De manière réaliste, vous ne pouvez pas empêcher un malfaiteur d'envoyer des paquets de désauthentification.

Au lieu de cela, vous devriez vous concentrer sur la résistance à une attaque de désauthentification. Assurez-vous que votre réseau est configuré de manière à ce que l'attaque deauth ne permette pas à un attaquant de compromettre votre réseau.

Pour ce faire, vous devez vous assurer que vous utilisez WPA2. Si vous utilisez une clé pré-partagée (une phrase de passe), assurez-vous que la phrase de passe est très longue et forte. Si ce n'est pas déjà fait, changez-le immédiatement! Si vous n'utilisez pas WPA2, corrigez-le immédiatement!

La principale raison pour laquelle les méchants envoient des paquets deauth est que cela les aide à exécuter une attaque par dictionnaire contre votre phrase de passe. Si un méchant capture une copie de la poignée de main initiale, il peut essayer diverses hypothèses sur votre phrase secrète et vérifier si elles sont correctes. L'envoi d'un paquet d'authentification oblige le périphérique ciblé à se déconnecter et à se reconnecter, ce qui permet à un espion de capturer une copie de la prise de contact initiale. Par conséquent, la pratique courante de nombreux attaquants qui pourraient tenter d'attaquer votre réseau sans fil consiste à envoyer des paquets de suppression. Si vous voyez de nombreux paquets Deauth, c'est le signe que quelqu'un essaie peut-être d'attaquer votre réseau sans fil et de deviner votre phrase secrète.

Une fois que l'attaquant a envoyé un paquet Deauth et intercepté la prise de contact initiale, il y a des outils et des services en ligne qui automatisent la tâche d'essayer de récupérer la phrase de passe, en devinant de nombreuses possibilités. (Voir, par exemple, CloudCracker pour un exemple représentatif.)

La défense contre ce type d'attaque est de s'assurer que votre phrase de passe est si longue et forte qu'elle ne peut pas être devinée. Si ce n'est pas déjà long et fort, vous devez le changer tout de suite, car quelqu'un essaie probablement de le deviner au moment où nous parlons.

(L'autre raison pour laquelle un méchant peut envoyer de nouveaux paquets est une gêne . Cependant, comme la plupart des utilisateurs ne le remarqueront probablement même pas, ce n'est pas un ennui très efficace.)

Pour en savoir plus, consultez ces ressources:

• Comment fonctionne la suppression des données dans aireplay-ng?

• Quelqu'un peut-il obtenir mon mot de passe WPA2 avec des pots de miel ?

Cisco a été le fer de lance d'une méthode de détection de ces attaques et même de protection de ce type d'attaque si elle est activée et que le périphérique client le prend en charge (prise en charge minimale de CCXv5). La fonction Cisco s'appelle "Management Frame Protection" et tous les détails peuvent être trouvés sur le site Web de Cisco.

En substance, le processus ajoute une valeur de hachage à tous les cadres de gestion qui sont envoyé.

Ce processus a été normalisé avec l'amendement IEEE 802.11w publié en 2009, et est pris en charge par la plupart des distributions Linux / BSD modernes du noyau . Windows 8 a été introduit avec le support 802.11w par défaut (ce qui a causé des problèmes initiaux dans certains environnements). AFAIK, OS X n'a ​​toujours pas le support 802.11w.

Pour référence, 802.11w a été intégré dans la version de maintenance 802.11-2012 de la norme 802.11.

Quelqu'un m'a donné un vote favorable qui a rafraîchi cette réponse dans mon esprit et a pensé que c'était dû à une mise à jour.

La Wi-Fi Alliance (WFA) a rendu obligatoire la prise en charge des cadres de gestion protégés (PMF) pour passer 802.11ac ou Passpoint ( aka HotSpot2.0). Cela a considérablement amélioré la prise en charge du 802.11w et vous pouvez même le trouver dans la plupart des appareils grand public aujourd'hui.

Malheureusement, Apple semble toujours être la cible. Permettez-moi de commencer en disant que j'ai été surpris de constater que Apple n'a pas certifié un seul appareil avec le WFA depuis début 2014. Je sais qu'il s'agit d'un processus volontaire pour les fournisseurs, mais ne pas participer au processus de certification me semble être une mauvaise idée pour un si grand fabricant d'appareils sans fil.

Bien qu'Apple ait ajouté le support 802.11w, il existe sont toujours des problèmes. Plus tôt cette année, je suis tombé sur cet article détaillant les problèmes de connexion d'Apple à un réseau avec authentification 802.11X et 802.11w requis. Les réseaux qui utilisent un PSK (avec 802.11w en option ou requis) semblent fonctionner comme les réseaux 802.1X avec 802.11w en option.

Nous y arrivons, mais il reste encore du chemin à parcourir.

Le seul moyen d'empêcher une telle attaque est de bloquer la capacité de l'attaquant à envoyer des transmissions sans fil qui atteindront vos utilisateurs légitimes. Ce n'est pas une solution pratique pour plusieurs raisons (mais des points supplémentaires si vous pouvez convaincre vos employés de s'asseoir dans une cage de Faraday).

Cette page de blog ici cite une partie de la norme WiFi pertinente, notamment:

La désauthentification n'est pas une demande; c'est une notification. La désauthentification ne sera refusée par aucune des parties.

Donc, non, il n'y a pas vraiment de moyen d'empêcher une telle attaque.

La norme 802.11 actuelle définit les types de "trame" à utiliser dans la gestion et le contrôle des liaisons sans fil. IEEE 802.11w est la norme des cadres de gestion protégés pour la famille de normes IEEE 802.11. TGw travaille sur l'amélioration de la couche de contrôle d'accès moyen IEEE 802.11. L'objectif est d'augmenter la sécurité en assurant la confidentialité des données des trames de gestion, des mécanismes qui permettent l'intégrité des données, l'authenticité de l'origine des données et la protection contre la relecture.

==> http://en.wikipedia.org/wiki/IEEE_802.11w-2009

Il semble que la protection contre le deauth et la relecture soit déjà dans le noyau bsd / linux:

La norme 802.11w est implémentée sous Linux et BSD dans le cadre de la base de code du pilote 80211mac qui est utilisée par plusieurs interfaces de pilote sans fil, à savoir ath9k. La fonctionnalité est facilement activée dans les noyaux les plus récents et les systèmes d'exploitation Linux en utilisant ces combinaisons. Openwrt en particulier fournit une bascule facile dans le cadre de la distribution de base.

Si possible, demandez à tout le monde de se connecter à un réseau filaire pendant une semaine et éteignez votre Wi-Fi. Après une semaine, rallumez-le et j'espère que l'attaquant aura abandonné d'ici là. J'essaierais également de mettre tout le monde sur liste blanche sur votre réseau afin que seules ces adresses IP puissent se connecter. Si vous pensez qu'ils vont continuer à vous attaquer quel que soit l'effort que cela va leur causer, alors je suis d'accord avec Terry, contactez les forces de l'ordre locales et laissez-les s'en occuper.