無線網(wǎng)絡(luò)設(shè)備攻擊技術(shù)白皮書 Blog：Email：longaslast@126.com歡迎拍磚、交流、合作及其它事宜，新書《無線網(wǎng)絡(luò)安全攻防進(jìn)階》籌備中，即將推出！感謝一直以來的支持！！慶幸的。不過貌似令人遺憾的是，對于個(gè)別廠商的某些型號無線設(shè)備而言，攻擊者甚至無需驗(yàn)證即可直接下載該設(shè)備幾乎全部的配置頁面。如下圖13所示，使用某款整站下載工具將該設(shè)備配置頁面全部強(qiáng)制下載到本地，除了個(gè)別報(bào)錯(cuò)外，其它主要的頁面都已經(jīng)下載到本地。圖13打開管理頁面的源代碼，如下圖14所示，在黑框處可以看到在“http_passwd”旁，“value=”后面顯示的就是加密過的管理員密碼“Y2pjaG53cw==”圖14在源文件中上下拉動(dòng)查找“http_passwd”相關(guān)的定義信息，可以看到如下圖15所示內(nèi)容，在對于“http_passwd”的加密方式有著明確的定義，即使用base64編碼方式。圖15既然已經(jīng)獲知了管理員密碼“Y2pjaG53cw==”是經(jīng)過base64加密的，那么接下來只需要使用base64的解碼工具即可還原出密碼。如下圖16所示，在“Base64encryptedpassword”欄輸入之前獲取的管理員密碼“Y2pjaG53cw==”，在其下方的“Decryptedpassword”欄就會(huì)立即顯示出實(shí)際對應(yīng)的密碼為“cjchnws”。這樣，我們就成功地得到了無線路由器的管理員密碼。圖16那么，作為攻擊者而言，真正的滲透就可以開始了。不但可以在以后隨意登錄無線路由器，還可以設(shè)定端口映射，設(shè)置多個(gè)SSID廣播，設(shè)置多個(gè)備選WEP加密密碼等。這個(gè)無線路由器從此也就宣告著徹底地陷落，而對于該無線網(wǎng)絡(luò)而言，只是出現(xiàn)了一個(gè)臨時(shí)中斷的情況，這在平時(shí)也是偶然會(huì)發(fā)生的情況，所以絕大多數(shù)無線用戶還根本不知道發(fā)生了什么事！6．UPNP攻擊微軟給出的解釋：通用即插即用(UPnP)是一種用于PC機(jī)和智能設(shè)備(或儀器)的常見對等網(wǎng)絡(luò)連接的體系結(jié)構(gòu)，尤其是在家庭中。UPnP以Internet標(biāo)準(zhǔn)和技術(shù)(例如TCP/IP、HTTP和XML)為基礎(chǔ)，使這樣的設(shè)備彼此可自動(dòng)連接和協(xié)同工作，從而使網(wǎng)絡(luò)(尤其是家庭網(wǎng)絡(luò))對更多的人成為可能。關(guān)于UPNP的結(jié)構(gòu)和作用我就不再廢話了，這方面的資料很多，大家可以Google或者baidu一下會(huì)有很多收獲。這里我要提示的是，要知道，對于絕大多數(shù)無線路由器而言，UPNP默認(rèn)是開啟的。無線黑客們除了可以使用UPNP工具輕松地查看無線路由器的基本信息外，還可以查看詳細(xì)的網(wǎng)絡(luò)設(shè)備資料，比如公司名稱、產(chǎn)品類型、設(shè)備型號、內(nèi)部設(shè)計(jì)號等。該參數(shù)將有助于無線黑客判斷出具體的無線網(wǎng)絡(luò)設(shè)備型號。為了方便大家查看及參考，下面我就以目前市面上較為流行的日產(chǎn)BUFFALO無線設(shè)備為例?！霾榭碆UFFALO無線設(shè)備資料由下圖17所示，在最上面“InternetGatewayDevice”標(biāo)識下，可以看到在“manufacturerURL”即制造商網(wǎng)址處給出了buffalo廠商的日本官網(wǎng)，而在下方“modelName”處顯示為WHR-HP-G54，即該設(shè)備的具體型號。