無線保真(WirelessFidelity)簡稱WiFi，作為WLAN網絡中運用的主流技術標準，也被稱為802.11x標準，是由美國電氣和電子工程師協會(InstituteofElectricalandElectronicsEngineers，IEEE)定義的一個無線網絡通信工業(yè)標準，其目的是改善基于802.11標準的無線網絡產品之間的互通性。

8.1有線等效保密協議(WEP)簡介

WEP(WiredEquivalentPrivacy，有線等效保密協議)是通過對稱加密對數據進行處理的。數據的加密、解密處理采用同一個密鑰。WEP包含一個簡單的基于挑戰(zhàn)與應答的認證協議和一個加密協議。

WEP協議的密鑰有兩種長度：40

b(5

B)和104

b

(13

B)。最初供應商提供的密鑰長度分別是64

b和128

b，但是密鑰中有24

b來表示初始向量(IV)，代表共享密鑰。24

b的初始向量在傳送時以明文方式發(fā)送，正常的用戶和攻擊者都可以輕易獲得，所以密鑰的實際有效長度為40

b或104

b。WEP的加密過程如圖8-1所示。

圖8-1WEP的加密過程

由于WEP協議存在認證機制簡單、初始向量太短、對弱密鑰沒有避免等問題，因此對WEP協議的破解相對簡單，目前已經較少使用。

對于攻擊者來說，有很多機會監(jiān)聽網絡并還原網絡加密的密鑰。當攻擊者獲得還原的WEP協議的密鑰時，就可以隨意訪問該網絡，可以看到每個用戶收發(fā)的數據，也可以向任何一個客戶端或AP接入點注入自己的數據包。

8.2無線偵察

8.2.1在Windows系統(tǒng)下對WiFi的偵察

1.網絡監(jiān)視器NetMon程序(被動型嗅探)在WindowsVista版本發(fā)布后，微軟公司清理了Windows上的無線應用程序接口。WindowsVista及以后版本的無線驅動程序主要針對NDIS6.0編譯。網絡驅動程序接口規(guī)范(NetworkDriverInterfaceSpecification，NIDS)是為微軟公司網絡接口設備驅動程序的編寫而設定的應用程序接口。

2.

AirPcap工具(被動型嗅探)

AirPcap是提供商業(yè)級監(jiān)測模式的產品。Wireshark可以很好地支持AirPcap軟件。(注：Wireshark是一款流行的網絡分析工具，可以捕捉網絡中的數據，并為用戶提供關于網絡和上層協議的各種信息。)針對不同需求的用戶，AirPcap產品包被分為多種配置組合，其中大部分支持數據包注入功能，且對程序開發(fā)者非常友好。

8.2.2在Linux系統(tǒng)下對WiFi的偵察

Kismet是一款針對802.11b的無線網絡嗅探器，可用來捕捉區(qū)域中無線網絡的相關信息，支持大多數無線網卡，可通過UDP、ARP、DHCP數據包自動實現網絡IP阻塞檢測，可通過CiscoDiscovery協議列出Cisco設備、弱加密數據包記錄、Ethereal和tcpdump兼容的數據包dump文件，繪制探測到的網絡圖和估計網絡范圍。

1.安裝和配置Kismet

Kismet不僅是一個被動型掃描器，還是一個802.11協議數據包捕獲和分析的框架。在Linux環(huán)境下安裝和配置Kismet的方法，在此不做贅述。

2.

Kismet應用方法

(1)啟動Kismet。

(2)激活WNIC，并將WNIC處于混雜模式。

(3)運行Kismet腳本。

(4)進入Kismet。

3.使用Kismet

(1)在GNOME下打開ShellTerminal，輸入Kismet，進入Kismet的panel模式界面。

(2)此時可觀察到覆蓋區(qū)內的802.11信號源，進入“選擇”的視圖。

(3)選中要查看的條目，按【回車】鍵獲得該條目對應的STA信息。

(4)返回“選擇”的視圖，可以查看該WLAN內所有客戶端的詳細信息，并可以獲得兩個有價值的信息：

①AP是否啟用了MAC地址訪問控制列表所能使用的MAC地址。

②該WLAN所使用的IP段(該類型的信息依靠捕捉ARP包來實現)。

(5)安全退出Kismet。Kismet中包含大量有價值的信息，例如：

cisco：Cisco的CDP協議廣播統(tǒng)計信息。

csv：以CSV格式保存的檢測到的網絡信息。

gps：GPS的輸出信息。

network：保存檢測到的網絡信息。

weak：保存用于WEP破解的缺陷數據包(以airsnort格式保存)。

xml：保存上述的network和cisco的日志(以XML格式保存)。

8.2.3在OS

X系統(tǒng)下對WiFi的偵察

在OS

X下使用KisMAC工具對WiFi進行偵察，步驟如下：

(1)下載并啟動KisMAC軟件。

(2)打開“偏好(Preferences…)設置”，如圖8-2所示。

圖8-2偏好設置

如果使用的是MAC自帶的無線網卡airport或extremeairport，則從下拉菜單中選擇加入相關驅動；如果使用的是外接網卡，則需要到官網了解支持的芯片類型。此處使用的是以r73為主芯片的USB網卡。加載對應的驅動文件，選擇“useasprimarydevice”選項，如圖8-3所示。

