πŸ“‘ Wireless Security Deep Dive β€” 802.11 / Bluetooth / Zigbee

β€œWireless is a shared medium by design β€” every packet is someone else’s problem until it’s encrypted.” β€” Wireless Security Field Manual

Cakupan Note

Dokumentasi ini mencakup berbagai aspek keamanan wireless: protokol 802.11 (WiFi), Bluetooth, Zigbee, Z-Wave, Thread, Matter, serta serangan dan mitigasi berbasis SDR. Fokus pada attack vectors real-world, tooling, dan defense strategies untuk pentester dan blue team.


πŸ“‹ Daftar Isi


1. Pendahuluan β€” Wireless sebagai Attack Surface

Wireless communication telah menjadi tulang punggung infrastruktur modern β€” dari WiFi di perkantoran, Bluetooth di perangkat wearable, hingga Zigbee/Z-Wave di smart home. Sayangnya, sifat shared medium dari wireless membuka attack surface yang luas:

DimensiKarakteristikImplikasi Keamanan
ConfidentialitySemua orang di range RF bisa mendengarSniffing, traffic decryption
IntegrityCRC rentan spoofingFrame injection, bit-flipping
AvailabilityShared channel rawan interferensiDeauth, jammer, RF jamming
AuthenticationAssociation opsionalRogue AP, Evil Twin, MITM
PrivacyMAC address visibleTracking, profiling perangkat

Wireless security berporos pada tiga pilar: confidentiality (enkripsi), integrity (MIC/ICV), dan authentication (PSK/802.1X). Kegagalan di salah satu pilar membuka celah untuk full compromise.

Mindset Pentester

Wireless penetration testing berbeda dari network pentest biasa β€” kamu harus memahami RF physics, protokol layer 2, dan tools SDR. Lihat juga hierarchy-osint-rf untuk konteks RF lebih luas.


2. Fundamental 802.11 β€” PHY, MAC, dan Frame Types

802.11 adalah standar IEEE untuk WLAN. Beroperasi di pita 2.4 GHz, 5 GHz, dan 6 GHz (WiFi 6E). Berikut layer utama:

2.1 Physical Layer (PHY)

GenerasiStandarFrekuensiKecepatan MaksModulasi
WiFi 4802.11n2.4 / 5 GHz600 MbpsOFDM, MIMO
WiFi 5802.11ac5 GHz3.5 GbpsOFDM, MU-MIMO
WiFi 6802.11ax2.4 / 5 GHz9.6 GbpsOFDMA, MU-MIMO
WiFi 6E802.11ax+6 GHz9.6 GbpsOFDMA
WiFi 7802.11be2.4 / 5 / 6 GHz46 Gbps4096-QAM, CMU-MIMO

2.2 MAC Layer

MAC (Media Access Control) di 802.11 menggunakan CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance), bukan CSMA/CD seperti ethernet. Ini karena di RF, mendeteksi collision sulit dilakukan sambil transmit.

flowchart LR
    A[Station] -->|RTS| B[AP]
    B -->|CTS| A
    A -->|Data| B
    B -->|ACK| A

Tiga tipe frame 802.11:

  1. Management Frames β€” association, authentication, beacon, probe, deauth
  2. Control Frames β€” RTS, CTS, ACK, PS-Poll
  3. Data Frames β€” payload/data traffic

Kelemahan fundamental: management frames tidak dienkripsi (pra-802.11w), memungkinkan spoofing dan injection.


3. Frame Management, Control, dan Data

Setiap frame 802.11 memiliki header 30-36 byte yang mencakup:

  • Frame Control (2B): type, subtype, flags (To DS, From DS, Retry, Power Mgmt)
  • Duration/ID (2B): NAV reservation
  • Address 1-4 (6B each): DA, SA, BSSID, TA
  • Sequence Control (2B): fragment & sequence number
  • Frame Body (0-2304B): data atau IEs (Information Elements)
  • FCS (4B): CRC32

3.1 Management Frames Penting

Frame SubtypeFungsiCelah Keamanan
BeaconAP advertisement, berisi SSID, capabilities, RSN IESSID disclosure, fingerprinting AP
Probe Request/ResponseDiscovery station-APMAC tracking, device profiling
AuthenticationOpen System / Shared Key authNull auth bisa diforgery
Association Request/ResponseJoin BSSSpoofed association
DeauthenticationPutuskan koneksiTIDAK dienkripsi β€” celah DoS klasik
DisassociationLepas asosiasiSama seperti deauth, bisa spoof

3.2 Radiotap Header

Untuk packet injection dan monitoring, gunakan radiotap header β€” metadata tambahan sebelum frame 802.11 yang berisi signal strength, channel, noise, dan flags:

Radiotap Header v0
  Header revision: 0
  Header pad: 0
  Length: 26
  Present flags: 0x0000284e
    TSFT, Flags, Rate, Channel, dBm_AntSignal, ...

