Атака AirSnitch, позволяющая обойти изоляцию между клиентами в Wi-Fi

26.02.2026 21:50 (MSK)

Исследователи из Калифорнийского университета в Риверсайде разработали (PDF) новый класс атак на беспроводные сети - AirSnitch. Атаки дают возможность обойти механизмы изоляции клиентов в Wi-Fi сети, не позволяющие клиентам напрямую обращаться друг к другу. При наихудшем сценарии атаки позволяют злоумышленнику перенаправить через себя трафик жертвы (MITM) для анализа или модификации незашифрованных запросов, а также подменить обращения к сайтам через отравление DNS-кэша.

Для проведения атак злоумышленник должен иметь возможность подключиться к той же беспроводной сети, что и у жертвы, или к гостевой сети, обслуживаемой той же точкой доступа. Например, атаки могут применяться в публичных общественных беспроводных сетях. Из 9 протестированных моделей беспроводных точек доступа от Netgear, Tenda, D-LINK, TP-LINK, ASUS, Ubiquiti, LANCOM и Cisco, а также решений с прошивками DD-WRT и OpenWrt, все из устройств оказались подвержены как минимум одному методу атаки.

Выделяются три проблемы, позволяющие совершить атаку. Первая проблема позволяет обойти изоляцию между клиентами из-за некорректного управления ключами, используемыми для защиты широковещательных кадров. Вторая проблема связана с тем, что изоляция обычно применяется на уровне MAC или на уровне IP, но не на обоих уровнях одновременно. Третья проблема вызвана ненадёжной синхронизацией идентификаторов клиентов на уровне всего сетевого стека, что позволяет перехватывать входящий и исходящий трафик других клиентов.

Современные беспроводные точки доступа объединяют в себе функции радиопередатчика и сетевого коммутатора (Layer 2 Switch), при этом коммутатор, в отличие от проводных сетей, вместо привязки клиента к физическому порту, использует логическую привязку к беспроводному каналу. В качестве идентификатора при такой привязке используется MAC-адрес клиента, который отождествляется с каналом в специальной таблице MAC-адресов. В случае переключения клиента на иной канал (например, после перехода с 2.4 ГГц на 5 ГГц) данные в таблице обновляются.

Атака проводится на первом (физический, радиоканал) и втором (канальный, MAC-адрес) уровнях сетевой модели OSI, и сводится к тому, что злоумышленник, подключившийся к той же точке доступа, но используя частотный диапазон не как у жертвы (например, 2.4 ГГц вместо 5 ГГц), отправляет запрос на согласование соединения (4-way handshake), указав MAC-адрес жертвы (подобие ARP-спуфинга в Ethernet-сетях). Так как клиенты идентифицируются по MAC-адресу, точка доступа считает, что клиент переключился на другой канал, и меняет запись в таблице MAC-адресов. После этого весть входящий трафик от точки доступа начинает отправляться на устройство атакующего.

Для организации двунаправленного перехвата атакующий, получив адресованные жертве данные, возвращает состояние таблицы MAC-адресов в исходное состояние. Для этого отправляется пакет "ICMP Ping" c указанием случайного MAC-адреса и шифрованием пакета ключом GTK (Group Temporal Key), общим для всех клиентов беспроводной сети. Точка доступа, получив данный пакет, возвращает привязку MAC-адреса жертвы к исходному беспроводному каналу. Вклинивание в трафик осуществляется через цикличную подмену и возвращение записи в таблице MAC-адресов.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64881-airsnitch

Ключевые слова: airsnitch, wifi

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.1, Аноним (1), 23:27, 26/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В WPA2/3 разве нельзя использовать разные пароли для подключения к одной SSID? Или общеканальный ключ из него генерится и это не обойти?

2.3, Аноним (3), 23:42, 26/02/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Представь себе хомячка, которому надо держать разные пароли для смартфончика, для планшетика, для ноутбука, для телевизора, для наса и ещё для всех устройств умного дома.

3.6, Аноним (6), 00:40, 27/02/2026 Скрыто ботом-модератором [к модератору]	–1 +/–

4.10, 12yoexpert (ok), 01:15, 27/02/2026 Скрыто ботом-модератором [к модератору]	+/–

2.9, Аноним (9), 00:43, 27/02/2026 [^] [^^] [^^^] [ответить]	+/–
> В WPA2/3 разве нельзя использовать разные пароли это как?

2.17, Аноним83 (?), 02:46, 27/02/2026 [^] [^^] [^^^] [ответить]

+1 +/–

Вы похоже совсем новость не читали.

1. Там есть отдельный ключ или ещё какая то фича чтобы рассылать мультикаст/броадкаст - через это обходится изоляция между клиентами.

2. Если ты ставишь себе MAC как у цели, но подключаешься к той же точке доступа но на ругой диапазон то внутренний L2 свитч начнёт перенаправлять ВСЕ пакеты тебе вместо того кто первый подключился.

1.2, Аноним (3), 23:40, 26/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Вафля всегда была дуршлагом. Если можно избегать её использования - её использования следует всеми возможными способами избегать.

2.4, Аноним (4), 00:11, 27/02/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Не пойми чем занимаются. Вот определение человека за стеной с промощью просто вафли - вот это круто. А так же пульса этого человека.