圖8-3外接網卡所需操作

(3)開始搜索網絡：選擇主菜單右下角的“startscan”程序開始搜索。一段時間后，將收集到周邊的各類網絡。例如，此處收集到了大概60個各類的無線網絡，如圖8-4所示。

圖8-4搜索到的網絡列表

(4)數據收集：雙擊選中的網絡，可以看到詳細信息，如圖8-5所示。

圖8-5所選網絡信息

①從左側數據項中找到mainchannel。本例中是在6信道，將搜索頻道調到6信道上，如圖8-6所示。

圖8-6調整搜索頻道

②如果不知道網絡名，則進行如圖8-7所示的操作。點擊Network選擇Deauthenticate選項。

圖8-7網絡名未知所采取措施

③如果信號強度不足、數據接收少，則進行如圖8-8所示的操作。點擊Network選擇Flooding00:21:27:5C:0C:92選項。

圖8-8信號弱、數據少時采取的措施

④如果信道數據包注入的比較少，則需要進行反注入加速收集IVs，可選擇Network→ReinjectPackets。

(5)破解密碼：對于40

b加密的WEP加密網絡，可以利用弱強度字符集攻擊進行破解，如圖8-9所示。

圖8-9WEP密鑰破解

破解成功后，即可在左側的數據項Key中看到十六進制下的網絡密碼和ASCII碼制的Key，如圖8-10所示。

注意：40

b需要100

000個以上的UniqueIVs才可進行有效破解。如果破解不成功，可以嘗試其他破解方式，如純暴力破解，40

b的暴力破解需要8個以上的數據包。

圖8-10獲得密鑰

8.3解除用戶認證獲得隱藏的服務集標識符

8.3.1在Android系統(tǒng)中加載一個解除認證的攻擊在Android系統(tǒng)中上加載解除認證的攻擊的方法是在Linux系統(tǒng)通過aireplay-ng程序來完成的。aireplay-ng是一種包含在Aircrack-ng軟件工具包中的應用工具。假設被攻擊站點的MAC地址是00:23:6C:98:7C:7C，在信道1上與無線網絡關聯，其“基本服務集標識”值是10:FE:ED:40:95:B5。

最終客戶端將看到在它的網絡連接中有一個停頓，隨后客戶端重新關聯AP接入點。在用戶這樣操作的時候，Kismet軟件會在用戶的探測請求(proberequest)數據包和關聯請求(associationrequest)數據包中觀察到“服務集標識”。此后，如果網絡使用“WiFi保護訪問”，用戶將重新關聯。此時客戶端完成了四次握手，又可以繼續(xù)處于在線狀態(tài)。

8.3.2在iOS系統(tǒng)中加載一個解除認證的攻擊

目前，只有KisMAC軟件可以實現在OSX操作系統(tǒng)上的數據包注入功能。KisMAC當前支持注入功能的網卡都使用prism2、RT73、RT2570和RTL8187芯片組。但是KisMAC不支持OSX內置的airport卡。

假設已有一個支持數據包注入設備，并在KisMAC中加載了正確的驅動程序，那么要開始攻擊一個無線網絡，只需要單擊菜單“網絡(Network)”→“解除認證(Deauthenticate)”即可。

KisMAC隨即不斷發(fā)送解除認證數據包到廣播地址直到KisMAC停止。如果使用的KisMAC沒有出現解除認證的菜單項，說明驅動程序不對或配置錯誤。此時需要仔細檢查并確認驅動程序支持數據包注入，并確保在KisMAC的當前驅動的“偏好”窗口(Preferences…)中“作為主設備使用(useasprimarydevice)”的復選框被選中。

8.4破解MAC地址過濾

8.4.1在Linux系統(tǒng)中破解MAC地址過濾大部分無線網絡接口和部分有線網絡接口允許動態(tài)修改MAC地址，MAC地址僅作為“ifconfig”命令使用時的參數。例如，在Linux操作系統(tǒng)中，要設置MAC地址為00:11:22:33:44:55，只需執(zhí)行如圖8-11所示的操作即可。圖8-11設置MAC地址

