Клонировать ip и mac addr на wlan

Question

Клонировать ip и mac addr на wlan

Что произойдет, если я клонирую другой компьютер в сети WLAN? рассмотрим следующий сценарий.

PC1 (жертва) mac1 ip1
ПК2(злоумышленник) mac2 ip2.

Я установил Mac2 = Mac1 и IP2 = IP1

я запустил следующий скрипт на ПК2

#!/bin/bash
ifconfig wlan0 down
macchanger -m ac:81:12:a2:4e:3a wlan0
ifconfig wlan0 192.168.1.5
route add default gw 192.168.1.1 wlan0
ifconfig wlan0 up

мне удалось клонировать pc1 и получить доступ к интернету через pc2, но pc1 потерял связь с интернетом. pc2 работает нормально, как будто он выгнал pc1 из сети. я действительно не могу найти логическое объяснение этой проблемы. почему pc1 потерял связь?? маршрутизатор не должен различать их, а pc1 должен поддерживать соединение с интернетом

-1

networking wifi mac-address duplicate-ip

Источник

george 16 фев '13 в 16:55

2 ответа

Другие вопросы по тегам networking wifi mac-address duplicate-ip

MDMarra 16 фев '13 в 17:08 2013-02-16 17:08 · Answer 1 · 2013-02-16 17:08

Поведение является ожидаемым и нормальным из-за ARP.

5

Источник

MDMarra 16 фев '13 в 17:08

BatchyX 16 фев '13 в 20:07 2013-02-16 20:07 · Answer 2 · 2013-02-16 20:07

Сеть 802.11, в отличие от проводной сети, использует подтверждения, чтобы указать, что кадр был принят успешно. Он используется потому, что канал имеет такие потери, что большинство верхних уровней не смогут справиться с коэффициентом полной потери, поэтому отсутствие подтверждения приведет к повторной передаче. И это решает еще одну проблему: сеть 802.11 является сетью с общим медиа, поэтому, если две станции отправляют данные в одно и то же время, происходит коллизия, и кадр теряется для обеих сторон.

Если две станции WLAN используют один и тот же MAC-адрес в открытой сети, сеть может быть быстро отключена для обеих станций, потому что прием данных, скорее всего, будет неудачным:

Если обе станции успешно получат кадр от AP, оба подтвердят в то же самое время. И когда я имею в виду "то же самое время", это 10 мкс после того, как закончился прием кадра. Таким образом, гарантируется, что оба подтверждения будут конфликтовать друг с другом, и точка доступа не получит его, поэтому выполнит повторную передачу.
Если одна станция успешно принимает кадр, но не другую, то первая станция подтвердит, а другая станция никогда не получит кадр.

Таким образом, когда ваша сеть полностью отключена, произойдет отключение или огромная потеря производительности, и тот, кто отключится первым, потеряет работу.

Если ваша сеть защищена WPA/RSN-PSK (без SAE), и обе станции знают PSK, существует еще одна проблема: PSK сам по себе не является ключом шифрования, а используется для получения случайно сгенерированного временного ключа шифрования во время Четырехстороннее рукопожатие.

Пока станция подключена, если другая станция обычно инициирует соединение, то точка доступа, скорее всего, забудет старый ключ шифрования и будет использовать тот, который был согласован с помощью нового 4-стороннего рукопожатия. В зависимости от реализации предыдущей станции, она может отключиться бесшумно или будет участвовать в новом четырехстороннем рукопожатии. Если обе станции участвуют в одном и том же квитировании, благодаря тому, как обычно осуществляется четырехстороннее квитирование, первая отвечающая станция выигрывает, а другая станция отключается, потому что не сможет аутентифицировать AP.

И если злоумышленник извлекает ключ временного шифрования (например, подслушивая 4-х стороннее рукопожатие, выполненное предыдущей станцией и зная PSK), у него возникнут проблемы с введением кадров: каждый кадр имеет порядковый номер для предотвращения повторного воспроизведения, и если AP обнаруживает повторы, она знает, что где-то есть злоумышленник. Так как CCMP безопасен, AP может просто игнорировать обнаруженные повторы, поэтому снова выигрывает первый, отправивший пакет с приемлемым порядковым номером. И, кроме того, у вас все еще есть проблема коллизий ACK.

Поэтому, если злоумышленник хочет ввести кадры, не отключая другую станцию, он должен быть более умным: он может передавать кадры по желанию, но не должен подтверждать принятые кадры и должен иметь лучшее качество связи, чтобы исходная станция тоже не теряла много кадров. Работа злоумышленника будет намного проще, если он может использовать тот же IP-адрес, но с другим MAC-адресом, и игнорировать все ARP-запросы: он может ввести IP-данные и пропустит половину полученных данных (в зависимости от качества канала), но будет никоим образом не ухудшать связь с другой станцией.

Если ему нужно использовать тот же MAC-адрес, он может вводить кадры только в том случае, если сеть открыта, ждать подтверждения и повторять попытки, если подтверждение не получено, и надеяться, что предыдущая станция не слишком смущена при получении подтверждения, когда неожиданно. Злоумышленник должен все еще пассивно контролировать канал и все равно будет пропускать большую часть входящих данных.

Атаковать сложно, даже если 802.11 сделает это легко.

И кстати, ifconfig а также route устарели на Linux. использование ip link, ip addr а также ip route вместо. Также вы можете использовать ip link set wlan0 address xx:xx:xx:xx:xx:xx вместо macchanger:

#!/bin/sh
ip link set wlan0 down
ip link set wlan0 address ac:81:12:a2:4e:3a
ip addr add 192.168.1.5/24 dev wlan0
ip link set wlan0 up
ip route add default via 192.168.1.1