4. WPA2 4-Way Handshake β€” Mekanisme dan Celah

WPA2-Personal menggunakan PBKDF2 untuk derivasi PSK (Pairwise Master Key) dari passphrase + SSID. 4-Way Handshake bertujuan menurunkan PTK (Pairwise Transient Key) tanpa mengekspos PSK langsung.

4.1 Mekanisme Handshake

sequenceDiagram
    participant Client as Supplicant
    participant AP as Authenticator
    Client->>AP: EAPOL-Key (ANonce)
    AP->>Client: EAPOL-Key (SNonce + MIC)
    Client->>AP: EAPOL-Key (MIC + GTK)
    AP->>Client: EAPOL-Key (Ack)

4.2 Detail Derivation

PMK = PBKDF2(HMAC-SHA1, passphrase, SSID, 4096, 256)
PTK = PRF(PMK, "Pairwise key expansion", Min(AP MAC, STA MAC) || Max(AP MAC, STA MAC) || Min(ANonce, SNonce) || Max(ANonce, SNonce))

PTK dibagi menjadi 4 bagian:

  • KCK (Key Confirmation Key) β€” 128 bit: MIC
  • KEK (Key Encryption Key) β€” 128 bit: enkripsi GTK
  • TK (Temporal Key) β€” 128 bit: enkripsi data CCMP/AES
  • MIC (Message Integrity Code) β€” opsional

4.3 Celah

  1. Passphrase lemah β€” dictionary attack offline jika handshake tertangkap
  2. No forward secrecy β€” jika PSK bocor, semua traffic masa lalu bisa didekripsi
  3. SSID sebagai salt β€” SSID umum (linksys, netgear) mempercepat precomputed rainbow tables

5. PMKID Attack β€” Tanpa Client Diperlukan

Ditemukan oleh Atom (hashcat) di 2018. PMKID adalah nilai yang dihitung AP saat association dan dikirim di EAPOL-Key message pertama β€” bahkan tanpa client penuh melakukan handshake.

5.1 Cara Kerja

PMKID = HMAC-SHA1(PMK, "PMK Name" | MAC_AP | MAC_STA)

AP mengirim PMKID sebagai RSN IE di EAPOL-Key msg 1. Kita hanya butuh:

  • Satu frame dari AP ke client (atau message 1 saja)
  • PMKID di-hash dengan PMK yang sama β€” jadi bisa di-crack offline

5.2 Capture

# Dengan hcxdumptool
hcxdumptool -i wlan0mon -o capture.pcapng
 
# Konversi ke format hashcat
hcxpcapngtool -o hash.hc22000 capture.pcapng
 
# Hash format: WPA*01$PMKID$MAC_AP$MAC_STA$ESSID$*

5.3 Crack

hashcat -m 22000 hash.hc22000 wordlist.txt

Kelebihan PMKID dibanding handshake klasik: tidak perlu menunggu client connect. Cukup AP mengirim beacon/probe response dengan RSN IE.

arp-spoofing-mitigation membahas teknik mitigasi layer 2 β€” tapi untuk wireless, segitiga AP-Client-Attacker berbeda.


6. KRACK β€” Key Reinstallation Attack

Ditemukan oleh Mathy Vanhoef (2017). KRACK (Key Reinstallation Attack) mengeksploitasi celah di 4-way handshake: attacker memaksa victim menginstal ulang PTK yang sudah dipakai, mereset nonce dan replay counter.

6.1 Mekanisme

Attacker melakukan reply pada message 3 dari handshake. Karena client tidak punya mekanisme untuk deteksi bahwa PTK sudah terinstall, client akan menginstall ulang key yang sama β€” dan nonce & replay counter di-reset ke 0.

6.2 Dampak

  • Decryption replay β€” attacker bisa memutarbalikkan packet yang terenkripsi
  • Decryption β€” pada implementasi tertentu (GCMP), attacker bisa mendekripsi packet dengan bit-flipping
  • Forge β€” group key bisa diprediksi attacker

6.3 Patch

Update semua client dan AP ke implementasi dengan 802.11-2016 yang sudah include fix KRACK:

- Pastikan message 3 dan group handshake punya mekanisme anti-replay
- Nonce tidak boleh di-reset saat key reinstallation
- Implementasi standard wajib track apakah PTK sudah dipakai

EOL Perangkat

Banyak perangkat IoT masih belum di-patch KRACK. WPA3 secara fundamental tidak bisa kena KRACK karena handshake SAE berbasis FFS (Finite Field Cryptography).


7. Cracking WPA2 dengan Hashcat

Hashcat adalah tool GPU-accelerated untuk cracking password, mendukung format hash wireless -m 22000 (PMKID) dan -m 2500 (WPA2 handshake).