在“friendlyName”和“modeDescription”處，可以看到顯示為BUFFALOWHR-HP-G54Router，即為BUFFALO的無線路由器產(chǎn)品，該型號可以在網(wǎng)上直接查到。同樣地，知道了具體型號，對于無線黑客而言，就可以根據(jù)該型號進(jìn)行其它漏洞的查詢。圖17■獲取外網(wǎng)連接狀態(tài)無線黑客可以通過UPNP獲取當(dāng)前路由器外部網(wǎng)絡(luò)連接狀態(tài)，如下圖18所示內(nèi)容。其中，在“NewConnectionStatus”處顯示為Disconnected，即沒有與外部網(wǎng)絡(luò)連接。圖18■查看路由器外網(wǎng)連接IP無線黑客可以通過UPNP獲取當(dāng)前路由器外部網(wǎng)絡(luò)連接IP地址，如下圖19所示內(nèi)容。其中，在“NewExternalIPAddress”處顯示為29，這個(gè)就是該無線路由器接入的外部地址，也就是真正的企業(yè)/機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)地址。圖19■查看端口映射狀態(tài)在成功添加完畢端口映射后，無線黑客可以通過UPNP獲取當(dāng)前路由器端口映射情況，如下圖20所示內(nèi)容。圖207．SNMP攻擊SNMP(SimpleNetworkManagementProtocol,簡單網(wǎng)絡(luò)管理協(xié)議)是專門設(shè)計(jì)用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點(diǎn)（服務(wù)器、工作站、路由器、交換機(jī)及HUB等）的一種標(biāo)準(zhǔn)協(xié)議，它是一種應(yīng)用層協(xié)議。SNMP使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過SNMP接收隨機(jī)消息（及事件報(bào)告）網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。由于SNMP的效果顯著，所以網(wǎng)絡(luò)硬件廠商開始把SNMP加入到它們制造的每一臺設(shè)備。今天，各種網(wǎng)絡(luò)設(shè)備上都可以看到默認(rèn)啟用的SNMP服務(wù)，從交換機(jī)到路由器，從防火墻到網(wǎng)絡(luò)打印機(jī)，無一例外。那么目前在SNMP上造成威脅的主要問題是許多廠商安裝的SNMP都采用了默認(rèn)的通信字符串，這些通信字符串是程序獲取設(shè)備信息和修改配置必不可少的。采用默認(rèn)通信字符串的好處是網(wǎng)絡(luò)上的軟件可以直接訪問設(shè)備，無需經(jīng)過復(fù)雜的配置。通信字符串主要包含兩類命令：GET命令，SET命令。GET命令從設(shè)備讀取數(shù)據(jù)，這些數(shù)據(jù)通常是操作參數(shù)，例如連接狀態(tài)、接口名稱等。SET命令允許設(shè)置設(shè)備的某些參數(shù)，這類功能一般有限制，例如關(guān)閉某個(gè)網(wǎng)絡(luò)接口、修改路由器參數(shù)等功能。但很顯然，GET、SET命令都可能被用于拒絕服務(wù)攻擊（DoS）和惡意修改網(wǎng)絡(luò)參數(shù)。■修改網(wǎng)絡(luò)設(shè)備參數(shù)最常見的默認(rèn)通信字符串是public（只讀）和private（讀/寫），除此之外還有許多廠商私有的默認(rèn)通信字符串。幾乎所有運(yùn)行SNMP的網(wǎng)絡(luò)設(shè)備上，都可以找到某種形式的默認(rèn)通信字符串。