong TKIP.
- WEP trực tiếp sử dụng khóa chính và không có cung cấp tích hợp để cập nhật
khóa.

Một lỗ hổng bảo mật trong việc triển khai WEP của RC4 dẫn đến việc tạo ra các
IV yếu, mà những kẻ tấn công có thể dễ dàng khai thác để suy ra khóa WEP cơ sở. Kẻ tấn
công có thể sử dụng các công cụ đánh hơi của WLAN để bắt các gói được mã hóa bằng
62
cùng một khóa và các công cụ như aircrack - ng và WEPCrack để giải mã các IV yếu, từ
đó làm lộ khóa WEP cơ sở.

b. Các vấn đề của WPA

WPA là một cải tiến so với WEP về nhiều mặt vì nó sử dụng TKIP để mã hóa dữ
liệu và giúp truyền dữ liệu an toàn. Tuy nhiên, WPA cũng có nhiều vấn đề về bảo mật.
Một số vấn đề bảo mật của WPA được mô tả như sau:

- Mật khẩu yếu: Nếu người dùng phụ thuộc vào mật khẩu yếu, WPA PSK rất dễ bị
tấn công bẻ khóa mật khẩu.
- Thiếu bí mật chuyển tiếp: Nếu kẻ tấn công chiếm được PSK, chúng có thể giải
mã tất cả các gói được mã hóa bằng khóa đó (tức là tất cả các gói được truyền đi
hoặc được truyền đi đều có thể được giải mã).
- Lỗ hổng đối với việc giả mạo và giải mã gói tin: Khách hàng sử dụng WPA -
TKlP dễ bị tấn công chèn ép gói và các cuộc tấn công giải mã, điều này cho phép
kẻ tấn công chiếm đoạt thêm các kết nối Giao thức điều khiển truyền dẫn (TCP).
- Khả năng dự đoán của khóa tạm thời của nhóm (GTK): Bộ sinh số ngẫu nhiên
không an toàn (RNG) trong WPA cho phép kẻ tấn công phát hiện ra GTK do AP
tạo ra. Điều này càng cho phép những kẻ tấn công từ chối lưu lượng độc hại trong
mạng và giải mã tất cả các quá trình truyền đang diễn ra trên Internet.
- Đoán địa chỉ IP: Các lỗ hổng TKIP cho phép kẻ tấn công đoán địa chỉ IP của
mạng con và đưa các gói nhỏ vào mạng để hạ cấp hiệu suất mạng.
c. Các vấn đề của WPA2

Mặc dù WPA2 an toàn hơn WPA nhưng cũng có một số vấn đề về bảo mật sẽ
được trình bày dưới đây:

- Mật khẩu yếu: Nếu người dùng phụ thuộc vào mật khẩu yếu, WPA2 PSK dễ bị
tấn công bởi các cuộc tấn công khác nhau như nghe trộm, từ điển và tấn công bẻ
khóa mật khẩu.

63
 - Thiếu bí mật chuyển tiếp: Nếu kẻ tấn công chiếm được PSK, chúng có thể giải
mã tất cả các gói được mã hóa bằng khóa đó (tức là tất cả các gói được truyền hoặc
được truyền đều có thể được giải mã).
- Các cuộc tấn công người đứng giữa (MITM) và từ chối dịch vụ (DoS): Lỗ
hổng Hole96 ở WPA2 cho phép kẻ tấn công khai thác khóa tạm thời của nhóm
được chia sẻ (GTK) để thực hiện các cuộc tấn công MITM và DoS
- Khả năng dự đoán của GTK: Bộ sinh số ngẫu nhiên không an toàn (RNG) trong
WPA2 cho phép những kẻ tấn công phát hiện ra GTK do AP tạo ra. Điều này càng
cho phép những kẻ tấn công đưa lưu lượng độc hại vào mạng và giải mã tất cả các
quá trình truyền đang diễn ra trên Internet.
- Các lỗ hổng KRACK: WPA2 có một lỗ hổng đáng kể đối với một cuộc khai thác
được gọi là cuộc tấn công cài đặt lại khóa (KRACK). Việc khai thác này có thể cho
phép những kẻ tấn công đánh hơi các gói, chiếm quyền điều khiển các kết nối, từ
chối phần mềm độc hại và giải mã các gói.
- Lỗ hổng đối với các cuộc tấn công DoS không dây: Những kẻ tấn công có thể
khai thác tính năng phát hiện tấn công phát lại WPA2 để gửi các khung dữ liệu
theo địa chỉ nhóm giả mạo với PN lớn để thực hiện một cuộc tấn công DoS.
- Khôi phục mã PIN WPS không an toàn: Trong một số trường hợp, việc vô hiệu
hóa WPA2 và WPS có thể là một quá trình tốn thời gian, trong đó kẻ tấn công cần
kiểm soát WPA2 PSK được sử dụng bởi các máy khách. Khi WPA2 và WPS được
kích hoạt, kẻ tấn công có thể tiết lộ khóa WPA2 bằng cách xác định số nhận dạng
cá nhân (PIN) WPS thông qua các bước đơn giản.

III. Các mối đe dọa cho mạng không dây

http://www.idz.vn/2016/04/cac-kieu-tan-cong-trong-mang-wlan.html
Các phần trước đã thảo luận về các khái niệm không dây cơ bản và các cơ chế bảo
mật không dây chẳng hạn như các thuật toán mã hóa để bảo mật thông tin liên lạc mạng
không dây. Để bảo mật mạng không dây, quản trị viên mạng cần phải hiểu các điểm yếu

64
khác nhau có thể có của các thuật toán mã hóa, những thuật toán này có thể thu hút những
kẻ tấn công. Mạng không dây có thể gặp rủi ro với nhiều loại tấn công khác nhau, bao
gồm tấn công kiểm soát truy cập, tấn công toàn vẹn, tấn công bảo mật, tấn công tính khả
dụng và tấn công xác thực. Phần này thảo luận về các loại rủi ro bảo mật, các mối đe dọa
và các cuộc tấn công liên quan đến mạng không dây.

 Các loại hình tấn công chính:

Hình thức Mô tả Các loại tấn công Công cụ

Access Point theft,

Nhằm mục đích cản trở việc
Denial-of-Service,
cung cấp các thiết bị không dây
Authenticate flood, Airaplay-ng,
Availability cho người dùng hợp pháp, bằng
Disassociation Mdk4,
Attacks cách làm tê liệt các tài nguyên đó
Attacks, De- FakeAP
hoặc bằng cách từ chối họ truy
authenticate floot,
cập vào các tài nguyên WLAN
Beacon Flood, ...

Mục tiêu nhằm đánh cắp phiên

Authenticati xác thực của client trong Wifi, PSK cracking, Aircrack-ng,
on Attacks thông tin cá nhân của họ, thông WPA/WPA2 Wifite,
tin đăng nhập, v.v. để truy cập cracking, cupp, ...
trái phép vào tài nguyên mạng

Các cuộc tấn công kiểm soát truy WarDriving, Rogue

cập không dây nhằm mục đích access points, MAC
Access xâm nhập mạng bằng cách trốn spoofing, AP KisMac,
Control tránh các biện pháp kiểm soát misconfiguration, Ad NetStumbler,
Attack truy cập WLAN, chẳng hạn như hoc associations, SMAC,..
bộ lọc AP MAC và kiểm soát Client Mis-
truy cập cổng Wi-fi association

Confidential Các cuộc tấn công này cố gắng Eavesdropping,Traffi Wireshark,flu

65
 đánh chặn thông tin bí mật được
gửi qua mạng không dây, bất kể
hệ thống truyền dữ liệu là văn
bản rõ ràng hay định dạng được
mã hóa. Nếu hệ thống truyền dữ c Analysis, WEP key
liệu ở định dạng được mã hóa cracking, Evil twin xionairogeddo
ity Attacks
(chẳng hạn như WEP hoặc AP, AP Phishing, n,..
WPA), kẻ tấn công có thể cố MITM Attack, ..
gắng phá vỡ mã hóa. Bảng dưới
đây tóm tắt các kiểu tấn công bí
mật khác nhau trên mạng không
dây.

Bảng 4: Các loại hình tấn công chính

 Một số loại đe dọa phổ biến
3.1 Tấn công giả mạo điểm truy cập

Giả mạo AP là kiểu tấn công “man in the middle” cổ điển. Đây là kiểu tấn công mà
tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 nút. Kiểu tấn công này rất mạnh vì tin
tặc có thể trộm tất cả lưu lượng đi qua mạng.

3.2 Người dùng trong mạng bị mất kết nối

Khi client kết nối đến một AP, các tiện ích của hệ thống làm việc sẽ lưu SSID lại.
Nếu sau một thời gian, client kết nối lại lần nữa thì điều đó là tự động. Một lúc nào đó
client có thể sẽ kết nối đến một mạng không an toàn. Trong trường hợp này, một kẻ tấn
công có thể học SSID của mạng công ty của bạn bằng cách sử dụng các thông tin mà
client gửi gói tin quảng cáo beacon. Một client trong vùng kết nối của rogue AP có thể kết
nối để AP. AP sẽ cho kết nối Internet nhưng thực tế là không phải ở trên mạng có dây của
công ty bạn. Kẻ tấn công có thể ăn cắp các dữ liệu có giá trị của công ty bạn Trong hoàn
cảnh này, kẻ tấn công có thể sử dụng phương pháp management frame spoofing để tấn
công dựa vào misassociated client. Bạn có thể sử dụng management frame protection.

66
3.3 Tấn công yêu cầu xác thực lại (De-authentication Flood Attack)
Cách phổ biến nhất kiểu tấn công này
được thực hiện là với các gói xác thực lại .
Đây là một loại khung "quản lý" chịu trách
nhiệm ngắt kết nối thiết bị khỏi một điểm
truy cập. Giả mạo các gói này là chìa khóa để
tấn công nhiều mạng Wi-Fi , vì bạn có thể
buộc ngắt kết nối bất kỳ máy khách nào khỏi
mạng bất kỳ lúc nào. Việc dễ dàng thực hiện
điều này có phần hơi đáng sợ và thường được
thực hiện như một phần của quá trình bắt tay
WPA để bẻ khóa.

Hình 31: Các bước tấn công xác

thực lại

- Kẻ tấn công xác định mục tiêu tấn công là các người dùng trong mạng wireless và
các kết nối của họ(Access Point đến các kết nối của nó).
- Chèn các frame yêu cầu xác thực lại vào mạng WLAN bằng cách giả mạo địa chỉ
MAC nguồn và đích lần lượt của Access Point và các người dùng.
- Người dùng wireless khi nhận được frame yêu cầu xác thực lại thì nghĩ rằng chúng
do Access Point gửi đến.

67
 - Sau khi ngắt được một người dùng ra khỏi dịch vụ không dây, kẻ tấn công tiếp tục
thực hiện tương tự đối với các người dùng còn lại.
- Thông thường người dùng sẽ kết nối lại để phục hồi dịch vụ, nhưng kẻ tấn công đã
nhanh chóng tiếp tục gửi các gói yêu cầu xác thực lại cho người dùng.

Tips: Có thể ta sẽ rất dễ nhầm lẫn giữa 2 kiều tấn công :Disassociation flood attack và
De-authentication Flood Attack.
Giống nhau : về hình thức tấn công , có thể cho rằng chúng giống nhau vì nó giống như
một đại bác 2 nòng , vừa tấn công Access Point vừa tấn công Client. Và quan trọng hơn
hết , chúng "nã pháo" liên tục.
Khác nhau :
+ De-authentication Flood Attack: yêu cầu cả AP và client gửi lại frame xác thực => xác
thực failed.
+ Disassociation flood attack: gửi disassociation frame làm cho AP và client tin tưởng
rằng kết nối giữa chúng đã bị ngắt.

Hình 32: De-authentiacation và Disassociations

68
3.4 Làm tràn ngập các điểm truy cập giả (Beacon flood)

Hình 33: Tấn công làm ngập tràn các điểm truy cập không dây giả
Beacon Frame là một trong những khung quản lý trong WLANS dựa trên IEEE
802.11. Nó chứa tất cả thông tin về mạng. Các Beacon Frames được truyền theo chu kỳ,
chúng dùng để thông báo sự hiện diện của mạng LAN không dây và đồng bộ hóa các
thành viên của tập dịch vụ. Các Beacon Frames được truyền bởi điểm truy cập (AP) trong
bộ dịch vụ cơ bản của cơ sở hạ tầng (BSS). Trong mạng IBSS, việc tạo ra Beacon được
phân phối giữa các trạm. Đối với phổ 2,4 GHZ, khi có hơn 15 SSID trên các kênh chồng
chéo (hoặc hơn 45 trong tổng số), các Beacon Frame bắt đầu tiêu tốn lượng thời gian
truyền sóng đáng kể và làm giảm hiệu suất ngay cả khi hầu hết các mạng đều không hoạt
động.

 Các thành phần:

Beacon frames bao gồm tiêu đề MAC 802.11, phần thân và Khung kiểm tra trình
tự FCS. Một số trường trong phần thân được liệt kê dưới đây:
- Dấu thời gian: Sau khi nhận được khung báo hiệu, tất cả các trạm sẽ thay đổi
đồng hồ cục bộ của họ thành thời điểm này. Điều này giúp cho việc đồng bộ hóa.
- Khoảng thời gian Beacon: Đây là khoảng thời gian giữa các lần truyền Beacon.
Thời gian mà một nút (AP, trạm khi ở chế độ ad hoc hoặc P2P GO) phải gửi một Beacon
69
được gọi là Thời gian Beacon truyền đi mục tiêu (TBTT). Khoảng thời gian Beacon được
biểu thị bằng Đơn vị thời gian (TU). Đây là một tham số có thể cấu hình được trong AP
và thường được cấu hình là 100 TU.
- Thông tin khả năng: Trường thông tin khả năng kéo dài đến 16 bit và chứa
thông tin về khả năng của thiết bị/mạng. Loại mạng như mạng đặc biệt hoặc mạng Cơ sở
hạ tầng được báo hiệu trong trường này. Ngoài thông tin này, nó thông báo hỗ trợ cho
việc bỏ phiếu, cũng như các chi tiết mã hóa.
- SSID
- Tỷ lệ được hỗ trợ
- Bộ tham số nhảy tần (Frequency - hopping - FH)
- Bộ tham số trình tự trực tiếp (Direct Sequence - DS)
- Bộ tham số không có tranh chấp (Contention – Free – CF)
- Bộ tham số IBSS
- Bản đồ chỉ dẫn luồng (TIM)
Các điểm truy cập mạng cơ sở hạ tầng gửi báo hiệu trong một khoảng thời gian xác
định, thường được đặt mặc định thành 100 TU, tương đương với 102,4 ms. Trong trường
hợp mạng đặc biệt không có điểm truy cập, một trạm ngang hàng có trách nhiệm gửi
Beacon. Sau khi một trạm đặc biệt nhận được một Beacon Frame từ một máy ngang hàng,
nó sẽ đợi một khoảng thời gian ngẫu nhiên. Sau khi hết thời gian chờ ngẫu nhiên đó, nó sẽ
gửi một Beacon Frame trừ khi một trạm khác đã gửi một Frame. Theo cách này, trách
nhiệm gửi các Beacon Frame được luân chuyển giữa tất cả các máy ngang hàng trong
mạng đặc biệt, đồng thời đảm bảo rằng các Beacons sẽ luôn được gửi.
Hầu hết các điểm truy cập đều cho phép thay đổi khoảng thời gian Beacon. Việc
tăng khoảng thời gian Beacon sẽ làm cho các Beacon được gửi ít thường xuyên hơn. Điều
này làm giảm tải trên mạng và tăng thông lượng cho các máy khách trên mạng; tuy nhiên,
nó có tác dụng không mong muốn là làm trì hoãn quá trình liên kết và chuyển vùng vì các
trạm quét tìm điểm truy cập có thể bỏ sót đèn hiệu khi đang quét các kênh khác. Ngoài ra,
việc giảm khoảng thời gian báo hiệu làm cho các báo hiệu được gửi thường xuyên hơn.
Điều này làm tăng tải trên mạng và giảm thông lượng cho người dùng, nhưng nó dẫn đến
quá trình liên kết và chuyển vùng nhanh hơn. Một nhược điểm nữa của việc giảm khoảng
70
thời gian Beacon là các trạm ở chế độ tiết kiệm điện sẽ tiêu thụ nhiều điện năng hơn vì
chúng phải thường xuyên thức để nhận Beacon.
Kiểm tra một mạng không hoạt động bằng các công cụ giám sát gói như tcpdump
hoặc Wireshark sẽ cho thấy rằng hầu hết các lưu lượng trên mạng bao gồm các khung
Beacon, với một vài gói không phải dạng 802 - 11 được trộn vào, chẳng hạn như gói
DHCP. Nếu người dùng tham gia mạng, phản hồi cho mỗi báo hiệu sẽ bắt đầu xuất hiện,
cùng với thông tin tóm tắt do người dùng tạo.
Các trạm phải lập lịch truyền báo hiệu ở khoảng thời gian Beacon trên danh nghĩa.
Tuy nhiên, quá trình truyền có thể bị chậm trễ do việc truy cập kênh. Giống như các
khung khác, Beacons phải tuân theo thuật toán CSMA/CA. Điều này có nghĩa là nếu kênh
đang bận (ví dụ: một đài khác hiện đang gửi một khung) khi tín hiệu cần được gửi đi, nó
phải đợi. Điều này có nghĩa là khoảng thời gian báo hiệu thực tế có thể khác với khoảng
thời gian báo hiệu danh nghĩa. Tuy nhiên, các trạm có thể bù cho sự khác biệt này bằng
cách kiểm tra dấu thời gian trong khung báo hiệu khi nó được gửi cuối cùng.
 Chức năng:
Mặc dù các Beacon Frames gây ra một số chi phí không nhỏ cho mạng, nhưng
chúng rất quan trọng đối với hoạt động bình thường của mạng. Các radio NIC thường
quét tất cả các kênh RF để tìm kiếm các Beacon thông báo sự hiện diện của một điểm truy
cập gần đó. Khi một bộ đàm nhận được Beacon Frame, nó sẽ nhận được thông tin về các
khả năng và cấu hình của mạng đó, và sau đó cũng có thể cung cấp danh sách các mạng
đủ điều kiện có sẵn, được sắp xếp theo cường độ tín hiệu. Điều này cho phép thiết bị chọn
kết nối với mạng tối ưu.
Ngay cả sau khi liên kết với mạng, radio NIC sẽ tiếp tục quét các báo hiệu. Điều
này có một số lợi ích. Thứ nhất, bằng cách tiếp tục quét các mạng khác, trạm có các tùy
chọn cho các mạng thay thế nếu tín hiệu của điểm truy cập hiện tại trở nên quá yếu để tiếp
tục liên lạc. Thứ hai, vì nó vẫn nhận các Beacon Frame từ điểm truy cập được liên kết
hiện tại, thiết bị có thể sử dụng dấu thời gian trong các báo hiệu đó để cập nhật đồng hồ
bên trong của nó. Các tín hiệu từ điểm truy cập hiện được liên kết cũng thông báo cho các
trạm về những thay đổi sắp xảy ra, chẳng hạn như thay đổi tốc độ dữ liệu.

71
 Cuối cùng, đèn hiệu cho phép thiết bị có các chế độ tiết kiệm năng lượng. Các
điểm truy cập sẽ giữ các gói tin dành cho các trạm hiện đang ngủ. Trong bản đồ chỉ dẫn
luồng của Beacon Frame, điểm truy cập có thể thông báo cho các trạm rằng họ có khung
đang chờ phân phối.
3.5. Evil Twin
3.5.1 Tấn công Evile Twin là gì?

Evil Twin là một kiểu tấn công Man – in – the - Middle (MITM) trong đó điểm
truy cập giả được sử dụng để theo dõi hoạt động người dùng. Evil Twin hợp pháp hóa
bằng cách nhân bản địa chỉ Media Access Control (MAC) và Name or Service Set
Identifier (SSID) của mạng. Evil Twin sử dụng nhiều chiến thuật tương tự website
spoofing, một hình thức khác của MITM.

Evil Twin bắt đầu bằng cách nhân bản SSID mạng và giả vờ là một điểm truy
cập an toàn. Khi người dùng kết nối với chúng và tin rằng đó là nó đảm bảo mà không
hay biết sự thật là kẻ tấn công đang chặn tất cả lưu lượng giữa người dùng và máy chủ,
đồng thời đánh cắp dữ liệu cá nhân mà không để lại dấu vết gì. Hậu quả của việc này
đó là thông tin bị đánh cắp nhằm phục vụ hành vi trộm cắp danh tính hoặc tổn thất tài
chính. Cuộc tấn công này rất hiệu quả vì phần lớn các thiết bị truy cập mạng hiện nay
không thể phân biệt hai mạng có cùng tên. Nếu bạn muốn xem cách thức hoạt động
của nó, bạn có thể tạo một điểm truy cập WiFi trên điện thoại và đặt tên giống như
mạng gia đình của mình, tiếp đó dùng máy tính truy cập WiFi, máy tính của bạn sẽ coi
cả hai như cùng một mạng.

