On the detection of multi-channel man-in-the-middle attacks against Wi-Fi networks

Abstract

One of the advanced Man-in-the-Middle (MitM) attacks is the Multi-Channel MitM (MC-MitM) attack, which manipulates encrypted wireless frames between clients and the Access Point (AP) in a WLAN. Key reinstallation attacks (2019), FragAttacks (2021), and SSID confusion attacks (2024) have significantly impacted millions of Wi-Fi systems, especially IoT devices.This thesis evaluates MC-MitM attacks, categorizing them based on objectives and reviewing existing defense mechanisms, which often require impractical firmware modifications and advanced hardware. We propose a signature-based intrusion detection system for effective defense. In our research, we design lightweight signatures for quick identification of MC-MitM attacks. We introduce an intrusion detection system, a plug-and-play and passive monitoring system for detecting MC-MitM attacks. Our prototype, tested in a smart home network, achieved high detection accuracy. We further enhance our system with a distributed detection mechanism, significantly improving detection performance in smart home and IoT settings.

Uno de los ataques avanzados de intermediario (MitM) es el ataque MitM de múltiples canales (MC-MitM), que manipula tramas inalámbricas cifradas entre los clientes y el punto de acceso (AP) en una WLAN. Los ataques de reinstalación de claves, los FragAttacks y los ataques de confusión de SSID han afectado significativamente a millones de sistemas wifi, especialmente a dispositivos IoT. Esta tesis evalúa los ataques MC-MitM, los categoriza según sus objetivos y revisa los mecanismos de defensa existentes, que a menudo requieren modificaciones de firmware poco prácticas y hardware avanzado. Proponemos un sistema de detección basado en firmas ligeras para la identificación rápida de ataques MC-MitM. Introducimos un sistema de detección de intrusiones, un sistema plug-and-play y de monitoreo pasivo para detectar ataques MC-MitM. Nuestro prototipo, probado en una red de hogar inteligente, logró una alta precisión de detección. Mejoramos nuestro sistema con un mecanismo de detección distribuido, lo que aumenta significativamente el rendimiento de detección en entornos de hogares inteligentes e IoT.

Un dels atacs avançats d'intermediari (MitM) és l'atac MitM de múltiples canals (MC-MitM), que manipula trames sense fils xifrades entre els clients i el punt d'accés (AP) en una WLAN. Els atacs de reinstal·lació de claus, els FragAttacks i els atacs de confusió d'SSID han afectat significativament milions de sistemes wifi, especialment dispositius IoT. Aquesta tesi avalua els atacs MC-MitM, els classifica segons els seus objectius i revisa els mecanismes de defensa existents, que sovint demanen modificacions de microprogramari poc pràctiques i maquinari avançat. Proposem un sistema de detecció basat en signatures lleugeres per a la identificació ràpida dels atacs MC-MitM. Introduïm un sistema de detecció d'intrusions, un sistema plug-and-play i de monitoratge passiu per detectar atacs MC-MitM. El nostre prototip, provat en una xarxa de llar intel·ligent, va aconseguir una alta precisió de detecció. Millorem el sistema amb un mecanisme de detecció distribuït, cosa que augmenta significativament el rendiment de detecció en entorns de llars intel·ligents i IoT.