8.4.2在Windows系統(tǒng)中破解MAC地址過濾

通過在Windows系統(tǒng)中手動運行“regedit”命令可以達到修改無線網卡的MAC地址的目的，具體步驟如下：

(1)運行regedit命令，定位到節(jié)點：“HKLM\SYSTEM\CurrentControlSet\Control\Class\

{4D36E972-E325-11CE-BFC1-08002bE10318}”。

(2)找到該位置后，則可找到所有無線網卡的列表，其中主鍵(key)包括了網卡描述，從中可以找到需要的網卡。

(3)找到需要的網卡之后，創(chuàng)建新的主鍵。命名為NetworkAddress，其類型為REG_SZ。

(4)輸入期望的12位MAC地址。

8.4.3在OSX系統(tǒng)中破解MAC地址過濾

在OSX操作系統(tǒng)的10.5版本中，Apple公司允許用戶以一種類似于Linux系統(tǒng)中的操作方式修改MAC地址。可以通過“airport-z”命令完成斷開網卡或斷開任何網絡的連接，如圖8-12所示。

圖8-12修改MAC地址

8.5

WEP密鑰還原攻擊

攻擊者有很多機會監(jiān)聽網絡并還原出網絡加密的密鑰，若攻擊者獲得還原出的有線等效保密協議的密鑰，就可以隨意訪問該網絡。攻擊者可以查看每個人收發(fā)的數據，并向任何客戶端或AP接入點注入攻擊者的數據包。實施有線等效保密協議的密鑰還原的具體流程如圖8-13所示。該圖描述的都是每種還原有線等效保密協議密鑰方法的最簡路徑。圖8-13有線等效保密協議的密鑰還原

8.5.1基于FiOS的SSIDWEP密鑰還原

如圖8-13所示，破解有線等效保密協議密鑰的最簡單方法是和FiOS路由器合作一起攻擊。FiOS是Verizon公司“光纖到戶”的互聯網服務，很多舊款的FiOS路由器都使用了容易受到攻擊的有線等效保密協議認證。

FiOS的服務區(qū)域中包含AP接入點。AP接入點的名稱通常遵循以下模式：C7WAO、3RA18或BJ220。AP接入點的服務集標識是路由器通過一個簡單的函數功能調用生成的，該值是從基本服務集標識中(即網卡的MAC地址)衍生出來的。此外，存在的一個安全隱患是該路由器的有線等效保密協議認證使用的默認密鑰是由某個函數調用完成的，即默認密鑰是從基本服務集標識中衍生出來的。

8.5.2FMS方式破解WEP密鑰

2001年，Fluhrer、Mantin和Shamir(首字母合稱為FMS)發(fā)表了一篇論文，文中論述了在RC4的密鑰調度算法(KSA)中的一個漏洞，即有線等效密鑰協議認證中所使用的RC4算法是流密碼算法，該算法會讓使用有線等效密鑰協議認證機制的服務器成為針對這一漏洞的攻擊目標。

導致此問題的關鍵是有線等效保密協議認證如何在每個數據包中使用初始向量(IV)。在有線等效保密協議認證時，發(fā)送方使用RC4算法加密數據包，在發(fā)送給RC4發(fā)送密鑰之前，先將IV轉化成加密的值，而該加密的值又會填在數據包中，意味著攻擊者在每個數據包中，都可以獲得一個“保密”的密鑰的前三個字節(jié)。只要收集足夠多的弱的IV，通過暴力破解，就可以使密鑰浮現出來。FMS攻擊方式的破解時間取決于CPU的運算能力。

8.5.3PTW方式破解WEP密鑰

2005年，AndreasKlei提出了關于RC4的另一個問題。Darmstadt大學的研究者Pyshkin、Tews和Weinmann(合稱PTW)將這項研究應用到針對有線等效保密協議認證的攻擊上，并設計了攻擊軟件，名為aircrack-ptw。隨后，該程序的增強版被合并到aircrack-ng攻擊工具包中，并成為其默認的配置。

PTW攻擊方式在還原密鑰時，不需要考慮任何弱的IV，只需獲得幾個值得關注的數據包，就可以對其密鑰進行還原。因此當PTW方式還原密鑰時，工作量與CPU關系不大。PTW攻擊方式只需要幾秒鐘的CPU運行時間，就可以還原出有線等效保密協議的密鑰。

8.6Wifite

Wifite是一款自動化Wep和Wpa破解工具。其特點是：可以同時攻擊多個采用Wep和Wpa加密的網絡，下面介紹該工具的使用方法。

1.在“WiFi小菠蘿”上安裝Wifite

Wifite軟件的最大優(yōu)點是可以事先預配置一個目標清單，讓Wifite在無人值守的情況下按清單中的每一條自動操控aircrack-ng的進程。隨后，Wifite會根據列表中的任務完成每一項破解工作。如果Wifite完成了目標清單列表中第一項的破解工作，就會自動切換到目標清單中的下一條。這種自動運行的特性對于一些嵌