Dễ hình dung hơn, Evil Twin là một sự gian lận, trong đó kẻ tấn công thiết lập
mạng WiFi giả trông giống như một điểm truy cập hợp pháp để đánh lừa nạn nhân
truy cập. Nạn nhân không hay biết gì mà đăng nhập vào những tài khoản cá nhân,
những thứ này sẽ được gửi thẳng đến kẻ tấn công và khi sở hữu chúng kẻ tấn công có
thể thay nạn nhân thực hiện các hành vi tiếp theo như thực hiện một giao dịch ngân
hàng chẳng hạn. Dễ dàng thấy rằng nạn nhân của các cuộc tấn công kiểu này chính là
những người bình thường.

72
 Evil Twin là một trong những mối đe dọa WiFi nguy hiểm nhất, chúng đã tồn
tại gần hai thập kỷ.

3.5.2 Ảnh hưởng của Evil Twin đến an ninh mạng

Cuộc tấn công Evil Twin gây ra rủi ro đáng kể cho an ninh mạng. Kẻ tấn công có
thể đánh cắp dữ liệu hoặc thiết lập phần mềm độc hại. Người dùng cuối là mục tiêu
chính cho hình thức tấn công này.
Ví dụ: Một quán cà phê mới mở ra, họ cung cấp WiFi miễn phí cho khách hàng của
họ. Một kẻ tấn công, sử dụng máy tính xách tay của mình và một vài thiết bị khác giúp
tạo một điểm truy cập giả gần đó, nhưng vì tín hiệu mạnh hơn mạng thực. Khách hàng
sẽ dễ dàng bị cám dỗ chọn nó để kết nối. Người dùng thường lướt các mạng xã hội,
kiểm tra tài khoản ngân hàng hoặc đăng nhập vào một trang nào đó. Trong khi đó, kẻ
tấn công đã chiếm được tất cả thông tin đăng nhập và dữ liệu của người dùng và điều
dĩ nhiên là những kẻ này có thể truy cập các tài khoản này như một người dùng thực
sự.
3.6 AD hoc attack

Mạng Ad Hoc là một mạng không dây giữa 2 client. Một kẻ tấn công có thể tạo lập
một mạng với một client tin cậy rồi từ đó có thể tấn công vào mạng của doanh nghiệp ăn
cắp thông tin qua cầu nối với mạng có dây.

Các giải pháp Wi - Fi phải có khả năng tự động phát hiện khi các client được ủy
quyền, được quản lý bởi IT admin của công ty, đang tham gia vào các mạng đặc biệt và
ngăn chặn kết nối này, ngay cả khi được mã hóa bằng các kỹ thuật phân tách tế bào hoặc
các phương pháp tương tự.

3.7 Các AP bị cấu hình sai:

Các AP không được cấu hình bảo mật không chính xác có khả năng làm lộ các
thông tin nhạy cảm khi hacker thực hiện các kĩ thuật bắt gói. Các hệ thống Wi - Fi cần
phải được quản lí chi tiết như mức độ mã hóa tối thiểu trên các SSID, IOU của các thiết
bị…

73
 Tóm lại, việc loại bỏ các nguy cơ kể trên sẽ giúp bạn tăng cường độ an toàn cho
môi trường mạng không dây của mình.
3.8 Tấn công cài đặt lại khóa - Key ReInstallation attack (KRACK)

Krack (viết tắt của Key Reinstallation Attack) là tên gọi một lỗ hổng Wi - Fi vừa
mới bị hacker khai thác. Lỗ hổng này nằm trong quá trình kết nối giữa thiết bị của người
dùng và mạng Wi-Fi. Nó cho phép kẻ tấn công truy cập trái phép vào mạng Wi-Fi mà
không cần mật khẩu, mở ra khả năng đánh cắp những thông tin quan trọng như mật khẩu
cá nhân, tin nhắn, email và bất kỳ dữ liệu nào khác trên các thiết bị trong mạng.

Cuộc tấn công cài đặt lại khóa (KRACK) khai thác các lỗ hổng trong việc thực
hiện quy trình bắt tay bốn bước trong giao thức xác thực WPA/WPA2, được sử dụng để
thiết lập kết nối giữa thiết bị client trong mạng và AP. Tất cả các mạng Wi-Fi an toàn đều
sử dụng quy trình bắt tay bốn bước để thiết lập kết nối và tạo khóa mã hóa mới sẽ được sử
dụng để mã hóa lưu lượng mạng.

Hình 34: Quy trình bắt tay 4 bước trong WPA2

Kẻ tấn công khai thác sự bắt tay bốn bước của giao thức WPA2 bằng cách buộc sử
dụng lại Nonce. Trong cuộc tấn công này, kẻ tấn công nắm bắt khóa ANonce của victim
đã được sử dụng để thao tác và phát lại các thông điệp bắt tay mật mã. Cuộc tấn công này
hoạt động chống lại tất cả các mạng Wi - Fi được bảo vệ hiện đại (cả 2 giao thức WPA và
WPA2); mạng cá nhân và doanh nghiệp; và mật mã WPA-TKIP, AES-CCMP và
GCMP. Nó cho phép kẻ tấn công lấy cắp thông tin nhạy cảm như số thẻ tín dụng, mật
khẩu, tin nhắn trò chuyện, email và ảnh. Bất kỳ thiết bị nào chạy trên đó ví dụ như
Android, Linux, Windows, Apple, OpenBSD hoặc MediaTek đều dễ bị tấn công bởi một
số biến thể của cuộc tấn công KRACK.
74
 Hình 30: Mô tả kẻ tấn công chặn tại Messege thứ 3 trong quá trình truyền key

Mục tiêu tấn công của lỗ hổng wifi KRACK là giai đoạn thứ ba của công nghệ bắt
tay 4 chiều trong giao thức bảo mật WPA2. Quy trình bắt tay 4 chiều này là cách thiết bị
định tuyến kết nối với Internet.

Khi máy khách kết nối với thiết bị định tuyến, họ sẽ sử dụng một khoá bí mật duy
nhất để thay đổi mọi kết nối và mọi thiết bị. Điều này khiến các thiết bị khác không thể
nhảy vào cùng một kết nối, ngay cả khi sử dụng cùng một mạng.

Tuy nhiên, để tối ưu hoá việc giao tiếp và giảm thiểu các vấn đề về kết nối, giao
thức cho phép và đề xuất tái sử dụng một khoá mật mã nhiều lần nếu thiết bị định tuyến
nếu thiết bị định tuyến không được máy khách chấp nhận. Sự tấn công qua lỗ hổng wifi
KRACK đã tận dụng điều này và lấy được khoá mật mã dùng một lần. Sau đó truyền
lại khoá nhiều lần cho đến khi máy khách thiết lập lại bộ đếm gói tin.

Bằng cách so sánh văn bản được mã hoá lúc trước và sau khi gửi khoá, kẻ tấn công
có thể tìm ra khoá phiên chung. Từ đó, chúng có thể làm nhiều việc như lần theo lưu
lượng truy cập (giống như một người ở giữa cuộc tấn công), cài đặt phần mềm độc
hại (như phần mềm tống tiền hoặc phần mềm gián điệp), và lừa người dùng kết nối
tới một trang web bảo mật không có HTTPS (mặc dù các trang web được định cấu
hình đúng cách sẽ không bị ảnh hưởng bởi điều này).

Tin tốt là nếu muốn làm việc này thì kẻ tấn công phải ở gần với thiết bị định tuyến
của người dùng, do đó mối nguy hiểm này sẽ ít có cơ hội xảy ra tại nhà riêng của bạn.
75
Tuy vậy, bạn không nên chủ quan và phải nhận thức đúng được tầm quan trọng của các
biện pháp phòng tránh.

Những thiết bị nào sẽ bị ảnh hưởng?

Mọi thiết bị được định cấu hình giao thức WPA2 sử dụng Wi-Fi đều có nguy cơ bị
tấn công. Tuy nhiên một số hệ điều hành sẽ dễ bị tấn công hơn những cái khác.

Các hệ điều hành Android và Linux rất dễ bị KRACK tấn công bởi tính năng
của chúng. Trong những tình huống này, kẻ tấn công có thể buộc việc giao tiếp phải sử
dụng một khóa mã hóa không có điểm số, khiến việc bảo mật trở nên vô dụng. Hệ điều
hành Windows ít có khả năng bị tấn công dạng này, và Apple cũng đã bắt đầu tung ra các
bản vá lỗi cho sự cố này.

Làm cách nào để tôi được an toàn khi bị tấn công?

