- Сообщения
- 42
- Реакции
- 31
Ты сидишь в кафе, подключаешься к Wi-Fi, открываешь телегу. Рядом за столиком человек с ноутбуком делает то же самое — только он параллельно читает твой трафик, перехватывает куки и собирает хеши паролей от корпоративных сетей в радиусе ста метров. Ему не нужен физический доступ к роутеру, не нужен пароль от сети, и WPA3 его не остановит
Большинство гайдов по взлому Wi-Fi застряли в 2019 году — aircrack-ng, словарные атаки на WPA2, дескать ломай хендшейк и радуйся. Но за последние пару лет изменилось вообще всё: появились новые атаки, новые инструменты, а WPA3 который обещали как панацею — оказался дырявым
PMKID — атака без клиентов
Классическая атака на WPA2 требует перехватить четырёхстороннее рукопожатие, а для этого нужно ждать пока кто-то подключится к сети (или деаутентифицировать существующего клиента и поймать реконнект). В 2018 году Йенс Штойбе — автор hashcat — нашёл способ обойти это полностью
PMKID (Pairwise Master Key Identifier) отдаётся роутером в первом же фрейме EAPOL, ещё до аутентификации. Тебе не нужны клиенты в сети вообще — достаточно отправить запрос на ассоциацию и роутер сам выдаст хеш
На практике это выглядит так:
hcxdumptool за 5-10 минут собирает PMKID со всех роутеров в радиусе действия — причём многие даже не знают что отдают этот хеш по первому запросу. По данным hcxtools-проекта, около 70% домашних роутеров на WPA2 отдают PMKID без сопротивления
Скорость брута зависит от железа. RTX 4090 перебирает ~2.5 миллиона WPA2-хешей в секунду. Пароль из 8 цифр (а таких ещё полно) ломается за 40 минут. Словарь rockyou + правила мутации покрывает процентов 60 типичных паролей
WPA3 — обещали неуязвимость, получили SAE-баги
WPA3 заменил PSK-аутентификацию на SAE (Simultaneous Authentication of Equals), он же Dragonfly handshake. В теории — PMKID-атака не работает, офлайн-брут невозможен, forward secrecy, красота
На практике Мэти Ванхоф (тот самый, из KRACK) в 2019 году показал набор атак под названием Dragonblood, и с тех пор список только рос
Что реально работает против WPA3 в 2026:
1. Downgrade-атака — большинство роутеров работают в режиме WPA3-Transition (совместимость с WPA2). Если клиент поддерживает WPA2 — он подключится по WPA2, и дальше классический PMKID/handshake. Атака тривиальная: поднимаешь Evil Twin с тем же SSID но только WPA2, клиент подключается, ты ловишь хендшейк
2. Side-channel на SAE — Dragonblood показал что по времени ответов можно определить какую группу использует точка доступа и сузить перебор. CVE-2019-9494 и CVE-2019-9496 — формально пропатчены, но куча роутеров не обновлялась с завода
3. Реализация SAE в дешёвых чипах — TP-Link, Tenda, Xiaomi на чипах MediaTek и Realtek. Реализация Dragonfly кривая, timing-атаки работают. Исследование 2024 года из TU Darmstadt показало что 40% домашних роутеров с WPA3 уязвимы к timing side-channel
4. Brute-force через Management Frames — SAE имеет anti-clogging механизм, но если его обойти (а на некоторых реализациях это возможно), можно брутить пароль онлайн, 10-20 попыток в секунду. Для PIN-кодов и простых паролей хватает
Evil Twin — старая классика, новые трюки
Evil Twin — фейковая точка доступа с тем же SSID что и у цели. Концепция старая, но инструменты радикально улучшились
hostapd-mana — форк hostapd с кучей агрессивных фич: KARMA-атака (отвечает на любой Probe Request — "да, я именно та сеть которую ты ищешь"), поддержка EAP для перехвата корпоративных логинов, интеграция с captive-порталами
Wifiphisher автоматизирует всё: сканирует цели, деаутентифицирует клиентов, поднимает клон точки, редиректит на captive portal где жертва вводит пароль от Wi-Fi "для переподключения". Звучит тупо, но работает на удивление часто — людей годами приучали что Wi-Fi иногда просит пароль заново