7.1 Mode Hash WPA

ModeDeskripsiSumber
22000WPA-PBKDF2-PMKID+EAPOLhcxpcapngtool
2500WPA-PBKDF2-PMKID+EAPOL (legacy)aircrack-ng
22001WPA-PMK-PMKID+EAPOL (tanpa PBKDF2)PMK known
16800WPA-PMKID-PBKDF2hcxdumptool

7.2 Strategi Cracking

# Rule-based attack
hashcat -m 22000 hash.hc22000 -a 0 wordlist.txt -r rules/best64.rule
 
# Mask attack (bruteforce pola)
hashcat -m 22000 hash.hc22000 -a 3 ?u?l?l?l?d?d?d?d
 
# Kombinator attack
hashcat -m 22000 hash.hc22000 -a 1 wordlist1.txt wordlist2.txt

7.3 Optimasi

# Workload profile
hashcat -m 22000 hash.hc22000 -w 4 -O wordlist.txt
 
# --O = Optimized kernel (short pw mask)
# -w 4 = Desktop full power
# --status-timer=10 = Status setiap 10 detik

Hashcat speeds untuk WPA2 di GPU modern:

GPUSpeed (kH/s)
RTX 4090~380 kH/s
RTX 3090~250 kH/s
RTX 3080~200 kH/s
Apple M1~40 kH/s

PBKDF2-SHA1 di 4096 iterasi membuat WPA2 lambat di-crack β€” tapi tetap lebih cepat dari WPA3 yang pakai SAE dengan iterasi lebih banyak dan FFS operation.


8. WPA3 & SAE β€” Simultaneous Authentication of Equals

WPA3 memperkenalkan SAE (Simultaneous Authentication of Equals) β€” protokol authentication berbasis Dragonfly Key Exchange (RFC 7664) yang menggunakan FFC (Finite Field Cryptography) atau ECC (Elliptic Curve).

8.1 Perbandingan WPA2 vs WPA3

FiturWPA2WPA3
Auth protocol4-Way Handshake (PSK)SAE (Dragonfly)
Forward secrecyTidakYa (DHE)
Brute-force offlineDictionary attackHash iterasi tinggi
Protected Mgmt FramesOpsionalWajib
Easy ConnectTidakWi-Fi Easy Connect (DPP)
CiphersCCMP (AES)GCMP-256, CMAC-256

8.2 SAE Handshake

1. Commit: Masing-masing pihak mengirim commitment (scalar + element)
2. Confirm: Verifikasi bahwa commit legitimate
3. PTK derivation: Turunkan PMK dari shared secret

SAE menggunakan hunting-and-pecking method β€” iterasi bertahap untuk menemukan titik di kurva eliptik yang valid.

8.3 Kelebihan

  • Perfect Forward Secrecy β€” walau password bocor, traffic masa lalu tetap aman
  • Offline brute-force sulit β€” password tidak langsung di-hash, tapi melalui exponentiation
  • Anti-clogging β€” mekanisme token untuk mencegah resource exhaustion DoS

9. Dragonblood Attack β€” Kerentanan WPA3

Dragonblood (Vanhoef & Ronen, 2019) adalah kumpulan kerentanan di implementasi WPA3/SAE:

9.1 Side-Channel Attack

Password character bisa ditebak satu-per-satu dengan timing side-channel pada implementasi hunting-and-pecking.

# Pseudocode: timing leak di hunting-and-pecking
def hunting_and_peck(ssid, password):
    i = 0
    while True:
        candidate = H(ssid || password || i)
        if is_valid_point(candidate):
            return candidate  # Timing tergantung jumlah iterasi!
        i += 1

Setiap karakter password yang benar mengubah jumlah iterasi β€” cukup untuk melakukan password partitioning oracle.

9.2 Downgrade Attack

Attacker memaksa AP/Client untuk downgrade ke WPA2 dengan menghilangkan RSNE yang menandakan dukungan WPA3.

9.3 Cache-Based Attack

Beberapa implementasi SAE menyimpan password di cache tanpa timing protection β€” attacker lokal bisa leak password via L1/L2 cache timing.

9.4 Mitigasi

  • Gunakan constant-time implementation untuk FFC/ECC operations
  • Implementasi random delay untuk hunting-and-pecking
  • Disable WPA2 transitional mode jika semua perangkat support WPA3

10. Deauthentication Attack β€” Dasar WiFi DoS

Deauth attack adalah serangan paling dasar dan paling efektif di WiFi. Karena management frames tidak dienkripsi (sebelum 802.11w), attacker bisa memalsukan frame deauth dari AP ke client.

10.1 Teknik

# Deauth spesifik client dari AP tertentu
aireplay-ng -0 5 -a <AP_MAC> -c <CLIENT_MAC> wlan0mon
 
# Deauth broadcast β€” kick semua client
aireplay-ng -0 5 -a <AP_MAC> wlan0mon
 
# mdk4 β€” deauth lebih aggresif
mdk4 wlan0mon d -B <AP_MAC> -c <CHANNEL>

10.2 Use Case

  1. Force handshake capture β€” kick client, dia reconnect otomatis, tangkap 4-way handshake
  2. DoS AP β€” kick semua client terus-menerus (AP jadi useless)
  3. Evil Twin trigger β€” client disconnect, lalu otomatis connect ke Evil Twin dengan signal lebih kuat
  4. WPA3 SAE attack β€” trigger SAE handshake ulang untuk capture commit frames

10.3 Deteksi

Kismet dan Wireshark bisa mendeteksi deauth flood:

# Wireshark filter
wlan.fc.type_subtype == 0x0c

Rate-limit deauth > 10/detik dari satu AP biasanya indikasi serangan.


11. Evil Twin, Rogue AP, dan Karma Attack

11.1 Evil Twin

Evil Twin adalah AP palsu yang meniru SSID, BSSID, dan channel AP legitimate. Tujuannya MITM: traffic victim melewati attacker.

# Contoh dengan bettercap
set wifi.ap.ssid FreeWiFi
set wifi.ap.channel 6
wifi.ap
 
# Atau dengan airbase-ng
airbase-ng -e "FreeWiFi" -c 6 wlan0mon

Alur serangan:

  1. Attacker deploy AP dengan SSID yang sama
  2. Signal strength dibuat lebih kuat dari AP asli
  3. Victim otomatis pindah (atau di-deauth dari AP asli)
  4. Traffic victim lewat attacker β€” bisa capture credential, inject payload

11.2 Rogue AP

Rogue AP adalah AP ilegal yang dipasang di jaringan perusahaan β€” biasanya oleh karyawan yang nggak sengaja pasang AP sendiri. Bahaya:

  • Bypass firewall perusahaan
  • Membuka backdoor ke internal network
  • Menyediakan entry point untuk attacker luar

11.3 Karma Attack

Karma mengeksploitasi Probe Request dari client. Client mengirim probe dengan SSID yang pernah mereka connect β€” attacker menjawab dengan emulasi AP:

# bettercap karma mode
set wifi.ap.ssid ""  # kosong = karma otomatis
set wifi.handshakes.file /path/to/wordlist
wifi.recon on
wifi.ap

Deteksi:

  • Cari AP dengan BSSID tidak dikenal tapi SSID legitimate
  • Signal strength tiba-tiba tinggi untuk AP β€œbaru”
  • Kismet bisa flag β€œSSID Cloning” atau β€œKarma Attack”

web-hacking-exploitation membahas post-exploitation setelah mendapat foothold via Evil Twin.


12. Bluetooth Low Energy (BLE) β€” Serangan dan Mitigasi

BLE (Bluetooth 4.0+) adalah standar komunikasi low-power untuk IoT, wearable, dan beacon. Security model BLE punya beberapa kelemahan:

12.1 Pairing Methods

MethodKeamananKerentanan
Just WorksRendahNo MITM protection
Passkey EntrySedangPIN 6 digit bisa bruteforce
Numeric ComparisonTinggiAman jika user verify
OOB (NFC)TinggiTergantung implementasi

12.2 BLE Sniffing

# Dengan BlueZ + btmon
btmon -w capture.log
hcitool lescan  # Scan BLE devices
 
# Atau dengan nRF Sniffer + Wireshark
# firmware:nrf51/nrf52 -> serial -> Wireshark ext cap

12.3 Serangan BLE

  1. MAC Address Tracking β€” BLE advertising packet mengandung MAC address tetap
  2. Connection Spoofing β€” re-connect tanpa pairing jika bonding info dicuri
  3. LLDoS (Link Layer DoS) β€” flood connection request
  4. MITM di Pairing β€” Just Works dan Passkey Entry rentan

12.4 Defenses

  • Gunakan LE Secure Connections (Bluetooth 4.2+) dengan ECDH
  • Aktifkan Privacy Mode (resolvable private address)
  • Perangkat BLE sebaiknya pakai numeric comparison atau OOB

13. BlueBorne β€” Remote Code Execution via Bluetooth

BlueBorne (Armis, 2017) adalah kumpulan 8 zero-day vulnerabilities di Bluetooth, memungkinkan RCE tanpa pairing dan tanpa interaksi user.

13.1 CVE yang Terkena

CVETipeDampak
CVE-2017-0781Android RCERemote code execution di Android
CVE-2017-0782Android Info LeakMemory leak
CVE-2017-8628Windows RCERCE via Bluetooth stack
CVE-2017-1000251Linux RCEStack buffer overflow di L2CAP
CVE-2017-14315iOS RCEHeap overflow di Apple BT stack

13.2 Mekanisme

BlueBorne mengeksploitasi buffer overflow di Bluetooth stack. Dengan mengirim packet SDP (Service Discovery Protocol) atau L2CAP yang dimanipulasi, attacker bisa:

  1. Mendapatkan remote shell
  2. Keylogger, screen capture
  3. Data exfiltration lewat Bluetooth
  4. Spread ke perangkat lain β€” wormable

13.3 Mitigasi

  • Patch Bluetooth stack β€” patch release di 2017-2018 (Android 8+, iOS 10+, Windows 10)
  • Disable Bluetooth jika tidak diperlukan
  • Update firmware perangkat IoT yang support Bluetooth
  • Segmentasi jaringan β€” Bluetooth terpisah dari produksi

BlueBorne di IoT

Puluhan juta perangkat IoT masih belum di-patch BlueBorne. Karena RCE-nya pre-pairing, tidak ada perlindungan dari user side.


14. KNOB & BIAS β€” Kelemahan Bluetooth Pairing

14.1 KNOB (Key Negotiation Of Bluetooth)

KNOB (CVE-2019-9506) β€” ditemukan Vanhoef (2019). Menyerang BR/EDR pairing: attacker memaksa negosiasi entropy key menjadi 1 byte (minimal 7 bytes normal).

Normal: 16 bytes random entropy
KNOB: 1 byte (hanya 256 kemungkinan)

Dampak: encryption key bisa di-bruteforce. Attacker cukup dengar beberapa packet dan brute-force 256 variasi.

Mitigasi:

  • Bluetooth 5.1+ mewajibkan minimum 7 bytes entropy
  • Implementasi wajib tolak negosiasi < 7 bytes

14.2 BIAS (Bluetooth Impersonation Attack)

BIAS (2020) menyerang authentication phase pairing BR/EDR. Spesifikasi Bluetooth mengizinkan link key 0 (secure connection) atau legacy key β€” attacker memaksa legacy auth, lalu memalsukan identity perangkat.

1. Attacker connect victim dengan Bluetooth address legitimate
2. Forced downgrade ke legacy authentication
3. SRES (Signed Response) bisa diprediksi
4. Attacker berhasil impersonate perangkat legitimate

Dampak: Attacker bisa sepenuhnya impersonate keyboard, mouse, headset, atau smartphone via Bluetooth.

Mitigasi:

  • Update perangkat yang support Bluetooth Core Spec 5.2+ (fix di spesifikasi)
  • Pastikan implementasi check compare SRES di kedua arah

15. Zigbee Security β€” IoT Wireless Protocol

Zigbee adalah protokol mesh berbasis IEEE 802.15.4, digunakan di smart home (Philips Hue, IKEA TrΓ₯dfri, Xiaomi). Beroperasi di 2.4 GHz, 915 MHz (US), 868 MHz (EU).

15.1 Arsitektur

flowchart TD
    subgraph Coordinator
        ZC[Zigbee Coordinator - API/Cloud]
    end
    subgraph Mesh
        ZR1[Zigbee Router]
        ZR2[Zigbee Router]
        ZED1[End Device]
        ZED2[End Device]
    end
    ZC <--> ZR1
    ZC <--> ZR2
    ZR1 <--> ZR2
    ZR1 <--> ZED1
    ZR2 <--> ZED2

15.2 Security Layers

LayerMekanismeCelah
Network LayerNWK Key (AES-128-CCM*)Jika NWK key bocor, semua traffic terbaca
Application LayerAPS Link Key (per-device)Trust Center Link Key default diketahui
Install CodePre-configured key out-of-bandZLL (Zigbee Light Link) β€” master key publik

15.3 Serangan Zigbee

  1. Network Key Extraction β€” menggunakan ZLL (Zigbee Light Link) key yang publik: ZigBeeAlliance09
  2. Replay Attack β€” capture dan replay command (on/off lampu, unlock door)
  3. TouchLink Attack β€” pada ZLL, pairing dilakukan via NFC/Touch β€” attacker bisa inject command saat pairing
  4. Sniffer Attack β€” dengan CC2531 + Zigbee2MQTT atau Killerbee
# Sniffing Zigbee dengan Killerbee
# install killerbee toolkit
zbid.py
zbreplay  # replay captured packet
zbdsniff  # dump network key dari capture

15.4 Mitigasi

  • Gunakan Zigbee 3.0 (mandatory install code, wajib APS encryption)
  • Install code yang unik (bukan default)
  • Network key rotation periodik
  • Update firmware perangkat Zigbee

16. Z-Wave, Thread, dan Matter β€” Perbandingan Keamanan

16.1 Z-Wave

Z-Wave adalah protokol propietary oleh Z-Wave Alliance. Beroperasi di sub-1 GHz (908/868 MHz), lebih sedikit interferensi daripada 2.4 GHz.

FiturValue
Frekuensi800-900 MHz
Range~30m indoor
TopologiMesh
EnkripsiAES-128 (S2 security)
PairingDSK (Device Specific Key)

Celah Z-Wave:

  • Z-Wave S0 β€” legacy security, key bisa didapat
  • Z-Wave downgrade attack β€” paksa device pakai S0 atau non-secure mode
  • Hardware key injection β€” programmer bisa inject node ID dan home ID ke device Z-Wave

16.2 Thread

Thread adalah protokol mesh berbasis IPv6, menggunakan 6LoWPAN. Dirancang oleh Thread Group, diadopsi Apple, Google, Samsung.

  • Security by design: DTLS (Datagram TLS) setiap komunikasi
  • Commissioning: PKI-based, setiap device punya certificate
  • Celah utama: supply chain attack (compromised device certificate)

16.3 Matter

Matter (Project CHIP) adalah standar interoperability baru oleh CSA (Connectivity Standards Alliance). Berjalan di atas Thread, WiFi, atau Ethernet.

FiturDetail
EnkripsiTLS 1.3 + AEAD (AES-CCM)
AuthCertificate-based (PKI)
Device commissioningQR code + passcode
Secure bootWajib
Software updateOTA mandatory

Keunggulan Matter:

  • Setiap device punya device attestation certificate (DAC)
  • No master key β€” setiap sesi punya kunci sendiri
  • Forward secrecy β€” ECDHE key exchange
  • Update mechanism mandatory, patch celah via firmware

17. SDR-Based Attacks β€” HackRF dan USRP

Software-Defined Radio (SDR) memungkinkan transmisi dan penerimaan RF dengan fleksibilitas penuh β€” dari 1 MHz sampai 6 GHz (HackRF One).

17.1 Hardware

DeviceBandwidthFrekuensiBiaya
RTL-SDR3.2 MHz24-1700 MHz~$25
HackRF One20 MHz1 MHz-6 GHz~$300
USRP B21056 MHz70 MHz-6 GHz~$1,200
LimeSDR28 MHz100 kHz-3.8 GHz~$300
BladeRF 2.056 MHz47 MHz-6 GHz~$650

17.2 Tooling

# GNU Radio β€” block diagram SDR
# gr-osmosdr β€” source/sink hardware abstraction
 
# Capture WiFi dengan HackRF
hackrf_transfer -r raw.iq -f 2.412e6 -s 20000000
 
# Replay sinyal keyless car (rolling-jam attack)
# capture dulu
hackrf_transfer -r car_key.iq -f 315e6 -s 2000000 -l 40 -g 20
# lalu replay
hackrf_transfer -t car_key.iq -f 315e6 -s 2000000 -x 40

17.3 Serangan dengan SDR

SeranganDeskripsiTool
Replay AttackCapture & replay RF signalHackRF, GNU Radio
Rolling JamBlokir rolling code, capture & replayRFCrack, Yard Stick One
ADS-B SpoofFake aircraft positiondump1090, bladeRF
GPS SpoofFake GPS positionGPS-SDR-SIM, HackRF
GSM DecryptionIMSI catchergr-gsm, USRP
Keyless Car AttackAmplify relay, capture key fobProxmark3, HackRF

17.4 Signal Analysis

# Spektrum analyzer di CLI
rtl_power -f 2400M:2500M:1M power.csv
gnuplot -e "plot 'power.csv'"  # visualisasi
 
# Demodulasi FM dengan rtl_fm
rtl_fm -f 100.5e6 -M wbfm -s 200000 | aplay -r 48000

Legal Boundaries

Transmisi RF ilegal di banyak yurisdiksi tanpa lisensi FCC/CEPT. SDR untuk receive only umumnya aman. Jangan transmit di band ISM tanpa otorisasi.


18. Wireless IDS/IPS β€” Kismet, Wireshark, bettercap

18.1 Kismet

Kismet adalah wireless intrusion detection system (WIDS) yang mendeteksi lebih dari jenis AP.

# Setup Kismet
kismet -c wlan0mon

Deteksi Kismet:

EventTanda
Deauth Flood>100 deauth/detik dari 1 source
SSID CloningBanyak AP dengan SSID sama, BSSID beda
Probe SSIDClient probe ke SSID non-eksis
WiFi JammingSeluruh channel noise tinggi
Karma AttackAP jawab semua probe request
EAPOL floodRate-limite AP terhadap handshake

18.2 Wireshark β€” Wireless Filtering

# Wireshark filter untuk wireless analysis
wlan.fc.type_subtype == 0x08  # Beacon frames
wlan.fc.type_subtype == 0x0c  # Deauth
eapol                              # 4-Way Handshake
wlan.fc.type == 0                 # Management frames
wlan.fc.type == 2                 # Data frames
wlan.fc.protected == 1            # Encrypted frames

Wireshark untuk wireless forensic:

  • IO Graph β€” visualisasi traffic spike (deauth, beacon flood)
  • Expert Info β€” Warnings & errors di capture
  • Follow TCP Stream β€” decrypt traffic jika key diketahui

18.3 bettercap

Bettercap adalah tool all-in-one untuk network attack & monitoring, termasuk WiFi.

# WiFi reconnaissance
sudo bettercap -eval "set wifi.interface wlan0; wifi.recon on"
 
# Deauth detection
set wifi.show.ap.deauth true
 
# Captive portal (Evil Twin)
set httpd.path /path/to/captive
httpd
dns.spoof on

Module bettercap WiFi:

  • wifi.ap β€” access point mode
  • wifi.deauth β€” deauth specific BSSID
  • wifi.handshakes β€” capture PMKID
  • ble.recon β€” BLE device scanning
  • ble.enum β€” BLE service enumeration

19. Enterprise WiFi β€” WPA2-Enterprise, PEAP, EAP-TLS

Enterprise WiFi menggunakan 802.1X / RADIUS untuk authentication, bukan PSK.

19.1 EAP Methods

MethodAuthKeamananCelah
EAP-TLSCertificate (mutual)Tinggi β€” PKI-basedManagement (cert distribution)
PEAPPassword (MSCHAPv2)Sedang β€” tunneledCracking MSCHAPv2 offline
EAP-TTLSPassword/PAP/CHAPSedangTunnel doang, inner auth lemah
LEAPMSCHAPv2 modifiedRendahasleap bisa crack

19.2 Attack pada WPA2-Enterprise

# Hostapd-WPE β€” fake AP untuk capture credential
# install hostapd-wpe
hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf
 
# Captured credential dalam format:
# username:challenge:response
# Bisa di-crack dengan asleap
asleap -r capture.txt -W wordlist.txt

19.3 Celah PEAP

  1. No certificate validation β€” banyak client (terutama enterprise) tidak validate server cert
  2. MSCHAPv2 weak β€” challenge-response bisa di-crack offline: DES(DES(DES(0, hash[0:7]), hash[7:14]), hash[14:21])
  3. EAP downgrade β€” attacker paksa negosiasi EAP method ke yang weakest

19.4 EAP-TLS β€” Gold Standard

# EAP-TLS mutual authentication flow
1. Client β†’ Server: EAP-Response/Identity
2. Server β†’ Client: EAP-Request/EAP-TLS (ServerHello + Cert + CertRequest)
3. Client β†’ Server: EAP-Response/EAP-TLS (ClientCert + ClientKeyExchange + CertVerify)
4. Server β†’ Client: EAP-Request/EAP-TLS (Finished)
5. Client β†’ Server: EAP-Response/EAP-TLS (Finished)
6. Server β†’ Client: EAP-Success

EAP-TLS aman karena mutual certificate-based authentication. Celah hanya di implementasi:

  • Certificate validation tidak di-skip
  • Private key jangan bocor
  • CRL/OCSP mandatory

20. Tooling Ecosystem β€” aircrack-ng sampai BlueZ

20.1 Wireless Audit Tools

ToolFungsiPaket
aircrack-ngWEP/WPA crackingaircrack-ng
airodump-ngWiFi packet captureaircrack-ng
aireplay-ngFrame injection, deauthaircrack-ng
airbase-ngFake APaircrack-ng
airmon-ngInterface managementaircrack-ng
hcxdumptoolPMKID capturehcxtools
hcxpcapngtoolConvert pcapng ke hashhcxtools
hashcatGPU crackinghashcat
bettercapAll-in-one MITM/WiFibettercap
WifiteAutomated WiFi auditwifite
KismetWIDSkismet
mdk4WiFi DoS/Stress testmdk4
reaverWPS PIN brutereaver
bullyWPS brute (alternative)bully
hostapd-wpeRogue AP + credential capturehostapd-wpe

20.2 Bluetooth Tools

ToolFungsi
BlueZOfficial Linux Bluetooth stack
bluetoothctlBluetooth management CLI
btmonBluetooth packet monitor
hcitoolClassic BT inquiry & connection
gatttoolBLE GATT read/write
bettercap (BLE)BLE recon, spoofing
nRF SnifferBLE capture + Wireshark
BlueBorne PoCScanner untuk BlueBorne

20.3 Zigbee / IoT Tools

ToolFungsi
KillerbeeZigbee/802.15.4 attack toolkit
Zigbee2MQTTZigbee bridge to MQTT
CC2531Sniffer dongle + ZBOSS
nRF24L012.4 GHz sniffer (BT, Zigbee)
Proxmark3RFID, iClass, MiFare, keyless entry
RFCrackRolling code attack toolkit