Nhiều người nghĩ chỉ cần thay đổi mật khẩu Wifi là có thể ngăn ngừa được lỗ
hổng này, nhưng thật ra việc đó chẳng tạo ra sự khác biệt nào cả. Sau đây là một số
cách giúp bảo vệ bạn khi bị tấn công:

3. Ngừng việc sử dụng Wi-Fi: Mặc dù nghe rất khủng khiếp, nhưng đây là một trong
những giải pháp tốt nhất bạn có thể làm cho đến khi tiến hành cập nhật. Nói chung,
việc sử dụng dữ liệu di động trên điện thoại thông minh thay vì Wifi, nhất là trên
các thiết bị Android, và tránh sử dụng Wifi tại những nơi công cộng như quán cà
phê, sân bay…
4. Sử dụng giao thức HTTPS: Việc truyền dữ liệu qua HTTP sẽ rất dễ bị xâm nhập
và có thể đọc bằng các ký tự thường. Bạn nên truy cập vào các trang web dùng
giao thức HTTPS, nhất là khi bạn đang nhập các thông tin cá nhân hay tiến hành
giao dịch trực tuyến. Cần lưu ý rằng kẻ tấn công có thể lừa bạn sử dụng HTTP
ngay cả trong một trang web được bảo mật, do vậy bạn phải tự xác nhận bằng cách
kiểm tra nhãn HTTPS màu xanh lá cây tại thanh URL.
5. Sử dụng VPN: Chắc chắn việc dùng VPN sẽ bảo vệ bạn an toàn hơn trước các
cuộc tấn công vì nó cung cấp một đường dẫn thẳng đến kênh giao tiếp được đảm
bảo giữa máy khách và máy chủ. Sử dụng VPN cũng bảo vệ bạn khỏi các mối đe

76
 dọa khác, vì vậy chúng tôi khuyến khích bạn nên dùng.
Bạn cần nhớ rằng các yêu cầu DNS vẫn có thể đi ra ngoài mạng VPN. Và để ngăn
điều này, bạn phải chọn một nhà cung cấp VPN có sẵn máy chủ DNS. Đương
nhiên là nhà cung cấp VPN đó phải đáng tin cậy cũng như có khả năng giám sát
lưu lượng truy cập của bạn. Nếu có thể, hãy sử dụng các dịch vụ VPN thu phí thay
vì những nhà cung cấp miễn phí, vì đã xảy ra trường hợp dữ liệu của khách hàng bị
bán. (Sau đây là những VPN tốt nhất và được khuyên dùng nhiều nhất để chống lại
sự tấn công của lỗ hổng wifi KRACK).
6. Cập nhật thiết bị: Đây là giải pháp quan trọng và đáng tin cậy nhất. Trước sau gì
thì nhà sản xuất thiết bị của bạn cũng sẽ đưa ra bản vá cho lỗ hổng này, nên bạn chỉ
cần cập nhật thiết bị ngay khi có thể. Điều này sẽ giải quyết được tận gốc vấn đề.
Do vậy hãy theo dõi cập nhật và đọc thông tin của bản phát hành lần này. Tuy
nhiên, không phải mọi nhà sản xuất đều nhanh chóng đưa ra bản vá và rất có thể
thiết bị của bạn sẽ không bao giờ được cài đặt bản cập nhật. Vậy nên nếu rơi vào
tình huống đó, bạn phải làm theo các phương thức khác đã được nói đến ở phía
trên.

Nếu không có biện pháp phòng tránh thì sự tấn công của lỗ hổng wifi KRACK sẽ
làm nhiễm độc thiết bị của bạn, nhưng nếu đã áp dụng đúng theo các cách ở trên thì bạn
có thể yên tâm rằng bạn và thông tin của mình sẽ luôn được an toàn.

Tham khảo tại: https://vi.vpnmentor.com/blog/cach-duy-tri-bao-mat-truoc-lo-hong-wifi-

krack/

Demo về tấn công các bạn có thể xem tại đây: https://www.krackattacks.com/#demo

Công cụ: https://github.com/vanhoefm/krackattacks-scripts

IV. Phương thức kiểm thử tấn công mạng không dây
Để kiểm thử hay tấn công các mạng không dây, kẻ tấn công tuân theo một phương
pháp hack liên quan đến hệ thống các bước để thực hiện một cuộc tấn công thành công

77
vào một mạng không dây mục tiêu. Phần này giải thích các bước của phương pháp hack
mạng không dây.
Phương pháp hack không dây giúp kẻ tấn công đạt được mục tiêu là hack mục tiêu
không dâymạng lưới. Kẻ tấn công thường tuân theo một phương pháp hack để đảm bảo
tìm thấy mọiđiểm vào để đột nhập vào mạng mục tiêu.Mục tiêu của phương pháp tấn
công không dây là xâm phạm mạng Wi-Fi để truy cập trái phép vào tài nguyên mạng.
Những kẻ tấn công sử dụng các bước sau để thực hiệnhack không dây:
Wi-Fi discovery
GPS mapping
Wireless traffic analysis
Launch of wireless attacks

4.1 Khám phá Wi-Fi

Bước đầu tiên là tìm mạng hoặc thiết bị Wi-Fi. Kẻ tấn công thực hiện là Discovery
Wi-Fi để xác định vị trí mạng không dây mục tiêu bằng các công cụ như inSSlDer Plus,
NetSurveyor, v.v. Wi-Fi các thủ tục khám phá bao gồm in dấu chân các mạng không dây
và tìm mạng mục tiêu nằm trong phạm vi để khởi động một cuộc tấn công.
4.2 Bản đồ mạng GPS
Bước thứ hai trong phương pháp hack mạng không dây là lập bản đồ GPS. Kẻ tấn
công phát hiện ra mạng không dây mục tiêu có thể tiến hành tấn công mạng không dây
bằng cách vẽ bản đồ mạng. Trong bước này, kẻ tấn công có thể sử dụng các công cụ tự
động khác nhau để lập bản đồ mạng không dây mục tiêu.
Hệ thống Định vị Toàn cầu (GPS) là một hệ thống định vị vệ tinh dựa trên không
gian cung cấp vị trí của các thực thể vật lý trên Trái đất, cùng với thời gian chúng có mặt
tại địa điểm đó. Sử dụng tiện ích GPS, bất kỳ ai cũng có thể tìm thấy một vị trí cụ thể trên
Trái đất và các đặc điểm địa lý của nó. Kẻ tấn công sử dụng tiện ích GPS này để xác định
vị trí và lập bản đồ mạng không dây mục tiêu trong một khu vực địa lý cụ thể.
Máy thu GPS tính toán vị trí, thời gian và vận tốc bằng cách xử lý các tín hiệu vệ
tinh được mã hóa cụ thể.

78
 Những kẻ tấn công biết rằng sự hiện diện của mạng Wi-Fi miễn phí trong một khu
vực có thể cho thấy sự tồn tại của một mạng không an toàn. Những kẻ tấn công thường
tạo bản đồ của các mạng Wi-Fi được phát hiện và cơ sở dữ liệu với số liệu thống kê được
thu thập bằng các công cụ phát hiện Wi-Fi như inSSIDer Office và Net5urveyor. GPS vô
cùng hữu ích để theo dõi vị trí của các mạng Wi-Fi được phát hiện và tọa độ được tải lên
các trang web như WiGLE. Những kẻ tấn công có thể chia sẻ thông tin đó với cộng đồng
hack hoặc bán nó để kiếm lời.
Một số công cụ:
* WiGLE
Nguồn https://wigle.net
WiGLE tổng hợp thông tin về các mạng không dây trên toàn thế giới, bao gồm cả
vị trí của chúng, trong cơ sở dữ liệu trung tâm và nó cung cấp các ứng dụng web, Java,
Windows và thân thiện với người dùng có thể lập bản đồ, truy vấn và cập nhật cơ sở dữ
liệu qua web. Một mạng không dây có thể được thêm vào WiGLE từ tệp stumble hoặc
theo cách thủ công và các nhận xét có thể được thêm vào các mạng hiện có.

Hình 31: WiGLE lập bản đồ mạng, xem các điểm truy cập Wifi public gần trường
PTIT

Một số công cụ trên điện thoại khác

79
 - Homedale:zWi-Fi/WLAN Monitor (http://www.the-sz.com)
- Fing - Network Tools (https://play. google.com)
- WiFi Finder - Free WiFi Map (httpsz//play.google.com)
- WiFi Map (https://play.google.com)
- Find Wifi (https://play.google.com)

4.3 Phân tích lưu lượng không dây

Ở bước này ta sẽ sử dụng Wireshark để chặn bắt, thu thập và phân tích thông tin từ
các gói tin truyền phát trên mạng không dây
Wireshark có thể đọc dữ liệu trực tiếp từ mạng Ethernet, mạng Token Ring, F
mạng, mạng Giao thức điểm tới điểm (PPP) và Giao thức Internet đường dây nối tiếp
(SLIP), mạng LAN không dây 802.11. Wireshark cho phép ta nắm bắt một lượng lớn các
khung quản lý(management frames), khung điều khiển(control frames), khung dữ liệu,
v.v. và hơn nữa giúp chúng phân tích các trường tiêu đề Radiotap để thu thập các dữ liệu
thông tin quan trọng chẳng hạn như các giao thức được sử dụng, các kỹ thuật mã hóa
được sử dụng, frame lengths và địa chỉ MAC.

Chúng ta có thể sniffing các packets cua 1 mang không dây bằng cách dùng
wireshark chụp bắt gói tin và dùng bộ lọc của wireshark để xem các thông tin cần thiết.
Thông tin chi tiết về các gói tin lưu lượng cơ bản được truyền đi
Gói 1
Đây là beacon frames của điểm truy cập (AP). Nó thông báo sự hiện diện và khả
năng của AP.
wlan.fc.type_subtype == 8

80
 Hình 32: Gói tin khung báo hiệu

Gói 2
Đây là một gói Yêu cầu thăm dò. Đây là khách hàng đang tìm kiếm AP. Bạn sẽ nhận thấy
rằng MAC đích là tất cả “FF” là địa chỉ quảng bá. Thêm vào đó, bạn sẽ thấy rằng SSID
trong gói cũng được thiết lập để phát sóng.
Nếu AP không phản hồi điều này, bạn có thể thấy SSID được đặt thành AP SSID. Đây là
những gì được gọi là Yêu cầu thăm dò trực tiếp. Việc chụp gói không bao gồm một ví dụ
về điều này.
wlan.fc.type_subtype == 4

81
 Hình 33: Gói tin yêu cầu thăm dò

Gói 3
Đây là một gói Phản hồi thăm dò. Đây là AP phản hồi cho máy khách. Nó có MAC nguồn
của BSSID và MAC đích của máy khách. Gói tin thông báo cho khách hàng về những khả
năng mà nó hỗ trợ như tốc độ truyền tải cộng với các khả năng liên quan khác.
wlan.fc.type_subtype == 5

82
 Hình 34: Gói tin phản hồi thăm dò

Gói 4, 5
Đây là các gói hệ thống xác thực mở.
Máy khách gửi một gói yêu cầu xác thực:

Hình 35: Gói tin yêu xác thực của máy khách

83
… Và AP phản hồi bằng một gói chấp nhận xác thực:

Gói 6, 7
Đây là các gói liên kết. Về cơ bản, điều này tham gia máy khách vào mạng.
Máy khách gửi một gói yêu cầu liên kết…

Hình 36: Gói tin yêu cầu liên kết

… Và AP phản hồi bằng gói phản hồi liên kết:

