Pourquoi vous ne devriez pas utiliser un réseau ouvert ou WEP... cedric.blancher@eads.net EADS Innovation Works EADS/IW/SE/CS sid@rstack.org Rstack Team http://sid.rstack.org/ 3es JSSIC, Dakar, Sénégal 6-7 avril 2007
$ whoami Les réseaux Wi-Fi ouverts Ingénieur-chercheur en charge du laboratoire de recherche en Sécurité Informatique chez EADS Corporate Research Center, Suresnes, France Membre de Rstack Team, French Honeynet Project et auteur pour MISC Centres d intérêt : Sécurité réseau filaire et sans-fil GNU/Linux en particulier et logiciel libre en général Site web : http://sid.rstack.org/ Mon blog : http://sid.rstack.org/blog/
Introduction L histoire des réseaux 802.11 est émaillée de vulnérabilités Les réseaux ouverts sont du pain béni pour un attaquant WEP est cassé Les protections tardent à se généraliser et ne couvrent toujours pas tous les problèmes Les implémentations présentent des vulnérabilités Dans les faits, où en est-on?
Problèmes Un réseau sans-fil présente les mêmes vulnérabilités qu un réseau filaire Serveur DHCP malicieux Corruption de cache ARP Usurpation DNS Mais aussi des spécificités Rayon d action Écoute Dénis de service Contournement des protections Atteinte de la cible
La réalité Les réseaux Wi-Fi ouverts On sent bien la nécessité de protéger son réseau Wi-Fi Des études sur les accès Wi-Fi visibles montrent... Que près de 50% des accès ne sont pas protégés Que plus de la moitié des accès restant utilisent WEP Les statistiques varient selon les pays et les environnements étudiés Paradoxalement, les résidentiels semblent mieux protégés que les sociétés...
Agenda Les réseaux Wi-Fi ouverts 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
Agenda Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
Réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi Ces réseaux ne disposent d aucune protection Configuration par défaut des équipements Pas de problème de compatibilité Altruisme : partage de connexion L erreur est de croire qu un réseau Wi-Fi est équivalent à un réseau ethernet...
Hotspots Wi-Fi Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi Accès Wi-Fi public, souvent commerciaux ou communautaires Systèmes basés sur un portail captif Authentification à une application Web d enregistrement Mise en place d autorisations pour l accès Internet Suivi des clients enregistré Les problèmes posés Comment suivre les clients? Comment protéger les clients? Bon exemple d environnement ouvert...
Agenda Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
Suivi des clients Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi Comment suivre un client authentifié? Pas beaucoup de choix Adresse MAC Adresse IP Adresses MAC and IP en même temps Seulement voilà, on peut usurper ces paramètres...
Autorisation par adresse MAC Suivi des clients enregistrés Protection des stations Wi-Fi Autorisation par adresse MAC Changer son adresse MAC est trivial Les conflits d adresse MAC ne sont pas gênant Prenez juste une IP différente Batman MAC: Batman IP: Batman Access Point MAC: Batman IP: Joker Joker Internet Firewall
Autorisation par adresse IP Suivi des clients enregistrés Protection des stations Wi-Fi Autorisation par adresse IP Spoofer une adresse IP demande un peu d astuce La corruption de cache ARP permet de rediriger le trafic Une redirection de trafic permet de spoofer Voir LSM 2002[BLA02], arp-sk[arps] ou MISC3[MISC] for details Batman Access Point Firewall Joker ARP cache poisoning on Batman IP All traffic to Batman IP goes to Joker Internet Traffic sorting Joker spoofs Batman IP
Autorisation par adresses MAC et IP Suivi des clients enregistrés Protection des stations Wi-Fi Traffic La solution? Batman Joker sorting Les techniques précédentes ne marchent pas ARP cache poisoning on Batman IP Mais si on change l adresse MAC source à la volée... Access Point Internet En concservant la corruption de cache ARP... Firewall Joker spoofs Batman MAC _and_ IP All traffic to Batman IP goes to Joker
Pourquoi ça marche? Suivi des clients enregistrés Protection des stations Wi-Fi Traffic Incohérence entre la couche ARP et le filtrage IP Pas de corrélation entre les deux Les trames spoofées sont acceptées Les trames de retour portent notre adresse MAC Batman Access Point Firewall sorting Joker ARP cache poisoning on Batman IP Internet Joker spoofs Batman MAC _and_ IP All traffic to Batman IP goes to Joker
Autres trucs Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi Les portails captifs présentent souvent des vulnérabilités exploitables Mauvaises configurations Tunnels DNS[OZY][NSTX] Réseau d administration sur la même VLAN Plages d adresses magiques Applications web vulnérables Etc.
