|
|
只要你要上网的附近有无线局域网而它又加了密码,可用此法一试,不过不要用于非法目的哟% X! S$ C+ G7 n& ?+ o
无线网络WEP 的破解过程WLAN 技术出现之后,“安全”就成为始终伴随在“无线”这个词身边的影子,针对无线网络技术中涉及的安全认证加密协议的攻击与破解就层出不穷。现在,因特网上可能有数以百计,甚至以千计的文章介绍关于怎么攻击与破解WEP,但有多少人能够真正地成功攻破WEP 的加密算法呢?下面笔者来给大家介绍一些关于WEP 加密手段的知识,以及就是菜鸟只要按照步骤操作也可成功破解
+ E, d+ W1 D" Z1 z, gWEP 密钥的方法。当然最终的目的还是为了让记者做好安全设置对破解更好的进行防范。' D# P. s& f2 D% z. k* b% F$ g: G
本系列文章共两篇,在第一篇里主要介绍破解WEP 的方法,第二篇里介绍如何设置WLAN的安全设置来进行更好的防范。4 b- g3 J. c$ J$ O5 {$ R
, W- a2 i V0 Q% h% T5 [- f一、WEP:无线网络安全最初的保护者, j) h4 p6 a% P3 T
相对于有线网络来说,通过无线局域网发送和接收数据更容易被窃听。设计一个完善的无线局域网系统,加密和认证是需要考虑的两个必不可少的安全因素。无线局域网中应用加密和认证技术的最根本目的就是使无线业务能够达到与有线业务同样的安全等级。针对这个目标,IEEE802.11 标准中采用了WEP(Wired Equivalent Privacy:有线对等保密)协议来设置专门的安全机制,进行业务流的加密和节点的认证。它主要用于无线局域网中链路层信息数据的保密。WEP 采用对称加密机理,数据的加密和解密采用相同的密钥和加密算法。; |4 m# c/ z$ F$ C
WEP 使用加密密钥(也称为 WEP 密钥)加密 802.11 网络上交换的每个数据包的数据部分。启用加密后,两个 802.11 设备要进行通信,必须具有相同的加密密钥,并且均配置为使用加密。如果配置一个设备使用加密而另一个设备没有,则即使两个设备具有相同的加密密钥也无法通信。(如图一所示)
$ t* |& A: ^9 w/ R图一:WEP 加密, }/ C; W3 G" x6 u ~
6 ^2 F5 x L9 _2 ?" mWEP 加密过程# x$ \- _/ h# H- L- T- P
WEP 支持 64 位和128 位加密,对于 64 位加密,加密密钥为 10 个十六进制字符(0-9 和 A-F)或 5 个 ASCII 字符;对于 128 位加密,加密密钥为 26 个十六进制字符或13 个 ASCII 字符。64 位加密有时称为 40 位加密;128 位加密有时称为 104 位加密。152位加密不是标准 WEP 技术,没有受到客户端设备的广泛支持。WEP 依赖通信双方共享的密钥来保护所传的加密数据帧。其数据的加密过程如下。: u6 w8 L- I' l3 w, U' |8 k* c
1、计算校验和(Check Summing)。
( A( U# }6 T6 M8 K/ l' l(1)对输入数据进行完整性校验和计算。" n/ Q% K* a6 u
(2)把输入数据和计算得到的校验和组合起来得到新的加密数据,也称之为明文,明文作为下一步加密过程的输入。 y* u# E0 q* u& P
2、加密。在这个过程中,将第一步得到的数据明文采用算法加密。对明文的加密有两层含义:明文数据的加密,保护未经认证的数据。5 w6 |" c( W- Y4 a( g- Z
(1)将24 位的初始化向量和40 位的密钥连接进行校验和计算,得到64 位的数据。+ M1 D! B8 X% Q9 r/ r! A s
(2)将这个64 位的数据输入到虚拟随机数产生器中,它对初始化向量和密钥的校验和计算值进行加密计算。
, ]/ n9 q$ A1 l3 l(3)经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息,即密文。- o+ Y8 e2 Y4 T4 s& I
3、传输。将初始化向量和密文串接起来,得到要传输的加密数据帧,在无线链路上传输。(如图二所示)
9 N, v! E/ z* Z' M, N3 b2 g- m图二:WEP 加密过程# R! H: b- {# ] |4 X, u
WEP 解密过程! L" I7 [6 k* F* j9 T
在安全机制中,加密数据帧的解密过程只是加密过程的简单取反。解密过程如下。
4 u$ U! L/ K6 G, H. e1、恢复初始明文。重新产生密钥流,将其与接收到的密文信息进行异或运算,以恢复初始明文信息。