Gói 8, 9, 10, 11
Đây là bốn gói WPA “bắt tay”. Đây là bốn gói quan trọng được aircrack-ng yêu cầu để bẻ
khóa WPA bằng từ điển.
Lưu ý rằng AP bắt đầu bắt tay bốn chiều bằng cách gửi gói tin đầu tiên. Cặp gói đầu tiên
có giá trị “bộ đếm phát lại” là 1. Cặp thứ hai có giá trị “bộ đếm phát lại” là 2. Các gói có
cùng giá trị “bộ đếm phát lại” là bộ phù hợp. Nếu bạn chỉ có một gói cho một giá trị “bộ
đếm phát lại” cụ thể thì bạn đang thiếu nó trong quá trình chụp và gói bạn có không thể
được aircrack-ng sử dụng. Đó là lý do tại sao đôi khi bạn có bốn gói EAPOL trong quá
trình chụp của mình nhưng aircrack-ng vẫn cho biết có "0" cái bắt tay. Bạn phải có các
cặp phù hợp.
84
Có một số mục khác cần chỉ ra nếu bạn đang phân tích một ảnh chụp để tìm kiếm một ảnh
chụp hợp lệ. Các gói EAPOL 1 và 3 phải có cùng giá trị nonce. Nếu không, thì chúng
không phải là một phần của tập hợp đối sánh. Aircrack-ng cũng yêu cầu một đèn hiệu hợp
lệ. Đảm bảo báo hiệu này là một phần của cùng số thứ tự gói tin. Ví dụ, nếu số thứ tự gói
beacon cao hơn thì số thứ tự gói EAPOL từ AP, quá trình bắt tay sẽ bị bỏ qua. Điều này là
do bộ bắt tay "đặt lại" aircrack-ng khi các gói liên kết và các gói tương tự được nhìn thấy.
IEEE 802.11 → Frame Control → Flags → DS Status Flag: Các cờ hướng hiển thị
“FROM DS” hoặc “TO DS” tùy thuộc vào gói tin. Có nghĩa là đến từ AP hoặc đến nó.
Gói 8:

Hình 37: Gói tin EAPOL

Gói 12:
Gói yêu cầu xác thực lại

85
 Hình 38: Gói tin yêu cầu xác thực lại

Tham khảo thêm về gói Probequest

Tham khảo thêm các bộ lọc khác
video nâng cao về phân tích các frame trong wireshark

4.4 Phát động tấn công

Sau khi hoàn thành việc khám phá mạng không dây, lập bản đồ và phân tích mạng
không dây mục tiêu, kẻ tấn công sẽ chọn một mạng để khởi động một cuộc tấn công vào
mạng không dây mục tiêu. Kẻ tấn công có thể khởi động nhiều loại tấn công khác nhau
như tấn công fragmentation attacks, tấn công giả mạo MAC, tấn công DoS và tấn công
nhiễm độc giao thức phân giải địa chỉ (ARP). Phần này mô tả các cuộc tấn công không
dây và cách chúng được thực hiện.

Để bắt đầu một cuộc tấn công đầu tiên ta phải chuyển đổi chế độ card mạng của
chúng ta từ …. sang chế độ monitor

• Chạy airmon-ng ở chế độ monitor

sudo airmon-ng start wlan0

86
 Hình: Chuyển chế độ sang monitor

• Khởi động airodump-ng để khám phá SSID và MAC trên interface

Hình: Khám phá các mạng không dây bằng airodum-ng

Tiếp theo ta theo dõi và xác định mạng không dây mục tiêu và tiến hành các cuộc
tấn công với chúng, dưới đây là một số Lab tấn công mà nhóm mình thực hiện.

Một số LAB tấn công và các bước thực hiện chi tiết

Lab 1: Crack mật khẩu WPA/WPA2 dựa trên điểm yếu: The 4-way handshake
Tham khảo thêm tại đây
video phân tích

87
 Cách thức thực hiện

Sử dụng Aircrack-ng để crack mật khẩu Wifi (WPA/WPA2)

- Bước 1: Mở Terminal để thực hiện các câu lệnh (tương tự Command Prompt trong
Windows)
- Bước 2: Kiểm tra tên card Wireless đang sử dụng bằng lệnh iwconfig, thông
thường là card wlan0. Nếu card wireless chưa được bật (không thể kết nối wifi) thì
có thể bật bằng lệnh
ifconfig wlan0 up
- Bước 3: Chuyển card mạng Wifi sang chế độ monitor (chế độ theo dõi toàn bộ các
tín hiệu trong mạng) bằng airmon-ng. Kiểm tra tên card Wifi với lệnh iwconfig hay
airmon-ng, thông thường là wlan0. Chuyển card wlan0 sang chế độ monitor bằng
công cụ airmon với lệnh:
airmon-ng start wlan0

Lúc này, kiểm tra bằng ifconfig ta sẽ thấy có card wlan0mon

- Bước 4: Sử dụng airodump để theo dõi hoạt động các mạng wifi hiện tại qua card
wlan0mon (card wlan0 ở chế độ monitor)
airodump-ng wlan0mon

88
 Hình: Tiến hành thực hiện quét các mạng không dây thu thập MAC và SSID

- Bước 5: Xác định mạng wifi mục tiêu và sử dụng airodump để bắt gói tin và chỉ
theo dõi duy nhất mạng mục tiêu đó:
airodump-ng -c [channel] -w [tập tin] –bssid [BSSID của mạng] wlan0mon
Ví dụ: airodump-ng -c 9 -w wifi-sniff –bssid C4:6E:1F:F6:34:B8 wlan0mon
Trong đó:
+ Quan sát trường CH để xác định Channel của điểm phát sóng
+ -w [tập tin]: xác định đường dẫn để lưu tập tin bắt được (định dạng .cap)
+ bssid: Xem trường BSSID (địa chỉ MAC của access point)

89
 Hình: Thu thập gói tinh bắt tay có chứa khóa mã băm
- Bước 6: Thu thập gói tin bắt tay WPA handshake (bắt tay 4 bước) trong quá trình
đăng nhập để dựa vào đó dò tìm mật khẩu.
Có 2 cách:
+ Chờ người dùng nào đó đăng nhập vào Wifi đang theo dõi.
+ Sử dụng aireplay để tạo tín hiệu deauth (kích các người dùng đang sử dụng mạng thoát
ra và đăng nhập lại liên tục. Cú pháp:
aireplay-ng –deauth [số lệnh deauth] -a [BSSID của mạng] wlan0mon
Ví dụ: aireplay-ng –deauth 5 -a C4:6E:1F:2D:D6:B8 wlan0mon (có thể thay –deauth
thành
-0, khi muốn gửi không giới hạn lệnh deauth có thể đặt thông số là 0)

Hình: Kích người dùng ra khỏi mạng để thu thập gói tin chứa khóa đã được băm

- Bước7: Thực hiện chờ hoặc dùng aireplay như bước 6 đến khi nhận được gói tin
WPA handshake của mạng mục tiêu tương ứng, ta dừng quá trình bắt gói tin
(Ctrl+C) và tiến hành dò tìm mật khẩu dựa vào file .cap đã bắt được.
Có thể sử dụng phương pháp dò tìm theo Wordlist hay thực hiện Brute-force để dò tìm
mật khẩu.

90
 - Bước 8: Sử dụng aircrack để bruce-force mật khẩu đã bắt được bản tin mã băm
của bước 7 bằng wordlist mình tự tạo
sudo aircrack-ng -w /home/coco/Desktop/tudien.txt wpa-01.cap

Hình: Tiến hành công cuộc tấn công vét cạn mật khẩu bằng aircrack-ng

Lab 2: Tấn công làm tràn ngập các điểm wifi giả (Beacon flood)(3)
Giới thiệu:
SSID (Mã định danh bộ dịch vụ) Ngập lụt hoặc Báo hiệu ngập lụt có thể dễ dàng thực
hiện với sự trợ giúp của MDK4. Điều này có nghĩa là MDK4 có thể truyền hàng trăm hoặc thậm
chí hàng nghìn AP giả mạo.
SSID Flooding không phải là từ chối dịch vụ, nhưng nó vẫn là một thủ thuật tuyệt vời để
chặn mạng, khiến cho người dùng muốn truy cập vào mạng không dây một cách hoang mang với
quá nhiều điểm truy cập wifi giả.

 Ta có các kỹ thuật như sau:

91
 - Phát làm giả hàng loạt các SSID wifi ngẫu nhiên bằng các gói tin gửi đi liên
tiếp bằng lệnh sau
mdk4 wlan0mon b -c 1.

Ở dưới đây chúng ta không thêm tham số -c, nếu thêm tham số -c thì các gói tin sẽ
chỉ phát ở 1 kênh duy nhất, và nếu phát duy nhất trên 1 kênh thì có thể có nhiều
thiết bị không bắt được gói tin ở kênh đó
Còn tham số -s ta thêm vào để tăng lượng gửi gói tin trong 1s đi . Vì khi không có
tham số s thì mặc định mỗi s chỉ gửi đi 50 packets.

Hình: Phát hàng loạt các beacon frames giả với SSID ngẫu nhiên
Trong đó
b cho MDK4 sử dụng Beacon / SSID Flooding Mode
-c 1 cho MDK4 phát tất cả các AP giả mạo trên kênh 1.

+ Kết quả thu được khi dùng 1 thiết bị điện thoại IPhones 6s dò tìm wifi

92
 Hình: Kết quả thu sóng được trên IPHONE 6
- Phát làm giả hàng loạt các SSID wifi theo danh sách tự tạo
Đầu tiên ta tạo 1 list các SSID wifi tùy chỉnh

Hình: Danh sách tên các Wifi giả mạo

Tiếp theo ta thực hiện tiến hành gửi các tấn công gửi các gói tin beacon frame hàng loạt đi
bằng câu lệnh sau:

mdk4 wlan0mon b -c 1 -f /home/coco/Desktop/listWifi.list

Trong đó:
-n ssid Chỉ định SSID thay vì SSID được tạo ngẫu nhiên
-f file Ssid đọc từ một tệp, thay vì được tạo ngẫu nhiên từ tệp đó
93
 -trong tập tin MAC và đọc từ một tệp ssid
-d Hiển thị cấu hình dưới dạng Ad-Hoc
-trong Đặt bit WEP (các mạng được mã hóa được tạo)
-g Hiển thị thông tin 802.11g
-t Hiển thị trang web bằng mã hóa WPA TKIP
-a Hiển thị trang web bằng mã hóa WPA AES
-m Với địa chỉ MAC hợp lệ từ OUI cơ sở dữ liệu truy cập
-h Chuyển đến kênh AP giả mạo, giúp kiểm tra hiệu quả hơn đối với một số thiết bị / trình
điều khiển nhất định, nhưng do nhảy kênh, làm giảm tốc độ gói
-c chan Kênh đã chỉ định, nếu bạn muốn thẻ của mình nhảy trên kênh này, bạn cũng phải đặt tùy
chọn -h!
-s rate Đặt tốc độ thành số gói mỗi giây (mặc định là 50)

Hình: Tiến hành gửi các tấn công gửi các gói tin beacon frame hàng loạt đi

94
 Hình: Kết quả thu sóng wifi được trên IPHON6
- Phát sóng làm giả SSID xác định thay vì ngẫu nhiên hoặc theo danh sách

o mdk wlan0mon b –n KiemThuXamNhap

Hình Phát sóng làm giả SSID có tên KiemthuxamnhapNhom2

95
Chúng ta còn có thể tạo điểm truy cập giả bằng airbase-ng để có thể lừa ai đó truy cập
vào mạng rồi toàn quyền theo dõi giám sát lưu lượng truy cập bằng cách sau:

sudo airbase-ng –a [MAC AP] --essid “WifiName” wlan0mon

Lab 3: Tấn công Denial-Of-Service các thiết bị mạng không dây(4)

Giới thiệu: Tấn công DOS gồm 3 loại:

- Tấn công DOS bằng các gói tin xác thực lại (Deauthentication)
- Tấn công DOS bằng các gói tin ngắt kết nối(Disassociation)
- Tấn công DOS bằng các gói tin xác thực tới AP (Authentication Denial-Of-Service)
1. - Tấn công DOS bằng các gói tin xác thực lại (Deauthentication)
Kỹ thuật: Thực hiện tiến hành gửi hàng loạt các gói tin deauthentication
packets( yêu cầu hủy xác thực)
Kẻ tấn công có thể gửi một khung xác thực(deauthentication frames) bất kỳ lúc
nào tới một điểm truy cập không dây, với một địa chỉ giả mạo cho nạn nhân.

Ta có thể sử dụng aireplay-ng để thực hiện tấn công yêu cầu xác thực lại này:
Trước tiên để thực hiện thành công DOS này ta cần xác định đúng chanel của AP
và chạy airodump-ng trên chanel 1.

96
 Hình: Dùng airodum giám sát một mạng không dây và các thiết bị đang kết nối
Tấn công gây xác thực lại tất cả các thiết bị trong mạng khi kết nối bằng mạng
không dây:
sudo aireplay-ng --deauth 0 –c 1 -a [ROUTERS MAC ADDRESS] wlan0mon

97
 Hình: Dos một mạng không dây bằng aireplay-ng
Câu lệnh dưới đây sử dụng aireplay-ng để ngắt kết nối 1 thiết bị trong mạng ra
khỏi mạng mà không ảnh hưởng tới các thiết bị khác.
sudo aireplay-ng --deauth 0 -c [DEVICES MAC ADDRESS] -a [ROUTERS MAC
ADDRESS] wlan0mon

98
 Hình: Dos một thiết bị trong một mạng không dây xác định
Trong đó: -0 chế độ tấn công hủy xác thực vũ khí
là số lượng deauth cần gửi; sử dụng 0 cho các deauth vô hạn
-a là địa chỉ AP (điểm truy cập) MAC (Media Access Control)
-c là địa chỉ MAC của máy khách mục tiêu; bỏ qua để hủy xác thực tất cả các ứng dụng
khách trên AP

Hình: Máy có địa chỉ MAC 50:29:F5:CC:FD:D9 đã bị ngắt kết nối và kết nối lại
2. - Tấn công DOS bằng các gói tin ngắt kết nối(Disassociation)
Kỹ thuật: Kẻ tấn công gửi hàng loạt các gói tin yêu cầu hủy kết nốt (disassociation
packets) tới cả AP và client trong mạng
Để thực hiện tấn công này ta có thể sử dụng công cụ mdk4 trong kali.
+ Đối với cuộc tấn công này, ta có thể ngắt các loại kết nối với các thiết bị trong mạng
như sau:

99
 a. Hủy kết nối các thiết bị có trong danh sách black_list bằng câu lệnh sau:
sudo mdk4 wlan0mon d -c 5 -b black_client_mac.txt -E WifiName -B [MacAP]

Hình: Hủy kết nối các thiết bị có trong danh sách đen

Nhưng đầu tiên ta phải xác định được MAC rồi đưa nó vào blacklist:

Hình: Xác định MAC của các thiết bị có trong mạng không dây nào đó

100
Hình: Đưa 2 mạng xác định trên vào blacklist
Trong đó:
# -c <kênh>
# -b nạn nhân_client_mac.txt chứa địa chỉ MAC của thiết bị để loại bỏ
# -e WifiName là tên của wifi
# -B BSSID là BSSID của AP
# Lưu ý rằng các tham số này và các tham số khác là tùy chọn, bạn có thể cung cấp cho onli ESSID
và md4k sẽ tự động tìm kiếm nó, chờ tìm thấy khách hàng và hủy xác thực chúng

Hình
b. Hủy kết nối các thiết bị không dây trong mạng xác định MAC AP có trong danh sách
white_list bằng lệnh sau:
sudo mdk4 wlan0mon d -c 5 -w white_mac.txt -E WifiName -B [MacAP]

101
Hình: Hủy kết nối những thiết bị không có trong sách trắng.

c. Hủy kết nối tất cả các tiết bị trong mạng AP xác định
sudo mdk4 wlan0mon d -E WifiName -B [MacAP]

3. - Tấn công DOS bằng các gói tin xác thực tới AP (Authentication Denial-Of-
Service)
Kỹ thuật: Xác thực từ chối dịch vụ là kẻ tấn công gửi khung xác thực(authentication
frames) đến tất cả các AP được tìm thấy trong phạm vi hoặc phạm vi xác định. Quá
nhiều máy khách có thể đóng băng hoặc đặt lại một số AP nếu như số gói tin khung
xác thực đủ nhiều và đồng thới AP đó có cấu hình yếu.

sudo mdk4 wlan0mon a –a [Mac AP] -s 1000

102
 Trong đó:
-a <ap_mac> Chỉ kiểm tra AP được chỉ định
-m Sử dụng máy khách MAC hợp lệ từ cơ sở dữ liệu OUI tích hợp sẵn
-i <ap_mac> Thực hiện kiểm tra thông minh trên AP Thử nghiệm này kết nối khách hàng
với AP và từ chối lại dữ liệu đã đánh hơi để giữ cho chúng tồn tại.
-s <pps> Đặt tốc độ theo gói trên giây (Mặc định: không giới hạn)

Hình: Thực hiện gửi các gói tin xác thực tới một số wifi trong phạm vi gần

Hình: Wireshark bắt được vô vàn gói tin xác thực

103
Lap 4: Tấn công sử dụng kỹ thuật xã hội với Evil Twin AP(5)

https://viblo.asia/p/evil-twin-gDVK26GAKLj
https://null-byte.wonderhowto.com/how-to/hack-wi-fi-stealing-wi-fi-passwords-with-evil-
twin-attack-0183880/
Là tấn công lừa nạn nhân truy cập vào AP giả mạo sau đó bắt nạn nhân nhập đúng
mật khẩu,mật khẩu nhập sẽ được lưu và so sánh vs mật khẩu trước đó đã được băm, quá
trình kết nối hoàn thành thì kết nối tới mạng đích của nạn nhân sẽ được trả tự do
Để thực hiện tấn công này ta sử sụng công cụ airgeddon

Các bước tấn công:

Bước 1: Khởi động Airgeddon bằng các lệnh sau.

104
Bước 2: Định cấu hình Airgeddon

Nhấn Enter để kiểm tra các công cụ khác nhau mà khung công tác Airgeddon dựa
vào. Nếu bạn thiếu bất kỳ thứ gì (nó sẽ thông báo "Lỗi" bên cạnh chúng), bạn có thể nhấn
Y và Enter ở lời nhắc để thử và tự động cài đặt bất kỳ thứ gì còn thiếu, nhưng điều đó
thường không hoạt động.

Khi bạn có tất cả các công cụ, hãy chuyển sang bước tiếp theo bằng cách nhấn Enter.

Khi hoàn tất, nhấn Enter để chọn network adapter sẽ sử dụng. Nhấn số trên bàn phím của
bạn tương ứng với network adapter trong danh sách, sau đó nhấn Enter.

105
Nhấn 2 và Enter để đưa thẻ không dây vào chế độ màn hình.

Sau khi chúng ta chọn bộ điều hợp mạng không dây của mình, chúng tôi sẽ tiến tới
menu tấn công chính.

Tiếp theo, chọn tùy chọn 7 và Enter cho menu "Cuộc tấn công của Evil Twin", và bạn sẽ
thấy menu con cho mô-đun tấn công này xuất hiện.

Ở bước này ta chọn 2 để chuyển chế độ cho card mạng chúng ta sang chế độ monitor

106
Bước 3: Chọn mục tiêu

107
Bạn sẽ cần đợi một chút để điền danh sách tất cả các mạng lân cận.

Rồi ta sẽ chọn 1 mạng để thực hiện tấn công này, ở đây mình chọn mạng 507 2.4Ghz

108
Bước 4: Thu thập cái bắt tay
Trước khi tiến hành thu thập bắt tay ta phải chọn kiểu tấn công

Bây giờ, chúng ta sẽ chọn loại tấn công yêu cầu xác thực lại mà chúng tôi muốn sử
dụng để loại bỏ người dùng khỏi mạng đáng tin cậy của họ. Ta thấy đề xuất tùy chọn thứ
hai, "Tấn công bằng aireplay của Deauth ", nhưng các cuộc tấn công khác nhau sẽ hoạt
động tốt hơn tùy thuộc vào mạng. Ở dưới đây mình thích mdk4 hơn nên mình chọn 1 😊.
109
Tiếp theo thì tùy sở thích mỗi người ta ấn Y or n, Mình thì ấn n hết nhé nhé:

110
 Bây giờ, nếu chúng ta chưa có một cái bắt tay cho mạng này, chúng ta sẽ phải bắt
một cái ngay bây giờ.cẩn thận để không vô tình chọn Y cho "Bạn đã có tệp Bắt tay được
chụp chưa?" nếu bạn không thực sự bắt tay. Không có cách nào rõ ràng để quay lại tập
lệnh mà không khởi động lại nếu bạn mắc lỗi này.
Vì chúng ta chưa bắt tay, hãy nhập N để không và nhấn Enter để bắt đầu chụp.
Sau khi quá trình chụp bắt đầu, một cửa sổ có văn bản màu đỏ gửi các gói deauth
và một cửa sổ có văn bản màu trắng lắng nghe những cái bắt tay sẽ mở ra. Bạn sẽ cần
phải đợi cho đến khi bạn nhìn thấy "WPA Handshake:" và sau đó là địa chỉ BSSID của
mạng được nhắm mục tiêu của bạn. Trong ví dụ dưới đây, chúng tôi vẫn đang chờ đợi
một cái bắt tay.