Exemple de failles... Suivi des clients enregistrés Protection des stations Wi-Fi Certaines failles sont intéressantes à regarder Paramètre $room id dans le formulaire Passage du prix en paramètre Paramètres étrange du genre $admin Le cas FON FON est un système de hotspot communautaire La transaction d enregistrement présente une faille Un attaquant peut récupérer les identifiants d un utilisateur
Agenda Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
Que dire des stations? Suivi des clients enregistrés Protection des stations Wi-Fi Dans un tel environnement, ce n est pas terrible Attaques de niveau 2 et autres (ARP, DHCP, DNS, etc.) Redirection et interception de trafic Attaque directe et frontale Certains pare-feu personels ont une exception pour le réseau local...
Protection : isolation de stations Suivi des clients enregistrés Protection des stations Wi-Fi Batman Fonctionnalité permettant de bloquer le trafic entre stations Les station envoient des trames To-DS Si l AP voit que la destination est sur le Wi-Fi... Il détruit la trame. CDFQ Pas de réponse From-DS, pas de communication Exemple : Cisco PSPF To = Robin To-DS = 1 Batman To = Robin To-DS = 1 Access Point X Access Point Without PSPF To = Robin From-DS = 1 Robin With PSPF Robin
Contourner l isolation de trafic Suivi des clients enregistrés Protection des stations Wi-Fi Joker Joker peut injecter des trames From-DS To = Batman From-DS = 1 Pas de besoin de passer par l AP On peut spoofer tout ce qu on veut Et on peut continuer à écouter le trafic Batman To = Robin To-DS = 1 X Access Point To = Robin From-DS = 1 Robin
Corruption de trafic par injection Suivi des clients enregistrés Protection des stations Wi-Fi Les trames Wi-Fi peuvent être capturée Écouter le trafic Wi-Fi Repérer les requêtes intéressantes Injecter de fausses réponses en usurpant l AP Applications : fausses réponses DNS, contenu malicieux, etc.
Communication par injection Suivi des clients enregistrés Protection des stations Wi-Fi L injection de trame à destination des stations permet de les atteindre. Il suffit d écouter les réponses et de continuer. Ça marche, malgré... Du filtrage de flux Un refus d association Un AP trop loin Vous pouvez communiquer sans être associé[wtap]!
Et les réseau Adhoc? Suivi des clients enregistrés Protection des stations Wi-Fi C est exactement la même chose! Adhoc = point à point? # ifconfig ath0 ath0 Lien encap:ethernet HWaddr 00:0B:6B:35:09:C2 inet adr:192.168.11.1 Bcast:192.168.11.255 UP BROADCAST RUNNING MULTICAST MTU:1500 [...] # arp -an? (192.168.11.10) at 00:07:40:7C:97:F8 [ether] on ath0 Multicast, ARP... C est du média partagé!