20.4 SDR Tools

ToolFungsi
GNU RadioSDR framework (block diagram)
gr-osmosdrRTL-SDR / HackRF / USRP API
rtl_433433 MHz weather sensor decode
dump1090ADS-B decoder
GPS-SDR-SIMGPS signal generator
Yard Stick OneSub-1 GHz transceiver
Ubertooth OneBT/BLE hardware

21. Defense Strategy β€” 802.11w, EAP-TLS, Migrasi WPA3

21.1 802.11w β€” Protected Management Frames (PMF)

802.11w meng-add Robust Management Frame Protection β€” management frames tertentu dienkripsi:

  • Deauthentication β€” terproteksi, tidak bisa spoof
  • Disassociation β€” terproteksi
  • Action frames β€” terproteksi
# Enable PMF di hostapd (AP side)
wpa_key_mgmt=WPA-PSK-SHA256
ieee80211w=2  # 0=disable, 1=optional, 2=mandatory
 
# Client side (wpa_supplicant)
ieee80211w=2

21.2 EAP-TLS Migration

Enterprise sebaiknya migrasi dari PEAP/MSCHAPv2 ke EAP-TLS:

LangkahDetail
Setup PKIRoot CA, intermediate CA, server certs
Deploy Device CertMDM (Jamf/Intune) distribute cert ke device
RADIUS configFreeradius / NPS β€” validasi cert
Disable PEAPSetelah semua device migrasi
CRL/OCSPRevocation checking

21.3 WPA3 Migration Plan

1. Audit hardware β€” mana yang support WPA3?
   - WiFi 6 AP (802.11ax) β†’ support
   - WiFi 5 AP (802.11ac) β†’ firmware upgrade maybe
   - Client WiFi 5+ β†’ support SAE
 
2. Enable mixed mode (WPA2/WPA3 transitional)
   - AP announce both RSNE
   - Client auto-pilih yang terbaik
   - WARNING: Downgrade attack possible!
 
3. Pastikan semua device support:
   - Check client firmware
   - Update driver WiFi
 
4. Full WPA3 β€” disable WPA2 transitional
   - WPA3-Only mode
   - PMF mandatory
   - GCMP-256 cipher

21.4 Defense-in-Depth Wireless

flowchart TD
    subgraph Prevention
        A1[WPA3 + PMF Mandatory]
        A2[EAP-TLS for Enterprise]
        A3[802.11w Protected Frames]
        A4[NAC / 802.1X]
    end
    subgraph Detection
        B1[WIDS - Kismet]
        B2[WIPS - Airtight/Mist]
        B3[Rogue AP Scanning]
        B4[Deauth Flood Detection]
    end
    subgraph Response
        C1[Containment - Contain AP]
        C2[Block MAC / AM]
        C3[Incident Response]
        C4[Forensic Capture]
    end
    Prevention --> Detection --> Response

21.5 Checklist Keamanan Wireless

  • WPA3 atau WPA2 dengan PMF mandatory
  • SSID tidak menggunakan informasi sensitif
  • Guest network terisolasi dari internal
  • Disable WPS (jika masih WPA2)
  • Enable MAC whitelist (untuk controlled environment)
  • Implementasi 802.1X untuk enterprise
  • Rogue AP detection β€” Kismet atau AP controller hardware
  • Periodic wireless survey β€” spectrum analysis
  • Firmware update rutin untuk AP dan client
  • Disable unnecessary protocols β€” Bluetooth, WiFi Direct jika tidak dipakai
  • WiFi 6 upgrade β€” OFDMA dan BSS coloring mengurangi collision
  • Training user β€” jangan sembarangan connect WiFi publik

22. Referensi dan Bacaan Lanjutan

Academic Papers

  1. Vanhoef, M., & Piessens, F. (2017). Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2. β€” KRACK founding paper
  2. Vanhoef, M., & Ronen, E. (2019). Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd. β€” WPA3 vulnerability
  3. Armis Lab (2017). BlueBorne: The Bluetooth Attack Vector that Spreads Like a Parasite.
  4. Vanhoef, M., et al. (2019). KNOB: Key Negotiation of Bluetooth Attack.
  5. Vanhoef, M., et al. (2020). BIAS: Bluetooth Impersonation AttackS.

Books

JudulPenulisFokus
WiFi Security: Wireless Hacking with Kali LinuxVivek RamachandranWiFi pentest
The Hacker Playbook 3Peter KimWireless attack workflow
BlueHat Red TeamT. W., A. K.Red team wireless
RF Hacking: SDR for PentestersMike RyanSDR + wireless
802.11 Wireless Networks: The Definitive GuideMatthew Gast802.11 protocol

Repositori & Tools


Catatan Update

Dokumentasi ini diupdate per Juli 2026. Teknologi wireless terus berkembang β€” verifikasi terhadap standar terbaru jika digunakan untuk security assessment produksi. WPA3-2024 sudah mulai diadopsi, check update dari WiFi Alliance.