Кстати, против Evil Twin не помогает ни WPA2, ни WPA3 — если атакующий создал открытую сеть с тем же именем и сигнал сильнее оригинала, клиент переключится. А дальше MITM, captive portal, что угодно
Wi-Fi Pineapple и специализированное железо
Hak5 Wi-Fi Pineapple Mark VII — это коробка за $100 которая из себя выполняет Evil Twin, KARMA, деаутентификацию и сбор хендшейков в автоматическом режиме. Подключаешь к пауэрбанку, кладёшь в рюкзак, уходишь пить кофе — через час у тебя хеши от всех сетей в здании
Для тех кому мало — Alfa AWUS036ACH (двухдиапазонный, 2.4 + 5 ГГц) или AWUS036ACSM за ~$40 с режимом мониторинга из коробки на Linux. Важный момент: не все адаптеры поддерживают packet injection, и подбирать чипсет нужно заранее. Рабочие чипсеты в 2026: Realtek RTL8812AU, RTL8814AU, MediaTek MT7612U. Intel и Broadcom — мимо, инжекцию не поддерживают
Flipper Zero с Wi-Fi DevBoard (ESP32-S2) — deauth-атаки, Beacon Spam, Probe Request сниффинг. Не полноценный инструмент для взлома, но для разведки и деаутентификации хватает, а главное — помещается в карман
Корпоративный Wi-Fi — EAP и как его ломать
Домашний Wi-Fi — это WPA2/WPA3-Personal с одним паролем на всех. Корпоративный — WPA2/WPA3-Enterprise с RADIUS-сервером и индивидуальными учётками. Ломается по-другому
Основной вектор — Evil Twin + поддельный RADIUS. Поднимаешь фейковую точку с тем же SSID, но свой RADIUS-сервер (hostapd-mana + freeradius). Клиент подключается и отправляет свои учётные данные. В EAP-PEAP/MSCHAPv2 (а его используют процентов 80 корпоративных сетей) — это хеш NetNTLMv2 от доменного пароля
eaphammer — ещё один инструмент заточенный именно под EAP-атаки. Автоматически генерирует сертификаты, конфигурирует hostapd, перехватывает GTC-пароли (в открытом виде!) если сеть использует EAP-GTC
Кстати, EAP-TLS (сертификаты на клиенте) ломается сложнее — там нет пароля для перехвата. Но если сертификат не привязан к TPM и хранится в файловой системе, его можно украсть с устройства
Deauth и Beacon Flood — DoS без взлома
Даже без цели взломать пароль, Wi-Fi позволяет делать много неприятного. Deauthentication-фреймы в 802.11 не аутентифицированы (даже в WPA3, пока не включён PMF — Protected Management Frames), и любой может отключить любого клиента от любой сети
aireplay-ng, mdk4, или просто ESP8266 с прошивкой esp8266_deauther за $3 — и все устройства в радиусе вылетают из сети. Практическое применение: заставить клиентов переподключиться (для перехвата хендшейка), вынудить перейти на Evil Twin, или просто устроить хаос
802.11w (PMF) — защита от deauth-спуфинга — обязателен в WPA3, опционален в WPA2. На практике даже в WPA3-сетях многие клиенты не поддерживают PMF корректно, и деаутентификация всё ещё работает
Beacon Flood — генерация тысяч фейковых SSID. Забивает эфир, клиенты путаются, некоторые устройства зависают при сканировании. mdk4 делает это одной командой
Что реально защищает в 2026
Если ты настраиваешь сеть и хочешь чтобы её не вскрыли со второй попытки:
Ну и самое очевидное — публичные Wi-Fi без VPN это лотерея. Не потому что "ой, хакеры повсюду" — а потому что инструменты для атаки стоят $3 (ESP8266) до $100 (Pineapple), настраиваются за вечер, и применяются в одно нажатие
Большинство гайдов по взлому Wi-Fi застряли в 2019 году — aircrack-ng, словарные атаки на WPA2, дескать ломай хендшейк и радуйся. Но за последние пару лет изменилось вообще всё: появились новые атаки, новые инструменты, а WPA3 который обещали как панацею — оказался дырявым
PMKID — атака без клиентов
Классическая атака на WPA2 требует перехватить четырёхстороннее рукопожатие, а для этого нужно ждать пока кто-то подключится к сети (или деаутентифицировать существующего клиента и поймать реконнект). В 2018 году Йенс Штойбе — автор hashcat — нашёл способ обойти это полностью