如下圖21所示，在默認(rèn)情況下，該網(wǎng)絡(luò)設(shè)備名稱為“2_WAN_QOS_Router”圖21如下圖22所示為使用默認(rèn)字符串修改后的無線網(wǎng)絡(luò)設(shè)備名稱，可以看到，名稱已經(jīng)改為“2_WAN_ZerOne_Router”，并且所在位置一欄也被修改為“ZerOneSecurityTeam”，甚至聯(lián)系方式也被改為longaslast@。圖22■截獲SNMP字符串SNMP2.0和SNMP1.0的安全機(jī)制比較脆弱，通信不加密，所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。無線黑客一旦捕獲了網(wǎng)絡(luò)通信，就可以利用各種嗅探工具直接獲取通信字符串，即使用戶改變了通信字符串的默認(rèn)值也無濟(jì)于事。如下圖23所示為在一個(gè)2層無線網(wǎng)絡(luò)環(huán)境中截獲用戶對上層設(shè)備配置的SNMP字符串。圖23近幾年才出現(xiàn)的SNMP3.0解決了一部分問題。為保護(hù)通信字符串，SNMP3.0使用DES（DataEncryptionStandard）算法加密數(shù)據(jù)通信；另外，SNMP3.0還能夠用MD5和SHA（SecureHashAlgorithm）技術(shù)驗(yàn)證節(jié)點(diǎn)的標(biāo)識符，從而防止無線黑客冒充管理節(jié)點(diǎn)的身份操作網(wǎng)絡(luò)。雖然SNMP3.0出現(xiàn)已經(jīng)有一段時(shí)間了，但目前還沒有廣泛應(yīng)用。如果設(shè)備是2、3年前的產(chǎn)品，很可能根本不支持SNMP3.0；甚至有些較新的設(shè)備也只有SNMP2.0或SNMP1.0。即使設(shè)備已經(jīng)支持SNMP3.0，許多廠商使用的還是標(biāo)準(zhǔn)的通信字符串，這些字符串對黑客組織來說根本不是秘密。因此，雖然SNMP3.0比以前的版本提供了更多的安全特性，如果配置不當(dāng)，其實(shí)際效果仍舊有限。8．Config文件泄露對于無線路由器來說，所有已經(jīng)執(zhí)行的設(shè)置都已經(jīng)保存在備份文件中，而一些不夠嚴(yán)謹(jǐn)?shù)脑O(shè)備，對于內(nèi)網(wǎng)中發(fā)出的下載請求會(huì)默認(rèn)允許通過，如目前市面上流行的多款韓國的IPTime無線路由器都存在這樣一個(gè)漏洞，就是未經(jīng)驗(yàn)證即可下載配置文件。無線黑客只要輸入下述地址：/config.cfg，就可以從沒有登錄的無線路由器上直接下載該路由器的配置備份文件。如下圖24所示。圖24而在對config文件進(jìn)行分析后，雖然絕大多數(shù)路由器廠商都使用了自己的加密措施，但是在使用一些分析工具后，還是能夠獲取到一些敏感的配置信息，甚至是一些該網(wǎng)絡(luò)設(shè)備的具體配置參數(shù)。如下圖25為在Linux下進(jìn)行簡單的16進(jìn)制碼查看。圖25再拋磚引玉一下，自行制作設(shè)置好的config文件，在攻擊時(shí)直接覆蓋目標(biāo)無線設(shè)備的原配置文件，是一種極為快速的入侵方式和技巧，請感興趣的朋友仔細(xì)體會(huì)。9．無線D.O.S攻擊和傳統(tǒng)的有線網(wǎng)絡(luò)一樣，無線路由器也會(huì)面臨無線D.O.S攻擊的威脅。先簡單說明一下原理。IEEE802.11定義了一種客戶端狀態(tài)機(jī)制，用于跟蹤工作站身份驗(yàn)證和關(guān)聯(lián)狀態(tài)。