Agenda Les réseaux Wi-Fi ouverts Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
Le WEP en une planche Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 24bits IV 40bits or 104bits WEP key Chiffrement RC4 Authentification par challenge de chiffrement 64bits or 128bits RC4 key RC4 PRGA Somme de contrôle CRC32 (ICV) RC4 PRGA output Cleartext message ICV (CRC32) XOR 802.11 header (inc. IV) Ciphered message P = (C ICV(C)) RC4(IV K)
Les problèmes... Les réseaux Wi-Fi ouverts Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques Le protocole WEP souffre de problèmes de conception La rotation des clés se fait sur 24 bits L intégrité est vérifiée avec un CRC32 Les données protégées fournissent des clairs connus L utilisation de RC4 ne respecte pas les contraintes Tout ceci conduit à des attaques qui permettent de mettre à mal la sécurité du réseau
Agenda Les réseaux Wi-Fi ouverts Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
Les keystreams Les réseaux Wi-Fi ouverts Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques C est le facteur RC4(IV K) de l équation de chiffrement On a donc : P = (C ICV(C)) Keystream Keystream = P (C ICV(C)) L exploitation de clairs connus nous donne des keystreams P = (C ICV(C )) Keystream Passons à l exploitation...
Contournement d authentication Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques Your 802.11 Wireless Network Has No Clothes [ASW01] L authentication WEP est vulnerable à un clair connu permettant de récupérer 140 octets de keystream Calcul du challenge P = (C ICV(C )) Keystream Si on capture une authentification, nous pouvons produire la réponse P à n importe quel challenge C en utilisant notre capture
Tables IV/Keystream Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques K étant fixe, la valeur d un keystream ne dépend que de IV Idée : our chaque IV possible, on essaye de récupérer le keystream correspondante Nous savons déjà récupérer 140 octets Nous pouvons générer du trafic arbitraire Nous pouvons récupérer des keystreams plus longs Une telle table représente environ 25Go mais permet de déchiffrer/chiffrer n importe quelle trame à la volée. On peut accélérer l attaque en désassociant les clients...
La fragmentation 802.11 Principe Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques Nous disposons de cas de clair connu et la norme nous dit que chaque fragment de trame est chiffré individuellement Principe de l attaque On récupère un keystream par clair connu On utilise ce keystream pour chiffrer des fragments d une même trame L AP réassemble et rechiffre la trame On récupère un keystream plus long par clair connu sur la trame émise par l AP C est une expansion de keystream[bhl06]
La fragmentation 802.11 Exploitation Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques Nous connaissons les 8 premiers octets pour IP et ARP 1, donc au moins 8 octets de keystream Trame chiffrée capturée 0xAAAA030000008000 Valeurs connues Keystream_1, 8 octets Data_1 CRC_1 Fragment_1 Data_2 CRC_2 Fragment_2 Data_3 CRC_3 Fragment_3 Data_4 CRC_4 Fragment_4 Payload chiffré, 20 octets Point d accès (AP) Data = Data_1 Data_2 Data_3 Data_4 CRC Valeurs connues Keystream_2, 20 octets Exploitation particulièrement brillante[bit05] 1 0xAAAA030000000800 et 0xAAAA030000000806
Plus généralement... Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques La possession d un keystream permet : d injecter des données arbitraires sur le réseau de déchiffrer des morceaux de trames chiffrées avec le même keystream Exploiter les keystreams C est un attaque très efficace et facilement exploitable dont les conséquences sont très intéressantes
Agenda Les réseaux Wi-Fi ouverts Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
Attaques par bit flipping Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques Une attaque courante sur les protocoles cryptographiques est le bit flipping On capture un contenu chiffré On modifie des bits du contenu On rejoue ce contenu et on observe la réaction Parade? Ajouter une couche de contrôle d intégrité Idée : compenser la somme d intégrité...
Modifions une trame chiffrée... Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques Soit C un message clair et C une modification de C telle que : Mod = C C Modification arbitraire de trame (à une constante près) P = (C ICV(C )) RC4(IV K) = ((C Mod) ICV(C Mod)) RC4(IV K) = (C ICV(C)) (Mod ICV(Mod)) RC4(IV K) = P (Mod ICV(Mod)) Le calcul du chiffré de la trame modifiée ne dépend pas de K!
Déchiffrement de paquet Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques Arbaugh publie une première attaque contre WEP[ARB01] Korek publie une attque similaire[ko04b] avec un outil appelé Chopchop 1 Capture d une trame multicast/broadcast 2 Suppression du dernier octet de données 3 Hypothèse sur la valeur de l octet supprimé 4 Construction de la trame modifié par compensation de l ICV 5 On regarde si l AP accepte la trame Très efficace sur les petits paquets comme ARP (10-20s par paquet).
Agenda Les réseaux Wi-Fi ouverts Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
Back to 1995 Les réseaux Wi-Fi ouverts Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques En 1995, Roos et Wagner[RW95] mettent en exergue un problème dans RC4 Il existe des classes de clés faibles Elles induisent des relations entre les états internes S i On peut en retouver des octets en étudiant les premiers tours[mir02] Ce problème n est pas pris en compte lors de la conception de WEP Reprise des travaux... En 2001, Fluhrer, Mantin et Shamir publient une attaque[fms01] basée sur ces travaux contre WEP, dite FMS
Description de la FMS Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques Il ressort que : Une clé faible est caractérisée par ses 3 premiers octets Les 3 premiers octets représentent IV Un IV faible est de la forme (B + 3) 0xFF α Les probabilités d avoir des IV faibles sont fortes : 1 sur 13000 pour des clés de 40bits, 1 sur 5000 pour 104 bits... L exploitation de ces résultats montrent qu on a 5% de chances de trouver un octet de clé si on a un IV faible Généralisation 60 trames faibles sont nécessaires pour dépasser 50% de chances de succès pour un octet On a besoin d environ 4 millions de trames que la clé soit de 40 ou 104 bits pour dépasser 50%
Améliorations à la FMS Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques En 2004, Korek publie une généralisation de la FMS[KO04a] L attaque est généralisée à tous les IV Le nombre de trames nécessaires est divisé par 2, voire 4 En 2007, d autres relations sont mise en exergue[kle06] et exploitée[ptw07] Le nombre de trames nécessaires tombe à 40000! Les 50% de chance de succès sont très rapidement dépassés!
La FMS en pratique Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques La mise en œuvre la plus efficace utilise du rejeu de paquets et est publiée par Christophe Devine avec aircrack/aireplay[airc] Capture d une requête ARP Rejeu de la trame Génération d une réponse On boucle pour augmenter le trafic et collecter des trames Cassage de la clé WEP par FMS Temps de réalisation Récupérer une clé WEP est alors une question de minutes[wacr]
Agenda Les réseaux Wi-Fi ouverts 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
WPA Les réseaux Wi-Fi ouverts Recommandation transitoire[wpa] de la Wi-Fi Alliance (2003) issue des travaux en cours de l IEEE WPA fournit Nouvelle authentification basée sur PSK ou 802.1x Nouvel algorithme de génération et de rotation des clés (TKIP) Nouvel algorithme de vérification d intégrité avec séquencement La solution tient la route
WPA2 and 802.11i 802.11i[IEEE04b] est un standard de l IEEE pour la sécurité Wi-Fi WPA2[WPA2] est une recommandation de la Wi-Fi Alliance extraite de 802.11i WPA2 fournit RSN a : negociation des paramètres de sécurité Support des réseau Ad-Hoc Authentification par 802.1x Chiffrement avec AES-CCMP Vérification d intégrité par CCMP a Robust Security Network Refonte complète
Différences Très peu de différences entre WPA et WPA2 WPA ne supporte pas les liens Ad-Hoc WPA ne possède pas la notion de RSN WPA2 permet les réauthentification rapide en cas de roaming WPA2 facilite la mixité des moyens de sécurité En dehors de cela, c est pratiquement la même chose. En particulier, on peut Chiffrer en AES sur WPA Chiffrer en TKIP avec WPA2
Quelques failles Des études sont été faites sur la sécurité WPA/WPA2 On peut retrouver une PSK faible (<20 chars)[mos03] L injection de demande d authentification écroule l AP[HM04] (DoS) L abus des contre-mesure contre le rejeu bloque le réseau (DoS) Attaque contre la TEK dans TKIP en 2 105 [MRH04] sans exploitation pratique Le trafic de gestion n est toujours pas protégé Cependant, rien ne vous protège d attaque en DoS physique (réservation de bande passante, brouillage)
Utiliser WPA Support WPA dans les OS du marché Windows XP SP1 + Patch (Windows Update) Windows XP SP2, Vista et 2003 Windows Mobile 2003 SE and 5.0 Autres Windows avec wpa supplicant autre client tierce-partie MacOS X 10.3 La plupart des drivers Linux avec wpa supplicant NetBSD et FreeBSD avec wpa supplicant Support AP pour Linux et FreeBSD hostapd Pas de support sous OpenBSD
Utiliser WPA2 Support WPA2 dans les OS du marché Windows XP SP2 avec patch Windows 2003 avec patch Windows Vista Autres Windows avec wpa supplicant ou autre client tierce-partie MacOS 10.4 La plupart des drivers Linux avec wpa supplicant NetBSD et FreeBSD avec wpa supplicant Support AP pour Linux et FreeBSD avec hostapd Pas de support pour OpenBSD non plus
Conclusion Alors? Évitez d utiliser des réseaux ouverts : 802.1x permet de faire du login/password Banissez le WEP qui est cassé depuis longtemps et ne protège de rien Migrer avec WPA ou WPA2 dès que possible Vous n avez pas confiance en WPA ou WPA2? Utilisez IPSEC!
N aurais-je pas oublié quelque chose? Les drivers Wi-Fi présentent des failles... On peut atteindre le client directement L attaque visant le driver, on ne peut pas la filtrer Le driver écoute qu il soit associé ou non Beaucoup de travaux en ce moment, et pas mal de failles découvertes[but07] Surface vulnérable? Tout ordinateur avec un carte Wi-Fi active...
Thank you for your attention and... Greetings to... EADS IW/SE/CS team Rstack.org team http://www.rstack.org/ MISC Magazine http://www.miscmag.com/ French Honeynet Project http://www.frenchhoneynet.org/ Download theses slides from http://sid.rstack.org/
Agenda Les réseaux Wi-Fi ouverts 1 Les réseaux Wi-Fi ouverts Suivi des clients enregistrés Protection des stations Wi-Fi 2 Récupération et exploitation de keystreams Exploitation du CRC32 Attaques statistiques 3 4
I [IEEE04a] IEEE Std 802.1x, Port-Based Network Access Control, 2004, http://standards.ieee.org/getieee802/download/802.1x-20 [IEEE99] ANSI/IEEE Std 802.11, Wireless LAN Medium Access Control and Physical Layer Specifications, 1999, http://standards.ieee.org/getieee802/download/802.11-19 [IEEE04b] IEEE Std 802.11i, Medium Access Control Security Enhancements, 2004, http://standards.ieee.org/getieee802/download/802.11i-2 [WPA] Wi-Fi Protected Access, http://www.wi-fi.org/opensection/protected_access_archi
II [WPA2] Wi-Fi Protected Access 2, http://www.wi-fi.org/opensection/protected_access.asp [RW95] A. Roos and D.A. Wagner, Weak keys in RC4, sci.crypt Usenet newsgroup [WAL00] J. Walker, Unafe at any key size; An analysis of WEP encapsulation, 2000, http://www.dis.org/wl/pdf/unsafew.pdf [ASW01] W.A. Arbaugh, N. Shankar and Y.C.J. Wan, Your 802.11 Wireless Network Has No Clothes, 2001, http://www.cs.umd.edu/~waa/wireless.pdf
III [FMS01] S. Fluhrer, I. Mantin and A. Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, 2001, http://www.drizzle.com/~aboba/ieee/rc4_ksaproc.pdf [MIR02] I. Mironov, (Not so) Random shuffles of RC4, 2002, http://eprint.iacr.org/2002/067.pdf [MOS03] R. Moskowitz, Weakness in Passphrase Choice in WPA Interface, 2003, http://wifinetnews.com/archives/002452.html [HM04] C. He and J.C. Mitchell, 1 Message Attack on 4-Way Handshake, 2004, http://www.drizzle.com/~aboba/ieee/11-04-0497-00-000i-1
IV [MRH04] V. Moen, H. Raddum and K.J. Hole, Weakness in the Temporal Key Hash of WPA, 2004, http://www.nowires.org/papers-pdf/wpa_attack.pdf [KLE06] A. Klein, Attacks on the RC4 stream cipher, http://cage.ugent.be/~klein/rc4/rc4-en.ps [BHL06] A. Bittau, M. Handley and J. Lackey, The Final Nail in WEP s Coffin, http://www.cs.ucl.ac.uk/staff/m.handley/papers/fragmenta [DNG06] L.K Deleuran, T.L Nielsen and H. Gammelmark, Insecurity of the IEEE 802.11 Wired Equivalent Privacy (WEP) standard, http://www.daimi.au.dk/~ivan/cryptology-wep.pdf
V [PTW07] A. Pyshkin, E. Tews and R.P. Weinmann, Breaking 104 bit WEP in less than 60 seconds, http://eprint.iacr.org/2007/120.pdf [ABOB] Bernard Aboba, The Unofficial 802.11 Security Web Page, http://www.drizzle.com/~aboba/ieee/ [WIFI] Wi-Fi Alliance, http://www.wi-fi.org/ [MISC] MISC Magazine, http://www.miscmag.com/ [WACR] Cracking WEP in 10 minutes with WHAX, http://sid.rstack.org/videos/aircrack/whax-aircrack-wep
VI [ARB01] W.A. Arbaugh, An Inductive Chosen Plaintext Attack against WEP/WEP2, 2001, http://www.cs.umd.edu/~waa/attack/v3dcmnt.htm [BLA02] C. Blancher, Switched environments security, a fairy tale, 2002, http://sid.rstack.org/pres/0207_lsm02_arp.pdf [BLA03] C. Blancher, Layer 2 filtering and transparent firewalling, 2003, http://sid.rstack.org/pres/0307_lsm03_l2_filter.pdf [KO04a] Korek, http://www.netstumbler.org/showthread.php?p=89036
VII [KO04b] Korek, Chopchop, http://www.netstumbler.org/showthread.php?t=12489 [BIT05] A. Bittau, The Fragmentation Attack in Practice, 2005, http://www.toorcon.org/2005/slides/abittau/paper.pdf [BUT07] L. Butti, Wi-Fi Advanced Fuzzing, http://www.blackhat.com/presentations/bh-eu-07/butti/pr [AIRC] C. Devine, Aircrack, http://www.cr0.net:8040/code/network/aircrack/ [AIRP] Airpwn, http://www.evilscheme.org/defcon/ [ARPS] Arp-sk, http://sid.rstack.org/arp-sk/ [EBT] Ebtables, http://ebtables.sourceforge.net/
VIII [HAP] Hostap Linux driver, http://hostap.epitest.fi/ [HAPD] Hostapd authenticator, http://hostap.epitest.fi/hostapd/ [MADW] Madwifi project, http://madwifi.sourceforge.net/ [NSTX] Nstx, http://nstx.dereference.de/nstx/ [OZY] OzymanDNS, http://www.doxpara.com/ozymandns_src_0.1.tgz [PR54] Prism54 Linux driver, http://prism54.org/ [PYTH] Python, http://www.python.org/
IX [RT25] RT2500 Linux driver, http://rt2x00.serialmonkey.com/ [RTL8] RTL8180 Linux driver, http://rtl8180-sa2400.sourceforge.net/ [SCAP] Scapy, http://www.secdev.org/projects/scapy/ [WLAN] Linux Wlan-ng, http://www.linux-wlan.org/ [WPAS] Wpa supplicant, http://hostap.epitest.fi/wpa_supplicant/ [WTAP] Wifitap, http://sid.rstack.org/index.php/wifitap_en
X [ISCD] ISC Handler s Diary, http://isc.sans.org/diary.php?date=2005-06-26