u& Z7 x; _+ d0 u" ?* B3 t$ J1 w7 V2、检验校验和。接收方根据恢复的明文信息来检验校验和,将恢复的明文信息分离,重新计算校验和并检查它是否与接收到的校验和相匹配。这样可以保证只有正确校验和的数据帧才会被接收方接受。7 I. S7 [$ e1 ^8 _: p+ b
/ V' M" X) s! V8 [- ^6 J图三:WEP 解密过程" s6 d% L# T3 K. \8 u5 O
二、破解WEP 密钥前的准备工作6 z1 }* U& K' v5 j! [
在以下的两部分内容内,笔者将逐步地向大家介绍关于怎样来破解WEP 的密钥的方法。这种方法并不需要什么特别的硬件设备,仅仅只需两台(只有一台也可)带有无线网卡的笔记本而已,整个攻击过程所使用的也只是一些共享和自由软件,并不需什么相当专业的工具。看懂这篇文章和学会操作的读者,并不需要你是一名网络专家,不过要基本上熟悉一些网络术语和基本的原理。最少,你应该知道怎样去ping 另外一台机器以测试网络是否畅通,并会打开一个Windows 的命令提示符窗口,知道输入相关命令和了解关于Windows 网络属性窗口的相关内容。这就是基本的要求,要不然怎么可称之为菜鸟都可学会的方法呢。
. L% I; ~5 X$ J, u1、组建实验环境
( G' s0 D5 Z7 K$ d开始之前,我们的第一步就是要组建一个实验环境,你不可能拿别人的网络来玩你的破解吧,这样做既违反了法律也是一种不道德的行为噢。搭建一个实验环境下的无线网络平台,则无线AP 是少不了的,另外,三台带有无线网卡的笔记本(使用有无线网卡的台式机也可以)组成的简单网络就可满足要求了。组成的网络拓扑如下图四所示。1 \. v% E6 J E5 M2 L7 y
图四:组建一个实验环境8 T2 Y/ L/ q6 @* x4 _$ @ L9 S& J, Z
在图四所示的网络中,无线AP 的选用,我们使用的是一个Netgear 的产品,型号为WGT624v2,它在以后充当被攻击目标的角色,在以后就称它为目标AP。在所使用的三台机器中,一台是作为被攻击目标的客户端机器,暂且称之为“Target”;另外两台笔记本一台执行主动攻击,促使网络流量的产生,以便足够多的数据包有比较短的时间内能够被捕捉到,称这台机器为“Attack”;剩下的那台笔记本就是用来嗅探并捕捉那些主动攻击产生的数据包了,则把它称为“Sniff”。当然,尽管整个的破解过程可以在一台笔记本上完成,但笔者并不推荐这种做法,用仅仅一台笔记本,会使以后的工作变得很麻烦,并且发现使用这种方法的话窃听程序可能会发生一点小问题。在一个使用率不高的WLAN 中,使用主动攻击比被动探测的机会更大,它可在较短的时间内使WLAN 产生更多的数据包从而加快破解WEP 的速度。
- G9 S! r2 \( |; r+ X p/ h0 h, C+ V# d" t0 P P* s; N7 r) P
在这个实验环境中一定非得要使用笔记本不可,我们当然也能够使用桌面PC 或桌面PC 与笔记本混用,不过使用笔记本的话它的便携性更好,而且对现在的无线PC Card 卡有更好的兼容性。
2 v9 ?) I0 e$ T3 O5 `' ~Target 所使用的无线网卡与芯片无关,只要是基于802.11b,任意厂家的产品都可满足要求。而Attack 与Sniff 两台机器是使用的两块基于PRISM 芯片的802.11b 的无线网卡。尽管我们在以后的操作中中使用的很多工具(如Kismet)都可支持相当多种类的无线网卡,但笔者还是建议使用基于PRISM 2 芯片的网卡,因为这种芯片能够被我们在破解过程所要使用到的所有工具都支持。) u+ x% p& Z( x4 N
无线网卡一般有外置天线与内置天线两种,如果所购买的无线网卡并没有内置天线的话,还必须自己再另购天线。不过外置天线的优点就是增益更高,灵敏度更好,可以调节天线的方向从而得到更好的信号接收;而内置天线是可以更方便地携带,缺点是天线方向无法调节。笔者看到有一种移动式外置天线,使用起来是很方便的,在这种移动式天线的底部有几个橡胶材料的小吸杯,可以把它方便地吸附在笔记本的顶盖上,如果是在车内使用的话,还可把它牢牢地吸在车空窗玻璃上呢。如下图五所示。
( d' f+ C7 c# ]" p p; a8 }$ H9 |# @4 o2 g- v
图四:移动式天线
6 K+ L6 g+ _+ B6 W2、实验WLAN 的设置
' u1 g" M8 a1 N* t5 z2 t; o适当地对这个实验环境进行一下设置是很重要的,因为我们毕竟只想要在这个用来实验的环境中来完成所有的操作,在下文中描述的攻击过程中,将会强制终止一个与AP 有连接的客户端。这种攻击可能会对在这个邻近区域内的无线用户造成严重损害,为了避免邻近的AP 上的用户受到附带的攻击, 是要保护那些并不属于实验WLAN 的用户。
