패킷 스니핑 - 연결 해제 공격

 

 

 

연결 해제 공격 이란?

다른 네트워크에 속한 기기의 연결을 해제하는 공격이다.

이때, 비밀번호는 몰라도 되기 때문에 아주 간단하다.

이론상 과정은 다음과 같다.

1. Mac 주소를 클라이언트의 것으로 바꾼다. (Mac주소를 변경하여 해당 기기를 사칭)
2. 해당 기기가 연결된 라우터에 연결 해제를 명령한다.
3. Mac 주소를 라우터의 Mac주소로 바꾸어 연결해제 요청을 받아 연걸을 해제한다고 클라이언트에게 알려준다.

 

즉, 해당 기기를 사칭해 연결해제신호를 보내고, 다시 라우터를 사칭해 기기에게 연결을 해제한다고 하는것이다.

사회공학 기법에서 유용하게 사용되는데, 대상 네트워크에서 클라이언트 연결을 해제하고
사용자를 호출해서 IT부서 직원인 척 행세할 수도 있다. 이렇게 백도어나 바이러스를 설치하거나
다른 액세스포인트로 접속하게 하여 해당 액세스 포인트에서 감시할 수도 있다.

 

 

 

 

---

 

 

실습

현재 노트북이 사진처럼 Wifi에 연결되어 있다.

 

해당 airodump-ng 를 통해 해당 wifi의 Mac 주소와 클라이언트의 Mac 주소를 알아낸다.
(현재는 클라이언트가 노트북 하나이기 때문에 저 Mac 주소가 노트북이라고 할 수 있다)

 

 

다음과 같은 명령어를 사용하여 연결해제 공격을 한다.

aireplay-ng --deauth [패킷 수] -a [액세스포인트Mac] -c [클라이언트Mac] -D wlan0

명령어를 입력하면 다음 사진처럼 계속 인증해제 패킷을 보낸다.

인증해제 공격으로 인해 인터넷 연결이 해제된것을 볼 수 있다.