WLAN-Hacking: Hidden SSID/ESSID ermitteln

Manche WLAN-Betreiber halten sich für ganz schlau und verstecken ihre SSID/ESSID. Dabei handelt es sich um den WLAN-Namen, den man im WLAN-Client in der Liste der empfangbaren WLANs angezeigt bekommt. Allerdings ist eine versteckte SSID kein Hindernis für einen WLAN-Hacker. Im Gegenteil. Fürs WLAN-Hacking braucht es die SSID eines WLANs nicht. Nur dann, wenn der WLAN-Hacker das WLAN-Passwort herausbekommen hat, dann wird er auch die SSID benötigen, um sich beim Access Point authentifizieren zu können. Doch wenn ein WLAN-Hacker das WLAN-Passwort herausbekommen hat, wird er an einer versteckten SSID (Hidden SSID) nicht scheitern.

Rechtlicher Hinweis zum WLAN-Hacking und WLAN-Pentesting

Um nicht in Konflikt mit dem Hacker-Paragrafen zu kommen, testen Sie die folgenden Schritte ausschließlich an ihrem eigenen WLAN, um dessen Sicherheitsstatus zu überprüfen.

Wie wird die SSID übertragen?

Es gibt zwei Situationen, bei denen die SSID übertragen wird:

  1. Vom WLAN-Access-Point: Der WLAN-AP sendet regelmäßig seine SSID in einem Informationspaket (Beacon), um auf sich aufmerksam zu machen. Die SSID erscheint dann in der Liste der verfügbaren WLANs auf den Clients.
  2. Vom WLAN-Client: Wenn sich ein WLAN-Client bei einem WLAN anmeldet, dann übermittelt er dabei die SSID und das WLAN-Passwort.

Information Gathering: WLANs mit Hidden SSID ermitteln

Beginnen wir damit zu ermitteln, welche WLANs aktuell in unserer Umgebung ihre SSID verstecken. Dazu versetzen wir den WLAN-Adapter in den Monitor Mode.

airmon-ng start wlan0

Das WLAN-Hacking und vorhergehende Information Gathering scheitert häufig schon daran, dass der WLAN-Adapter ungeeignet ist oder sich der Monitor Mode nicht einschalten lässt.
Der Monitor Mode ist jedoch eine wichtige Betriebsart bei der WLAN-Analyse, beim WLAN-Hacking und -Pentesting. Ob der WLAN-Adapter den Monitor Mode beherrscht ist zu prüfen.

Anschließend lassen wir uns einfach mal alle WLANs in der Umgebung anzeigen.

airodump-ng wlan0mon

WLANs mit versteckter SSID erkennt man an den Zeilen, wo in der Spalte ESSID mit "<length: ?>" gefüllt sind. Hier konnte die SSID nicht ermittelt werden. In der Regel handelt es sich hierbei um eine versteckte SSID. Das Fragezeichen "?" kennzeichnet die Länge der SSID. Eine Länge von 0 kennzeichnet, dass die Länge nicht ermittelt werden konnte.

Wenn wir später die versteckte SSID eines betreffenden WLAN-AP aktiv ermitteln wollen, dann sollten wir uns an dieser Stelle die MAC-Adresse (BSSID) und Kanalnummer (CH) notieren. Es reicht allerdings aus, die dynamische Ausgabe von airodump-ng mit Strg + C zu beenden. Die letzte Darstellung und damit auch die notwendigen Informationen bleiben dabei erhalten.

Wie kann man eine versteckte SSID ermitteln?

Wenn der WLAN-AP die SSID nicht von sich aus mitteilt, dann gibt es nur zwei Optionen:

  1. Man wartet, bis sich ein WLAN-Client an dem betreffenden WLAN anmeldet und dabei die SSID übermittelt.
  2. Man zwingt bereits angemeldete Clients zur Deauthentication, wodurch diese in der Regel eine erneute Anmeldung durchführen und dabei die SSID übermitteln.

Lösung 1: Warten bis sich ein Client an dem WLAN angemeldet

Im Prinzip nimmt man dabei das Information Gathering wieder auf.

airodump-ng wlan0mon

Jetzt muss man so lange warten, bis sich ein Client an dem WLAN mit der versteckten SSID anmeldet.
Selbst ein misslungener Anmeldeversuch, z. B. mit einem falschen Passwort, sorgt dafür, dass der WLAN-Name durch airodump-ng aufgezeichnet wird.

Lösung 2: Deauthentication-Angriff durchführen

Für diesen Zweck brauchen wir zwei Terminal-Fenster oder -Reiter. Im einen begrenzen wir die Anzeige der WLANs auf die ermittelte Kanalnummer.

airodump-ng wlan0mon -c {1-13}

Im zweiten Terminal führen wir dann die Deauthentication auf das WLAN durch.

aireplay-ng wlan0mon -0 5 -a {BSSID}

Wichtig ist hierbei die MAC-Adresse (BSSID) des WLAN-APs. In der Regel werden dabei die dort angemeldeten Clients deauthentifiziert. Dann muss man warten, bis sich ein Client erneut beim Access-Point anmeldet und per Probe-Request die SSID verrät. Die dabei übermittelte SSID wird im ersten Terminal nachträglich verzeichnet.

Das gelingt aber nur, wenn in dem betreffenden WLAN mindestens ein Client vorhanden ist und der die Deauthentication-Pakete empfangen kann.
Außerdem muss aireplay-ng von dem betreffenen WLAN-AP Beacons empfangen. Wenn nicht, dann wird das Kommando irgendwann beendet. Der Grund dafür, dass keine Beacons kommen, wird in der Regel an einem zu schlechten Empfang liegen bzw. dass man zu weit vom betreffenden WLAN-AP entfernt ist.

Weitere verwandte Themen:

Teilen:

Netzwerktechnik-Fibel

Netzwerktechnik-Fibel

Das will ich haben!