PMKID (Pairwise Master Key Identifier) отдаётся роутером в первом же фрейме EAPOL, ещё до аутентификации. Тебе не нужны клиенты в сети вообще — достаточно отправить запрос на ассоциацию и роутер сам выдаст хеш
На практике это выглядит так:
Код:
# Перевод адаптера в режим мониторинга
sudo airmon-ng start wlan0
# Сбор PMKID через hcxdumptool
sudo hcxdumptool -i wlan0mon -o capture.pcapng --active_beacon --enable_status=15
# Конвертация в формат hashcat
hcxpcapngtool -o hash.22000 capture.pcapng
# Брут через hashcat (режим 22000 — WPA-PBKDF2-PMKID+EAPOL)
hashcat -m 22000 hash.22000 wordlist.txt -r rules/best64.rulehcxdumptool за 5-10 минут собирает PMKID со всех роутеров в радиусе действия — причём многие даже не знают что отдают этот хеш по первому запросу. По данным hcxtools-проекта, около 70% домашних роутеров на WPA2 отдают PMKID без сопротивления
Скорость брута зависит от железа. RTX 4090 перебирает ~2.5 миллиона WPA2-хешей в секунду. Пароль из 8 цифр (а таких ещё полно) ломается за 40 минут. Словарь rockyou + правила мутации покрывает процентов 60 типичных паролей
WPA3 — обещали неуязвимость, получили SAE-баги
WPA3 заменил PSK-аутентификацию на SAE (Simultaneous Authentication of Equals), он же Dragonfly handshake. В теории — PMKID-атака не работает, офлайн-брут невозможен, forward secrecy, красота
На практике Мэти Ванхоф (тот самый, из KRACK) в 2019 году показал набор атак под названием Dragonblood, и с тех пор список только рос
Что реально работает против WPA3 в 2026:
1. Downgrade-атака — большинство роутеров работают в режиме WPA3-Transition (совместимость с WPA2). Если клиент поддерживает WPA2 — он подключится по WPA2, и дальше классический PMKID/handshake. Атака тривиальная: поднимаешь Evil Twin с тем же SSID но только WPA2, клиент подключается, ты ловишь хендшейк
2. Side-channel на SAE — Dragonblood показал что по времени ответов можно определить какую группу использует точка доступа и сузить перебор. CVE-2019-9494 и CVE-2019-9496 — формально пропатчены, но куча роутеров не обновлялась с завода
3. Реализация SAE в дешёвых чипах — TP-Link, Tenda, Xiaomi на чипах MediaTek и Realtek. Реализация Dragonfly кривая, timing-атаки работают. Исследование 2024 года из TU Darmstadt показало что 40% домашних роутеров с WPA3 уязвимы к timing side-channel
4. Brute-force через Management Frames — SAE имеет anti-clogging механизм, но если его обойти (а на некоторых реализациях это возможно), можно брутить пароль онлайн, 10-20 попыток в секунду. Для PIN-кодов и простых паролей хватает
Evil Twin — старая классика, новые трюки
Evil Twin — фейковая точка доступа с тем же SSID что и у цели. Концепция старая, но инструменты радикально улучшились
hostapd-mana — форк hostapd с кучей агрессивных фич: KARMA-атака (отвечает на любой Probe Request — "да, я именно та сеть которую ты ищешь"), поддержка EAP для перехвата корпоративных логинов, интеграция с captive-порталами
Wifiphisher автоматизирует всё: сканирует цели, деаутентифицирует клиентов, поднимает клон точки, редиректит на captive portal где жертва вводит пароль от Wi-Fi "для переподключения". Звучит тупо, но работает на удивление часто — людей годами приучали что Wi-Fi иногда просит пароль заново
Кстати, против Evil Twin не помогает ни WPA2, ни WPA3 — если атакующий создал открытую сеть с тем же именем и сигнал сильнее оригинала, клиент переключится. А дальше MITM, captive portal, что угодно
Wi-Fi Pineapple и специализированное железо
Hak5 Wi-Fi Pineapple Mark VII — это коробка за $100 которая из себя выполняет Evil Twin, KARMA, деаутентификацию и сбор хендшейков в автоматическом режиме. Подключаешь к пауэрбанку, кладёшь в рюкзак, уходишь пить кофе — через час у тебя хеши от всех сетей в здании
