Quiero crear un honeypot que detecte los ataques KRACK. ¿Hay alguna forma de detectar ese tipo de ataque, hay algún rastro, alguna información almacenada en los archivos de registro (por ejemplo, syslog) que diga: "Está bajo el ataque de KRACK"?
Una tarjeta WiFi en modo monitor (dadas las circunstancias correctas, la identificación está dentro del alcance del cliente, el AP y el atacante) recogerá el tercer paso repetido del saludo.
Una regla de filtro podría encontrar dichos paquetes y desencadenar una alerta.
No hay nada en los registros (generalmente configurados) o de otra manera persistente al ataque mismo.
Esta no es una respuesta directa, pero creo que puede ayudar mucho en su caso. Aquí hay un script que puede detectar si su AP WIFI es vulnerable a HRACK:
Este script prueba si los APs están afectados por CVE-2017-13082 (ataque KRACK)
El script fue hecho por uno de los autores originales de KRACK.