Khi quá trình bắt tay thành công thì. Tiếp theo, chọn vị trí để lưu file dữ liệu bắt
tay và ghi mật khẩu bị đánh cắp và bạn đã sẵn sàng đến bước cuối cùng của việc định cấu
hình trang lừa đảo.

111
Bước 6: Thiết lập trang lừa đảo

Trong bước cuối cùng trước khi phát động cuộc tấn công, chúng ta sẽ đặt ngôn ngữ
của trang lừa đảo. Trang được cung cấp bởi Airgeddon khá tốt để thử nghiệm kiểu tấn
công này. Trong ví dụ này, chúng ta sẽ chọn 1 cho tiếng Anh. Khi đã lựa chọn xong, hãy
nhấn Enter, và cuộc tấn công sẽ bắt đầu với sáu cửa sổ mở ra để thực hiện đồng thời các
chức năng khác nhau của cuộc tấn công.

112
Bước 7: Nắm bắt thông tin đăng nhập mạng

Với cuộc tấn công đang diễn ra, nạn nhân nên bị loại khỏi mạng của họ và xem
mạng giả của chúng tôi là lựa chọn duy nhất có vẻ quen thuộc. Hãy kiên nhẫn và chú ý
đến trạng thái mạng trong cửa sổ trên cùng bên phải. Điều này sẽ cho ta biết khi một thiết
bị tham gia vào mạng, cho phép ta xem bất kỳ lần nhập mật khẩu nào mà chúng thực hiện
khi chúng được chuyển đến cổng bị khóa.

113
 Khi nạn nhân tham gia vào mạng của bạn, bạn sẽ thấy một loạt các hoạt động như
trong hình bên dưới. Ở góc trên cùng bên phải, bạn sẽ có thể thấy bất kỳ lần nhập mật
khẩu thất bại nào, được kiểm tra dựa trên lần bắt tay mà chúng tôi thu thập được. Điều
này sẽ tiếp tục cho đến khi nạn nhân nhập đúng mật khẩu và tất cả các yêu cầu internet
của họ (nhìn thấy trong hộp văn bản màu xanh lá cây) sẽ không thành công cho đến khi
họ làm như vậy.

Khi nạn
nhân nhập sai:

Khi nạn nhân nhập đúng mật khẩu, các cửa sổ sẽ đóng lại ngoại trừ cửa sổ trên cùng bên
phải. Mạng giả sẽ biến mất và nạn nhân sẽ được tự do kết nối lại với mạng không dây
đáng tin cậy của họ.

Lap 5: Tấn công mật khẩu Wi-Fi WPA & WPA2 bằng tấn công WPS Pixie Dust
Attack sử dụng công cụ Airgeddon
Giới thiệu:
114
 Lỗi thiết kế trong nhiều bộ định tuyến có thể cho phép tin tặc đánh cắp thông tin
đăng nhập Wi-Fi, ngay cả khi mã hóa WPA hoặc WPA2 được sử dụng với mật khẩu
mạnh . Trong khi chiến thuật này được sử dụng mất tới 8 giờ, cuộc tấn công WPS Pixie-
Dust mới hơn có thể phá vỡ mạng trong vài giây. Để làm điều này, một khung tấn công
không dây hiện đại có tên Airgeddon được sử dụng để tìm các mạng dễ bị tấn công, và
sau đó Bully được sử dụng để bẻ khóa chúng.

Mã PIN WPS đã bị tấn công bởi hai thế hệ tấn công liên tiếp, bắt đầu bằng các
phương pháp cơ bản nhất nhắm vào cách một số bộ định tuyến chia mã PIN thành hai nửa
riêng biệt trước khi kiểm tra chúng. Nhiều năm sau, một cuộc tấn công khác đã xuất hiện
mà vẫn hiệu quả đối với nhiều bộ định tuyến và giảm đáng kể lượng thời gian cần thiết để
tấn công mục tiêu.
Reaver: Hiện đã lỗi thời so với các bộ định tuyến hiện đại nhất
Cuộc tấn công Reaver là vũ khí mới triệt để cho việc hack Wi-Fi khi nó được trình
bày vào năm 2011. Một trong những cuộc tấn công thực tế đầu tiên chống lại các mạng

115
được mã hóa WPA và WPA2, nó hoàn toàn bỏ qua loại mã hóa mà mạng sử dụng, khai
thác các lựa chọn thiết kế kém trong giao thức WPS.

Trong Lab này chúng ta sẽ nói đến cuộc tấn công WPS tốt hơn đó là: WPS Pixie
Dust Attack
Kỹ thuật: Do nhiều bộ định tuyến có bật WPS sử dụng các hàm đã biết để tạo ra các số
ngẫu nhiên có giá trị giống như “0” hoặc dấu thời gian bắt đầu giao dịch WPS, trao đổi
khóa WPS có lỗi nghiêm trọng trong cách mã hóa tin nhắn. Điều này cho phép mã PIN
WPS bị bẻ khóa trong vài giây.
Các cách tấn công
Cách 1: Thủ công sử dụng Reaver
Tham khảo tại
https://null-byte.wonderhowto.com/how-to/hack-wifi-using-wps-pixie-dust-attack-
0162671/
Cách 2: Dùng công cụ Airgeddon
Các bước thực hiện:
Bước 1 Chọn Bộ điều hợp mạng không dây của bạn
Trong bước tiếp theo, Airgeddon sẽ liệt kê các bộ điều hợp mạng của bạn. Chọn
cái bạn muốn sử dụng cho cuộc tấn công bằng cách nhập số bên cạnh nó. Bạn có thể
muốn thay đổi địa chỉ MAC của bộ điều hợp của mình bằng một công cụ như GNU MAC
Changer trước khi thực hiện việc này.
Trong trường hợp này, tôi đang chọn card mạng 2,4 băng tần 5 và 5 GHz, là tùy chọn 3.

Tiếp theo, bạn sẽ được thả vào màn hình tấn công chính. Trong trường hợp này, tôi
sẽ thực hiện một cuộc tấn công WPS, vì vậy tôi sẽ chọn tùy chọn 8 và nhấn return.

116
Bước 2 Kích hoạt chế độ màn hình
Bây giờ, bạn sẽ cần đặt thẻ của bạn vào chế độ monitor. Thay vì các lệnh airmon-
ng thông thường , chỉ cần nhập số 2 vào menu và nhấn return.à mình chuyển sang chế độ
monitor trước rồi nhé

Nếu mọi việc suôn sẻ, thẻ của bạn sẽ được đưa vào chế độ monitor và thay đổi tên
của nó. Airgeddon sẽ theo dõi tên đã thay đổi và bạn sẽ có thể tiếp tục vào menu nhắm
mục tiêu.
Bước 3 Quét khu vực cho các mục tiêu kém bảo mật
Để tìm các bộ định tuyến dễ bị tấn công, giờ đây bạn có thể chuyển thẻ của mình
sang các mạng trong khu vực ngay lập tức bằng cách chọn tùy chọn 4, quét các mục tiêu.
Nếu bạn có thẻ băng tần kép, bạn sẽ được hỏi xem bạn có muốn quét phổ 2,4 hoặc 5 GHz
hay không, cho phép bạn quyết định loại mạng nào sẽ nhắm mục tiêu. Loại Y cho 5 GHz
và N cho 2,4 GHz.

117
 Một cửa sổ sẽ mở cho bạn thấy tất cả các mạng dễ bị tổn thương. Cho phép nó duy
trì mở trong một vài lần quét trong khi thẻ của bạn chạy lên và xuống các kênh không dây
và cố gắng tìm các mạng mới. Sau khi chờ đợi khoảng một phút, thoát ra ngoài cửa sổ,
hoặc nhấn tổ hợp phím Ctrl + C .

Bạn sẽ thấy dữ liệu mục tiêu Wi-Fi của mình được tải vào màn hình bộ chọn, nghĩa
là bạn đã sẵn sàng tải dữ liệu mục tiêu vào mô-đun tấn công!
Bước 4 Tải dữ liệu mục tiêu Wi-Fi vào Mô-đun tấn công
Bây giờ, bạn sẽ thấy một màn hình chứa dữ liệu đích cho từng mạng dễ bị xâm
nhập mà bạn đã phát hiện. Nhập số mạng bạn muốn nhắm mục tiêu để chuyển dữ liệu
nhắm mục tiêu đến Airgeddon và nhấn return. Tiếp theo, bạn sẽ chọn mô-đun tấn công
nào sẽ sử dụng các giá trị này làm đối số.

118
 Trong ví dụ của tôi, màn hình tấn công WPS của tôi hiện đã hoàn toàn sẵn sàng
khai hỏa. Thẻ không dây của tôi ở chế độ màn hình và tôi đã chọn một mạng theo BSSID,
số kênh, ESSID và các thông tin khác mà tôi đã lấy từ bản quét của mình. Bây giờ, tất cả
những gì tôi cần làm là chọn một mô-đun tấn công.
Như bạn có thể thấy dưới đây, khá nhiều được cung cấp. Tùy thuộc vào thẻ không
dây của bạn, bạn sẽ gặp nhiều may mắn hơn với Reaver hoặc Bully. Trong hướng dẫn
này, chúng tôi đang tập trung vào Reaver, vì vậy hãy nhập 8 để tải dữ liệu đích vào mô-
đun tấn công Bully và nhấn return.

119
120
 Giá trị cuối cùng bạn cần nhập là thời gian chờ hoặc khoảng thời gian trước khi
chương trình giả định cuộc tấn công thất bại. KHUYẾN NGHỊ đặt giá trị khoảng 30s

Bước 5 Khởi chạy Tấn công & Phá mã PIN WPS

Khi bạn khởi động mô-đun tấn công, một cửa sổ sẽ mở ra với văn bản màu đỏ trên
màn hình. Nếu giao tiếp thành công, bạn sẽ thấy nhiều giao dịch được mã hóa giống như
giao dịch trong hình dưới đây. Nếu bạn ở ngoài phạm vi hoặc mục tiêu không thực sự dễ
bị tổn thương, bạn sẽ thấy các giao dịch thất bại.
Ngay khi Reaver có dữ liệu cần thiết để phá mã PIN, nó sẽ chuyển nó đến chương
trình WPS Pixie-Dust.