Для тех кому мало — Alfa AWUS036ACH (двухдиапазонный, 2.4 + 5 ГГц) или AWUS036ACSM за ~$40 с режимом мониторинга из коробки на Linux. Важный момент: не все адаптеры поддерживают packet injection, и подбирать чипсет нужно заранее. Рабочие чипсеты в 2026: Realtek RTL8812AU, RTL8814AU, MediaTek MT7612U. Intel и Broadcom — мимо, инжекцию не поддерживают
Flipper Zero с Wi-Fi DevBoard (ESP32-S2) — deauth-атаки, Beacon Spam, Probe Request сниффинг. Не полноценный инструмент для взлома, но для разведки и деаутентификации хватает, а главное — помещается в карман
Корпоративный Wi-Fi — EAP и как его ломать
Домашний Wi-Fi — это WPA2/WPA3-Personal с одним паролем на всех. Корпоративный — WPA2/WPA3-Enterprise с RADIUS-сервером и индивидуальными учётками. Ломается по-другому
Основной вектор — Evil Twin + поддельный RADIUS. Поднимаешь фейковую точку с тем же SSID, но свой RADIUS-сервер (hostapd-mana + freeradius). Клиент подключается и отправляет свои учётные данные. В EAP-PEAP/MSCHAPv2 (а его используют процентов 80 корпоративных сетей) — это хеш NetNTLMv2 от доменного пароля
Код:
# Запуск Evil Twin для корпоративной сети
# hostapd-mana перехватывает EAP-идентити и хеши
sudo hostapd-mana /etc/hostapd-mana/hostapd-mana.conf
# Хеши пишутся в лог, конвертируем для hashcat
# Режим 5500 — NetNTLMv1, режим 5600 — NetNTLMv2
hashcat -m 5600 hashes.txt wordlist.txteaphammer — ещё один инструмент заточенный именно под EAP-атаки. Автоматически генерирует сертификаты, конфигурирует hostapd, перехватывает GTC-пароли (в открытом виде!) если сеть использует EAP-GTC
Кстати, EAP-TLS (сертификаты на клиенте) ломается сложнее — там нет пароля для перехвата. Но если сертификат не привязан к TPM и хранится в файловой системе, его можно украсть с устройства
Deauth и Beacon Flood — DoS без взлома
Даже без цели взломать пароль, Wi-Fi позволяет делать много неприятного. Deauthentication-фреймы в 802.11 не аутентифицированы (даже в WPA3, пока не включён PMF — Protected Management Frames), и любой может отключить любого клиента от любой сети
aireplay-ng, mdk4, или просто ESP8266 с прошивкой esp8266_deauther за $3 — и все устройства в радиусе вылетают из сети. Практическое применение: заставить клиентов переподключиться (для перехвата хендшейка), вынудить перейти на Evil Twin, или просто устроить хаос
802.11w (PMF) — защита от deauth-спуфинга — обязателен в WPA3, опционален в WPA2. На практике даже в WPA3-сетях многие клиенты не поддерживают PMF корректно, и деаутентификация всё ещё работает
Beacon Flood — генерация тысяч фейковых SSID. Забивает эфир, клиенты путаются, некоторые устройства зависают при сканировании. mdk4 делает это одной командой
Что реально защищает в 2026
Если ты настраиваешь сеть и хочешь чтобы её не вскрыли со второй попытки:
- WPA3-SAE-only (без Transition Mode) — убирает даунгрейд. Да, старые устройства не подключатся. Это цена
- Пароль от 15 символов с буквами, цифрами и спецсимволами — PMKID бесполезен если пароль не ломается брутом
- PMF обязательно — без него deauth-атаки работают даже на WPA3
- Отключить WPS — старый добрый Reaver до сих пор ломает WPS-PIN за 4-10 часов на роутерах которые не блокируют перебор
- Для корпоратива — EAP-TLS вместо PEAP/MSCHAPv2, и сертификаты привязать к устройству
- Скрытие SSID бесполезно — Probe Request от клиента всё равно раскрывает имя сети
- Фильтрация MAC бесполезна — MAC спуфится за секунду
Ну и самое очевидное — публичные Wi-Fi без VPN это лотерея. Не потому что "ой, хакеры повсюду" — а потому что инструменты для атаки стоят $3 (ESP8266) до $100 (Pineapple), настраиваются за вечер, и применяются в одно нажатие
![ПР [support]](/data/avatars/s/177/177925.jpg?1699618178){kind=avatar}