3.7, Аноним (9), 00:41, 27/02/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Хожу в фольге )) ничего ты не получишь крутого!

4.21, Аноним (4), 02:57, 27/02/2026 Скрыто ботом-модератором [к модератору]	+/–

2.11, Аноним (11), 01:45, 27/02/2026 [^] [^^] [^^^] [ответить]	+/–
Что предлагаете взамен? Не подключать же смартфон к роутеру витой парой.

3.13, Аноним (13), 02:11, 27/02/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Была бы возможность, так бы и делал (а на ноуте и делаю). - Всё равно что телефон что ноут всегда на зарядке. - Скорость по проводу выше в разы, а задержки ниже. - С современными блокировками и замедлениями, а также отключениями сотовой связи из-за "беспилотной опасности", безальтернативный (а до этого - просто удобный) паттерн работы с мобильными устройствами - накачать в них контента (фильмов, книг, чатов, кода) и спокойно работать с этим оффлайн. - Не светить своё положение через сотовую связь нынче также дорогого стоит.

4.15, пэпэ (?), 02:13, 27/02/2026 [^] [^^] [^^^] [ответить]	+/–
а лучше - не использовать технику. В тайге нет ни беспилотников, ни блокировок. Нам тоже кайф - интернет вздохнет спокойней.

3.14, пэпэ (?), 02:11, 27/02/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Предлагаем использовать шифрование везде и не цеплять к своей точке чужих (ie - использовать нормальные пароли). И пусть хоть обатакуются.

3.18, Аноним (4), 02:49, 27/02/2026 [^] [^^] [^^^] [ответить]	+1 +/–
В замен, я предлагаю, как и ранее, просто исходить из того, что вафля, как собственно и другие локальные сети являются не доверенными, так же как и интернет. Т.е, настраивая фаерволы на роутере и своих устройствах, не делаем поблажек на локальность сетей.

4.20, Аноним83 (?), 02:54, 27/02/2026 [^] [^^] [^^^] [ответить]

+/–

А зачем нужен фаервол в наше то время?)

Я вот знаю что у меня на компе запущено - ничего лишнего, фаер мне даром не сдался.

На домашнем роутере фаер есть, но в основном для:
1. фильтровать мусор из локалки чтобы в инет не улетал
2. некоторые сервисы патчить лень и они слушают на 0.0.0.0/:: а они только для локалки предназначены.

2.19, Аноним83 (?), 02:51, 27/02/2026 [^] [^^] [^^^] [ответить]

+/–

Ну была, и что теперь?

Кругом и так сплошной TLS, пароль на вафлю ставят разве что для того чтобы потом не писать объяснительную в ментовке на предмет того кто там картинку/лайк запостил, да чтобы халявщики канал не забивали.

Если речь про кртичные системы - то там любое радио не подходит из за помех.
Если же про домашнее развлечение - то пофик, риски в районе нуля.
На предприятиях сложнее и сильно по разному: где то даже гостевой вафли нет и всех пускают в производственную, а пароль в ней не меняют десятилетиями. Гдето и гостевая есть и в производственную по wpa2/3-enterprise пускают, да ещё какой нить каптив портал с мультифактором заставляют по паре раз в день делать.

1.5, Аноним (9), 00:40, 27/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> осуществляется через цикличную подмену и возвращение записи в таблице MAC-адресов и чего можно при этих качелях внятного насобирать?

1.8, 12yoexpert (ok), 00:41, 27/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
что там? опять нужная чёрная курица в пятом доме молодого Юпитера?

1.12, Аноним (13), 02:05, 27/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как будто а) В публичных местах нельзя свою точку поднять (с таким же ссид) и через неё гонять трафик. б) Все проводные каналы всё равно не доступны злоумышленнику. в) Где-то ещё остался незашифрованный трафик, чтобы это кого-то волновало.

1.16, Аноним83 (?), 02:42, 27/02/2026 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Подозреваю что нашли случайно: поставили один и тот же MAC на несколько адаптеров, потом подключились на 2,4 + 5ГГц и оно отвалилось у первого подключившегося.

Сама атака не практичная: постоянно переключатся на получение то с одной стороны то с другой не удобно и палевно.

Скорее всего конфиг когда один канал целиком отдан гостевой сети а другой целиком отдан рабочей/домашней, и они разнесены по разным VLAN не подвержен этой проблеме.

В остальном же те кто ставил физически отдельную точку доступа для гостевой сети и подключал в коммутатор который сам тэгирует в гостевой VLAN могут не беспокоится.
Те у кого точка доступа одно диапазонная вероятно тоже не подвержены проблеме.

Отдельно про обход изоляции между клиентам в новости всего пол предложения, я лично никогда не доверял этой фиче в WiFi и не видел в ней особого смысла, возможно в нагруженных гостевых сетях чтобы на один косяк за 3 года было меньше оно и способно.

1.22, Аноним (22), 05:47, 27/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Да, ключ общий для клиентов подключающихся к одной SSID, причем, за исключением деталей (типа того, когда происходит перегенрация ключа), механизм не зависит от того PSK или Enterprise.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: