حملهای جدید برای دور زدن ایزولیشن در شبکههای Wi Fi
در جریان کنفرانس امنیتی NDSS Symposium 2026 که در ماه فوریه در شهر سندیگو برگزار شد، گروهی از پژوهشگران حوزه امنیت سایبری نتایج مطالعهای را منتشر کردند که از نوعی حمله جدید با نام AirSnitch (ابزار و مجموعهای از حملات است که به کاربر مهمان امکان میدهد تا از ایزولهسازی کلاینت وایفای عبور کند.) پرده برمیدارد.
در جریان کنفرانس امنیتی NDSS Symposium 2026 که در ماه فوریه در شهر سندیگو برگزار شد، گروهی از پژوهشگران حوزه امنیت سایبری نتایج مطالعهای را منتشر کردند که از نوعی حمله جدید با نام AirSnitch (ابزار و مجموعهای از حملات است که به کاربر مهمان امکان میدهد تا از ایزولهسازی کلاینت وایفای عبور کند.) پرده برمیدارد. این حمله قادر است یکی از قابلیتهای متداول در شبکههای بیسیم یعنی Client Isolation که با نامهایی مانند Guest Network یا Device Isolation نیز شناخته میشود را دور بزند.
در این حمله، مهاجم میتواند با اتصال به یک شبکه بیسیم از طریق یک اکسس پوینت، به دستگاههای دیگری که به همان سختافزار متصل هستند دسترسی پیدا کند؛ حتی اگر آن دستگاهها روی شناسههای شبکه بیسیم متفاوت یا همان SSIDهای جداگانه کار کنند. نکته قابل توجه این است که دستگاههای هدف ممکن است روی زیرشبکههایی قرار داشته باشند که با پروتکلهای امنیتی WPA2 یا WPA3 محافظت شدهاند.
این حمله در واقع رمزنگاری Wi‑Fi را نمیشکند، بلکه از نحوه مدیریت کلیدهای گروهی و همچنین مسیریابی بستهها در اکسس پوینتها سوءاستفاده میکند. در عمل، این موضوع به این معناست که شبکه مهمان ممکن است امنیت واقعی چندانی فراهم نکند. اگر شبکه مهمان و شبکه کارکنان روی یک دستگاه فیزیکی واحد اجرا شوند، AirSnitch میتواند به مهاجم اجازه دهد ترافیک مخرب را به SSIDهای مجاور تزریق کند و در برخی سناریوها حتی اجرای کامل یک حمله Man‑in‑the‑Middle نیز امکانپذیر میشود.
امنیت Wi‑Fi همواره در حال تکامل است و هر زمان که یک حمله عملی علیه نسل جدیدی از مکانیزمهای حفاظتی کشف میشود، صنعت شبکه به سمت الگوریتمها و روشهای پیچیدهتر حرکت میکند. این چرخه سالها پیش با حملات FMS (سیستمهای حرکتی عملکرد ) که برای شکستن کلیدهای رمزنگاری WEP (امنیت شبکه بی سیم ) مورد استفاده قرار میگرفتند آغاز شد و همچنان ادامه دارد. در سالهای اخیر نیز نمونههای متعددی از این روند دیده شده است؛ از جمله حملات KRACK که پروتکل WPA2 را هدف قرار دادند و همچنین FragAttacks(نقص امنیتی در تمام دستگاههای وایفای) که تمام نسخههای پروتکلهای امنیتی Wi‑Fi از WEP تا WPA3 را تحت تأثیر قرار دادند.
در شرایط واقعی، حمله مؤثر و در عین حال پنهان به شبکههای Wi‑Fi مدرن کار سادهای نیست. بیشتر متخصصان امنیت شبکه معتقدند استفاده از WPA2 یا WPA3 با رمزهای پیچیده و همچنین جداسازی شبکهها بر اساس کاربرد معمولاً سطح مناسبی از حفاظت را فراهم میکند. با این حال نکتهای که تنها متخصصان این حوزه معمولاً از آن آگاه هستند این است که قابلیت Client Isolation (جداسازی کلاینت) هرگز به طور رسمی در استاندارد IEEE 802.11 تعریف نشده است. همین موضوع باعث شده است که تولیدکنندگان مختلف تجهیزات شبکه این قابلیت را به روشهای متفاوتی پیادهسازی کنند. برخی تولیدکنندگان ایزولیشن را در لایه دوم شبکه یعنی Layer 2 پیادهسازی میکنند و برخی دیگر آن را در لایه سوم یعنی Layer 3 و در سطح روتر یا کنترلر Wi‑Fi مدیریت میکنند. به همین دلیل رفتار واقعی زیرشبکههای ایزوله شده میتواند بسته به مدل روتر یا اکسس پوینت مورد استفاده تفاوتهای زیادی داشته باشد.
انواع حملات AirSnitch و نحوه عملکرد آنها
نام AirSnitch تنها به یک آسیبپذیری واحد اشاره نمیکند بلکه به خانوادهای از نقصهای معماری در اکسس پوینتهای Wi‑Fi گفته میشود. علاوه بر این، ابزاری متنباز با همین نام نیز توسعه داده شده است که برای آزمایش روترها در برابر این ضعفها مورد استفاده قرار میگیرد. با این حال متخصصان امنیت باید توجه داشته باشند که مرز میان آزمایش امنیتی و سوءاستفاده واقعی بسیار باریک است. الگوی کلی تمام حملات این خانواده مشابه است. در این سناریو یک کلاینت مخرب به اکسس پوینتی متصل میشود که قابلیت ایزولیشن در آن فعال است. در همین زمان کاربران دیگری که هدف حمله هستند به همان SSID یا حتی SSIDهای متفاوت روی همان اکسس پوینت متصل شدهاند. چنین شرایطی در دنیای واقعی کاملاً رایج است.
یکی از انواع این حمله به نام GTK attack شناخته میشود. پس از انجام فرآیند Handshake در WPA2 یا WPA3، اکسس پوینت و کلاینتها روی یک کلید گروهی به نام Group Transient Key یا GTK برای مدیریت ترافیک Broadcast (پخش همگانی) توافق میکنند. در این سناریو مهاجم بستههایی را که برای یک قربانی خاص طراحی شدهاند در قالب ترافیک Broadcast قرار میدهد و سپس آنها را با جعل آدرس MAC اکسس پوینت برای قربانی ارسال میکند. این حمله تنها امکان تزریق ترافیک را فراهم میکند اما همین مقدار برای ارسال پیامهای مخرب مانند اعلانهای مسیریابی ICMPv6 (پروتکل کنترل پیام اینترنتی نسخه ۶) یا پیامهای DNS (سامانه نام دامنه) و ARP (پروتکل تفکیک آدرس) کافی است.
روش دیگری با عنوان Broadcast Packet Redirection شناخته میشود. در این روش مهاجم بستههایی با آدرس مقصد Broadcast و با فعال بودن پرچم ToDS برابر با 1 ارسال میکند. برخی اکسس پوینتها این بسته را به عنوان ترافیک Broadcast معتبر در نظر گرفته و آن را با استفاده از GTK رمزگذاری کرده و برای تمام کلاینتها ارسال میکنند. در نتیجه قربانی بستهای را دریافت میکند که در ظاهر Broadcast است اما در واقع برای او طراحی شده است.
در حمله Router Redirection نیز مهاجم از تفاوت میان امنیت لایه دوم و لایه سوم استفاده میکند. در این سناریو بستهای ارسال میشود که در لایه شبکه دارای آدرس IP قربانی است اما در لایه بیسیم مقصد آن MAC اکسس پوینت است. این موضوع باعث میشود فیلتر ایزولیشن فعال نشود و روتر در لایه سوم بسته را طبق روال عادی به سمت قربانی هدایت کند.
دو روش دیگر نیز بر پایه تکنیکی به نام Port Stealing عمل میکنند.
در نوع اول یعنی Port Stealing to Intercept Packets، مهاجم با جعل MAC قربانی و ارسال پاسخهای ARP، روتر را وادار میکند ترافیک قربانی را به سمت پورت مهاجم هدایت کند. در نوع دوم یعنی Port Stealing to Send Packets، مهاجم با جعل MAC اکسس پوینت درخواستهای ARP ارسال میکند تا قربانی ترافیک خروجی خود را به سمت مهاجم بفرستد. ترکیب این دو تکنیک میتواند زمینه اجرای یک حمله کامل Man‑in‑the‑Middle را فراهم کند.
پیامدهای امنیتی و راهکارهای محافظتی برای سازمانها
ترکیب تکنیکهای مختلف AirSnitch میتواند پیامدهای امنیتی قابل توجهی ایجاد کند. مهاجم ممکن است بتواند ترافیک میان قربانی و اکسس پوینت را رهگیری و حتی تغییر دهد و در نتیجه حمله Man‑in‑the‑Middle اجرا کند. همچنین امکان دسترسی از شبکه مهمان به منابع شبکه داخلی نیز وجود دارد، بهویژه در شرایطی که هر دو شبکه روی یک اکسس پوینت فیزیکی اجرا شوند. در برخی سناریوها حتی سیستمهای احراز هویت RADIUS نیز میتوانند هدف قرار گیرند. اگر مهاجم بتواند بستههای اولیه احراز هویت را رهگیری کند، ممکن است با حمله brute‑force موفق به کشف shared secret شود و سپس با راهاندازی یک سرور RADIUS جعلی دادههای کاربران را سرقت کند.
اجرای این حملات معمولاً به دستگاهی با دو کارت Wi‑Fi و درایورهای خاص لینوکس نیاز دارد. همچنین در طول حمله معمولاً حجم زیادی از بستههای ARP تولید میشود که میتواند نشانهای از فعالیت مخرب باشد. با این حال پژوهشگران نشان دادهاند که بسیاری از تجهیزات شبکه از برندهای مختلف از جمله Cisco، Netgear، Ubiquiti، TP‑Link، D‑Link و ASUS در برابر حداقل یکی از انواع این حملات آسیبپذیر هستند.
برای کاهش ریسک این تهدید در شبکههای سازمانی، چند اقدام کلیدی توصیه میشود. نخست اینکه هر SSID باید در یک VLAN مجزا قرار گیرد و برچسبگذاری 802.1Q تا فایروال یا روتر مرکزی حفظ شود تا جداسازی واقعی میان شبکهها برقرار باشد.
در سطح سوئیچ و روتر نیز قابلیتهایی مانند Dynamic ARP Inspection، DHCP Snooping و محدودسازی تعداد MAC در هر پورت باید فعال شوند تا از جعل آدرسها جلوگیری شود. در صورت پشتیبانی تجهیزات، استفاده از کلیدهای GTK مجزا برای هر کلاینت نیز میتواند برخی سناریوهای حمله را خنثی کند. همچنین تنظیمات RADIUS و 802.1X باید با استفاده از الگوریتمهای رمزنگاری مدرن و shared secretهای قوی پیکربندی شوند. ثبت و تحلیل رویدادهای احراز هویت در سیستمهای SIEM نیز میتواند به شناسایی رفتارهای غیرعادی مانند مشاهده یک MAC در چند SSID یا افزایش ناگهانی ترافیک ARP کمک کند.
مهمترین نکته این است که Client Isolation نباید به عنوان یک مکانیزم امنیتی اصلی در نظر گرفته شود. این قابلیت تنها یک ویژگی کاربردی است و امنیت واقعی زمانی حاصل میشود که معماری شبکه در چندین لایه مختلف محافظت شده باشد. استفاده گسترده از TLS و HSTS برای سرویسهای سازمانی، الزام اتصال کاربران Wi‑Fi از طریق VPN و پیادهسازی معماری Zero Trust میتواند تأثیر چنین حملاتی را تا حد زیادی کاهش دهد.
