Jak wiadomo, wrogie punkty dostępowe używane są do przechwytywania informacji wymienianych między bezprzewodowymi klientami i obsługującymi ich punktami dostępowymi. Wrogi punkt dostępowy jest postrzegany przez klienta jako prawdziwy, gdyż ma tę samą nazwę, identyfikator SSID, a nawet adres MAC. Na dodatek emitowane przez niego sygnały radiowe są często silniejsze od tych emitowanych przez prawdziwy punkt dostępowy, dlatego bezprzewodowy klient nawiązuje łączność właśnie z nim.

Oprogramowanie EvilAP_Defender identyfikuje wrogie punkty dostępowe sprawdzając parametry wszystkich działających w otoczeniu danej sieci Wi-Fi punktów. Po pierwszym uruchomieniu aplikacji, podejmuje ona pracę w trybie uczenia się (learning mode). Oprogramowanie identyfikuje wtedy prawdziwy punkt dostępowy (albo prawdziwe , jeśli jest ich wiele) umieszcza go na tzw. białej liście (white list).

Zobacz również:

• Netgear wkracza z Wi-Fi 7 dla klientów biznesowych
• Hakerzy włamali się do znanego polskiego sklepu internetowego

Gdy oprogramowanie w kolejnym podejściu stwierdzi, że w pobliżu działa inny punkt dostępowy, posługujący się tymi samymi identyfikatorami, co prawdziwy punkt dostępowy umieszczony na białej liście, powiadamia o tym fakcie administratora, np. za pośrednictwem poczty e-mail czy wiadomości SMS.

Oprogramowanie EvilAP_Defender może też w takim momencie przejść do ataku, przechodząc na specjalny tryb pracy (preventive mode). Narzędzie może wtedy inicjować automatycznie (jeśli zostanie tak skonfigurowane przez administratora) atak typu DoS (Denial-of-Service), ukierunkowany na wrogi punkt dostępowy.

Do uruchomienia narzędzia potrzebny jest pakiet Aircrack-ng, wspierająca go bezprzewodowa karta sieciowa oraz środowisko „runtime” Python (program EvilAP_Defender jest napisany w tym języku).