無線客戶端和AP基于IEEE標(biāo)準(zhǔn)實(shí)現(xiàn)這種狀態(tài)機(jī)制，如下圖11-16所示。成功關(guān)聯(lián)的客戶站停留在狀態(tài)3，才能進(jìn)行無線通信。處于狀態(tài)1和狀態(tài)2的客戶站在通過身份驗(yàn)證和關(guān)聯(lián)前無法參與WLAN數(shù)據(jù)通信過程。在下圖26中，無線客戶端根據(jù)它們的關(guān)聯(lián)和認(rèn)證狀態(tài)，可以為3種狀態(tài)中的任意一種。如下表2內(nèi)容所示。圖26表2狀態(tài)機(jī)制 客戶端狀態(tài)客戶端具體表現(xiàn)備注State1Unauthenticated沒有通過驗(yàn)證，沒有和AP建立關(guān)聯(lián)無線客戶端處于搜索及試圖連接AP階段UnassociatedState2Authenticated通過驗(yàn)證，沒有和AP建立關(guān)聯(lián)無線客戶端已經(jīng)輸入正確的連接密碼并等待UnassociatedState3Authenticated通過驗(yàn)證，和AP建立關(guān)聯(lián)無線客戶端被允許連接Associated（AP自動(dòng)分配地址）在獲知了無線網(wǎng)絡(luò)連接原理后，無線D.O.S原理也就很好理解了，不過由于無線D.O.S的分類太多，為方便大家查看，下面我舉幾個(gè)常見的無線D.O.S類型。■取消驗(yàn)證洪水攻擊取消驗(yàn)證洪水攻擊，國際上稱之為De-authenticationFloodAttack，全稱即取消身份驗(yàn)證洪水攻擊或驗(yàn)證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式，它旨在通過欺騙從AP到客戶端單播地址的取消身份驗(yàn)證幀來將客戶端轉(zhuǎn)為未關(guān)聯(lián)的/未認(rèn)證的狀態(tài)。對于目前廣泛使用的無線客戶端適配器工具來說，這種形式的攻擊在打斷客戶端無線服務(wù)方面非常有效和快捷。一般來說，在無線黑客發(fā)送另一個(gè)取消身份驗(yàn)證幀之前，客戶站會(huì)重新關(guān)聯(lián)和認(rèn)證以再次獲取服務(wù)。無線黑客反復(fù)欺騙取消身份驗(yàn)證幀才能使所有客戶端持續(xù)拒絕服務(wù)。為方便大家理解，我繪制了取消身份驗(yàn)證洪水攻擊原理圖，在下圖27中可看到無線黑客為了將所有已連接的無線客戶端“踢下線”，對整個(gè)無線網(wǎng)絡(luò)發(fā)送了偽造的取消身份驗(yàn)證報(bào)文。圖圖27無線黑客們通過發(fā)送Deauthentication取消驗(yàn)證數(shù)據(jù)包文，達(dá)到中斷已連接的合法無線客戶端正常通信的目的，并在長時(shí)間持續(xù)大量發(fā)送此類報(bào)文的基礎(chǔ)上，使得無線網(wǎng)絡(luò)一直處于癱瘓狀態(tài)?？梢允褂玫墓ぞ哂泻芏?，比如在Linux下比較有名的MDK2/3，或者早一點(diǎn)的Void11等，我們也可以使用aireplay-ng的其中一個(gè)參數(shù)-0配合實(shí)現(xiàn)。注意該攻擊發(fā)包速率并不會(huì)維持在某個(gè)固定數(shù)值，而是根據(jù)網(wǎng)卡性能等情況維持在15~100個(gè)包每秒這樣一個(gè)范圍。如下圖28所示，發(fā)包速率為76個(gè)每秒。圖28在察覺到網(wǎng)絡(luò)不穩(wěn)定時(shí)，管理員應(yīng)該立即著手捕獲數(shù)據(jù)包并進(jìn)行分析，這樣可以便于迅速判斷攻擊類型。