121
 Điều này có thể xảy ra trong vài giây hoặc ít hơn, nhưng nếu kết nối của bạn yếu,
có thể mất vài phút. Bạn sẽ thấy mã PIN bị bẻ khóa và mật khẩu Wi-Fi xuất hiện ở cuối
màn hình. Đó là nó! Bạn có quyền truy cập hoàn toàn vào bộ định tuyến.
Kết quả cuối cùng nếu thành công

122
V. Các phương pháp phòng chống tấn công mạng không dây

Sử dụng mạng không dây wifi là xu hướng của nhiều gia đình hiện nay. Tuy
nhiên, xu hướng này cũng tiềm ẩn rất nhiều nguy cơ về tính bảo mật thông tin. Bởi việc
kết nối mạng internet không dây là một trong những kết nối internet kém an toàn, dễ bị
hacker tấn công nhất. Tuy nhiên, với những cách bảo mật wifi được chia sẻ ngay sau
đây. Chắc chắn sẽ giúp việc truy cập internet của gia đình bạn bằng mạng không dây
đảm bảo an toàn hơn.
Thực tế là không có cách bảo mật wifi tuyệt đối. Tuy nhiên với 11 cách bảo mật mạng
không dây dưới đây gia đình bạn vẫn hoàn toàn có thể yên tâm khi truy cập internet mỗi
ngày:
1. Thay đổi tên mạng (SSID)
Thay đổi tên mạng (SSID) là cách bảo mật wifi thường được nhiều gia đình áp
dụng bởi cách làm khá đơn giản. Bạn nên thay đổi tên mạng mặc định để tránh trường
hợp kẻ tấn công biết được SSID mặc định. Bạn hãy hình dung là, mỗi sản phẩm wifi khi
sản xuất ra đều có bộ định tuyến (router) và ISP. Nếu kẻ tấn công tìm ra được bộ định
tuyến Router và vào được tên mạng SSID của bạn thì họ sẽ rất dễ dàng tấn công. Do đó
việc thay đổi tên mạng SSID là rất cần thiết để đảm bảo an toàn khi truy cập internet bằng

mạng không dây.

2. Thay đổi tên người dùng và mật khẩu

Thay đổi tên người dùng và thay đổi mật khẩu cũng là cách để bảo mật wifi. Bởi
thông thường các hacker sẽ thường thử tấn công mạng nhà bạn bằng tên người dùng và
mật khẩu. Nếu không hack được thì chúng mới áp dụng cách tấn công khác. Điểu đặc biệt
là các hacker này thường có công cụ để tra cứu dò ra mật khẩu cũng như tên người dùng
rất nhanh. Do đó, bạn không nên để mật khẩu quá đơn giản. Lời khuyên cho bạn là hãy
123
thay đổi tên người dùng và mật khẩu bằng một dãy ký tự khó đoán. Bạn cũng nên kết hợp
chữ hoa chữ thường và các con số để tạo nên một dãy tên người dùng và mật khẩu vô
nghĩa. Điều này sẽ khiến cho những kẻ tấn công khó dò ra được tên người dùng và mật
khẩu của bạn hơn.

3. Sử dụng mã hóa mạnh để bảo mật wifi

Nhiều người cho rằng mạng wifi không cần mã hóa. Tuy nhiên đây là một suy nghĩ
sai lầm. Nếu bạn chưa dùng mã hóa cho mạng wifi thì những kẻ tấn công rất dễ hack wifi
nhà bạn. Để mã hóa bảo mật wifi bạn có thể chọn “WPA2 Personal” cho mạng nhà mình.
Nếu được bạn hãy thiết lập phiên bản mã hóa doanh nghiệp. Những cách thiết lập phiên
bản doanh nghiệp khá phức tạp. Bạn cũng cần lưu ý, đối với thuật toán mã hóa bạn nên
chọn AES và không nên dùng TKIP. Bởi AES sẽ cung cấp mã hóa mạnh khó tấn công
hơn TKIP.

4. Chọn mật
khẩu mạnh
Cách bảo mật wifi đơn giản tiếp theo bạn nên áp dụng là chọn mật khẩu mạnh cho
wifi nhà mình. Một mật khẩu wifi mạnh cần đảm bảo một vài yếu tố về độ dài (độ dài lý
tưởng là ít nhất 15 ký tự), dãy mật khẩu nên có các ký tự đặc biệt.

124
5. Thay đổi mật khẩu wifi
Dù mật khẩu của bạn đã rất mạnh thì sau khoảng vài ba tháng bạn nên đổi mật
khẩu wifi bằng một cụm mật khẩu khác. Cách làm này nhằm đảm bảo mạng wifi nhà bạn
được bảo mật tuyệt đối.
6. Vô hiệu hóa mạng khách
Vô hiệu hóa mạng khách cũng là cách bảo mật mạng không dây an toàn cho gia
đình bạn. Nhiều gia đình để mạng wifi chế độ mở giúp ai cũng có thể kết nối wifi mà
không cần mật khẩu. Tuy nhiên cách để mạng khách mở như này rất nguy hiểm. Tốt nhất
là bạn nên vô hiệu hóa mạng khách bằng một dãy mật khẩu riêng. Và sau khi họ rời đi
bạn hãy thay đổi mật khẩu wifi gia đình mình nhé.
7. Bật tường lửa để bảo mật wifi
Một số bộ định tuyến wifi sẽ được cài sẵn tường lửa. Để bảo mật mạng không dây
bạn nên bật tường lửa này lên. Tường lửa được ví như hàng phòng thủ giúp bảo vệ mạng
không dây của gia đình bạn. Tường lửa có tác dụng quản lý và lọc tất cả các lưu lượng
truy cập vào mạng wifi gia đình bạn. Thậm chí nó có thể khóa, ngăn chặn các truy cập
nguy hiểm cho mạng không dây.

8. Sử dụng VPN

125
 Một ưu điểm khi sử dụng VPN là bạn có thể ngăn chặn các kẻ tấn công vào mạng
wifi của gia đình mình. Cách dùng VPN như sau: Bạn kết nối wifi với máy chủ VPN. Sau
đó kết nối wifi với internet. Các lưu lượng truy cập sẽ được quản lý thông qua VPN. Đặc
biệt, VPN có thể ẩn danh một phần lưu lượng truy cập mạng. Điều này sẽ giúp bảo mật
wifi tốt hơn.

9. Tắt WPS
WPS được hiểu là một hệ thống được kết nối với wifi đã được mã hóa mà không
cần sử dụng mật khẩu. Nhược điểm của WPS là nó có thể tạo điều kiện cho những kẻ tấn
công dễ dàng tấn công mạng không dây hơn. Do đó, lời khuyên cho bạn là hãy tắt WPS
để đảm bảo an toàn tối đa cho mạng không dây của gia đình.
10. Quản lý firmware của bộ định tuyến
Bộ định tuyến wifi thường có một hệ điều hành tương tự như máy tính vậy. Nhưng
hệ điều hành này không thể tự update của bản cập nhật bảo mật mạng không dây như một
chiếc máy tính. Một số bộ định tuyến có thể update các bản cập nhật firmware từ trên
mạng. Còn các trường hợp khác thì bạn phải tải các bản câp nhật xuống rồi lại tải lên bộ
định tuyến từ máy tính để cập nhật cho wifi. Lời khuyên cho bạn là vài ba tháng nên
update bản cập nhật cho wifi định kỳ để đảm bảo tính bảo mật cho wifi.

11. Tắt quản lý từ xa/ dịch vụ không cần thiết

Một số bộ định tuyến cho phép quản lý từ xa. Điều này có thể sẽ giúp bạn quản lý
bộ định tuyến dễ dàng hơn. Nhưng nó cũng tiềm ẩn nhiều rủi ro và nguy hiểm cho mạng
không dây nhà bạn. Bởi những kẻ tấn công hoàn toàn có thể hack truy cập vào giao diện
quản lý bộ định tuyến và xâm nhập mạng không dây nhà bạn. Do đó, để đảm bảo tính bảo
mật wifi bạn nên tắt dịch vụ quản lý từ xa của bộ định tuyến.

126
127
 TÀI LIỆU THAM KHẢO

[1] CEH v10 Complete Training Guide With Labs, IPSpecialist LTD., 2018.

[2] C. B. Vivek Ramachandran, Kali Linux Wireless Penetration Testing: Beginner's

Guide, Packt Publishing Ltd, 2015 .

[3] A. Johns, Mastering Wireless Penetration Testing for Highly, Packt Publishing,
2015.

[4] R. R. Asaad, "Penetration Testing: Wireless Network Attacks Methods on,"

Academic Journal of Nawroz University (AJNU), Vol.10, No.1, 2021, 2017.

[5] EC-Council, Ethical Hacking and Countermeasures V11, 2020.

[6] BurnCT, "WONDERHOWTO," [Online]. Available: https://null-

byte.wonderhowto.com/how-to/hack-wifi-using-wps-pixie-dust-attack-0162671/.

[7] D. T. Hanh, "Evil Twin," 20 3 2020. [Online]. Available: https://viblo.asia/p/evil-

twin-gDVK26GAKLj.

[8] W. Professional, "4-WAY HANDSHAKE," 2019. [Online]. Available:

https://www.wifi-professionals.com/2019/01/4-way-handshake.

[9] KODY, "Track Wi-Fi Devices & Connect to Them Using Probequest," [Online].
Available: https://null-byte.wonderhowto.com/how-to/track-wi-fi-devices-connect-
them-using-probequest-0186137/.

[10] W. Proffessional, "WIRESHARK DISPLAY FILTERS," 2019. [Online]. Available:

https://www.wifi-professionals.com/2019/03/wireshark-display-filters.

[11] V. mentor, "Cách duy trì bảo mật trước lỗ hổng wifi KRACK năm 2021," 2021.
[Online]. Available: https://vi.vpnmentor.com/blog/cach-duy-tri-bao-mat-truoc-lo-
128
 hong-wifi-krack/.

[12] darkAudax, "Tutorial: WPA Packet Capture Explained," 2009. [Online]. Available:
https://www.aircrack-ng.org/doku.php?id=wpa_capture.

[13] "Module 15 Tấn công trên mạng không dây," in CEHv9_Finish 01 - Ethical
Hacking - TIếng Việt.

129