下圖29所示為無線網(wǎng)絡(luò)在遭到Deauth攻擊出現(xiàn)不穩(wěn)定狀況時(shí)，使用Wireshark抓包的結(jié)果分析，可以看到有大量連續(xù)的包含802.11Deauthentication標(biāo)示的數(shù)據(jù)報(bào)文出現(xiàn)。圖29需要注意的是，伴隨著Deauthentication數(shù)據(jù)包的出現(xiàn)，隨之出現(xiàn)的就是大量的Disassociation數(shù)據(jù)包，這是因?yàn)橄热∠?yàn)證，自然就會(huì)出現(xiàn)取消連接，也就是斷開連接的情況了?！鲫P(guān)聯(lián)洪水攻擊關(guān)聯(lián)洪水攻擊，國際上稱之為AssociationFloodAttack，全稱即關(guān)聯(lián)洪水（泛洪）攻擊，通常被簡稱為Asso攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式。它試圖通過利用大量模仿的和偽造的無線客戶端關(guān)聯(lián)來填充AP的客戶端關(guān)聯(lián)表，從而達(dá)到淹沒AP的目的。恩，這么說吧，由于開放身份驗(yàn)證（空身份驗(yàn)證）允許任何客戶端通過身份驗(yàn)證然后關(guān)聯(lián)。利用這種漏洞的無線黑客可以通過創(chuàng)建多個(gè)到達(dá)已連接或已關(guān)聯(lián)的客戶端來模仿很多客戶端，從而淹沒目標(biāo)AP的客戶端關(guān)聯(lián)表。同樣為方便大家理解，可以參考下面我繪制的圖30所示?？梢钥吹?，當(dāng)客戶端關(guān)聯(lián)表溢出后，合法無線客戶端將無法再關(guān)聯(lián)，于是就形成了拒絕服務(wù)攻擊。圖圖30一旦無線路由器/接入點(diǎn)的連接列表遭到泛洪攻擊，接入點(diǎn)將不再允許更多的連接，并會(huì)因此拒絕合法用戶的連接請求。當(dāng)然，還有一種可能是無線黑客集合了大量的無線網(wǎng)卡，或者是改裝的集合大量無線網(wǎng)卡芯片的捆綁式發(fā)射機(jī)（類似于我們常說的“短信群發(fā)器”），進(jìn)行大規(guī)模連接攻擊的話，對于目前廣泛使用的無線接入設(shè)備，也將是很有效果的。當(dāng)無線網(wǎng)絡(luò)遭受到此類攻擊時(shí)，我們可以對當(dāng)前無線網(wǎng)絡(luò)進(jìn)行監(jiān)測和分析，就能夠看到如下圖31所示的情形：遭到洪泛攻擊的接入點(diǎn)網(wǎng)絡(luò)數(shù)據(jù)，出現(xiàn)了大量無法驗(yàn)證的無線客戶端MAC及請求。圖31■RF干擾攻擊如果說前面幾種D.O.S攻擊時(shí)還是主要基于無線通信過程及協(xié)議的話，那么RF干擾攻擊就是完全不同的一種攻擊方式了。RF干擾攻擊，國際上稱之為RFJammingAttack，在個(gè)別老外寫的文章中有時(shí)也稱之為RFDisruptionAttack，該攻擊是通過發(fā)出干擾射頻達(dá)到破壞正常無線通信的目的。其中，RF，全稱為RadioFrequency，即射頻，主要包括無線信號發(fā)射機(jī)及收信機(jī)等。在通信領(lǐng)域，關(guān)于無線信號干擾和抗干擾對策一直是主要研究方向之一。這個(gè)其實(shí)很好理解，這類工具大家也可能都見過或者聽說過，就好比說考四六級英語，我們常看到報(bào)紙上提及的那個(gè)“手機(jī)信號屏蔽器”就是類似的東西，如下圖32所示為國內(nèi)目前正在使用的手機(jī)干擾機(jī)，只要一打開，就可以保證半徑為幾十或者幾百米之內(nèi)所有的手機(jī)無法連接基站，原理完全一樣，只不過“手機(jī)信號屏蔽器”的覆蓋頻率只涉及了GSM或者CDMA工作頻段而已。下圖33所示為車載手機(jī)/GPS多功能干擾機(jī)。圖32