( ~/ j: T: I! U6 I如果这个操作环境中位于一个复杂的办公室、办公大楼或其他有许多无线网络覆盖的区域中的话,要尝试一下这样的破解操作,请最好等到晚上没什么人工作,网络不再繁忙时进行,免得“城门失火,殃及池鱼”。
" }4 t; S7 \6 E* N% `% m( ?% X第一步就是连接和设置这个被攻击的实验无线局域网,如前面所述,这个WLAN 包含有一个Access Point(无线路由器)和仅仅一个无线客户端,且这个无线局域网被我们想要破解的WEP 密钥保护起来了。把目标AP 的SSID(System Set ID)设置为“starbucks”,SSID用来区分不同的网络,也称为网络名称。无线工作站必须出示正确的SSID,与无线访问点AP 的SSID 相同,才能访问AP;如果出示的SSID 与AP 的SSID 不同,那么AP 将拒绝他通过本服务区上网。可以认为SSID 是一个简单的口令,从而提供口令机制,实现一定的安全性。并在这个WAP 上配置一个64 位的WEP 密钥来进行保护。
) q/ r& r: L9 H) C9 {! J" D2 A把如下的信息记录下来以便以后使用
* ?$ W4 b. ]3 F①AP 的MAC 地址。它通常会在AP 的WEB 配置菜单上显示出来, AP 的底部或侧面的标签上也可能记有本机的MAC 地址。
! u4 F, Y# f( v" ?- ^②AP 的SSID。+ V- A) C5 o* o
③AP 的无线频道(Channel)。
0 s/ ^* g( A i# Y; P' P④WEP 密钥。如果无线AP 显示的密钥像0xFFFFFFFFFF 这样的格式(把设定的值替代F 的值),把除0x 外的每个字母都记下来。
' x3 h, A2 _1 R# O. M9 [$ c第二步就是把Target 客户端连接到目标AP 上。我们现在需要把这个客户端连接到目标AP 以进行进一步的配置,(以下都是在Windows XP 下进行的),右键单击桌面上的“网上邻居”图标,或者通过“开始”菜单,然后单击“属性”,双击“Wireless Network Connection”,然后打开如图五所示的窗口,其中显示的是有多个可用的无线网络,但如果只有一个无线网络的话,则在该窗口中可能只仅仅显示刚刚配置的那个名为“starbucks”的AP,双击相应的SSID 名称以连接到目标AP。
5 v+ D0 o2 F; T1 b2 J: k& }% t; S1 f( `* N+ E2 Z
图五:连接到目标WLAN3 v, r4 n. o- T7 a$ I8 s2 V
因为AP 已开启了WEP 保护,连接时Windows 会要求输入一个密码(如图六所示),把刚才设置的的WEP 密钥输入(当然从记事本或写字板文档中粘贴过来也可),稍等一会儿后Windows 就会报告已连接到网络上。确认一下是否已真正地连接成功,去ping 一个在有线网络计算机来测试一下;或者假如这个实验WLAN 已接连到因特网上,随便打开一个WEB 站点看是否能够连接来加以确认。如果不能成功地ping 通已知地址的机器或者打不开正常的WEB 站点,则打开无线网卡的属性,单击“支持”按钮,检查一下无线网上是否已获取了一个正确的IP 地址,如果没有能够获取正确的IP 地址,看看网络中的DHCP 服务器是否已启用,并检查无线网卡的TCP/IP 属性是否设置成“自动获取IP 地址”了,如果一切都正常,在这个无线连接中点击 “修复”按钮来加以改正。' _" f; d% t$ B! H
1 C# M! Q- Y, h6 ~, t) x
图六:输入WEP 密钥
& [) R" G8 e& w' ^* L. {第三步就是记录下Target 机器的MAC 地址。一旦成功连接到网络上,就把被攻击的Target 计算机的MAC 地址记录下来。方法有两种,一是打开一个命令提示符窗口并输入ipconfig/all 命令也可看到这个MAC 地址,这个窗口的内容如下图七所示(无线网卡的MAC地址信息已高亮度显示)。
B( D% S* D! Z* D( D1 K0 \# O# I7 m) k- |# _7 v7 a
图七:输入ipconfig/all 命令来发现MAC 地址
) L- K1 J( ]: b" `. K' G二是在Windows XP 中,可从“无线连接状态”窗口来得到这个MAC 地址,单击“支持”按钮,然后单击“详细信息”,这个MAC 地址就显示在窗口顶端的右边(如图八所示),当然,不同的机器显示的名称可能不尽相同,另外的计算机显示的就可能如“物理地址”这一类的描述信息了。在这个窗口的信息,组成MAC 地址的字母和数字被短划线分隔,短划线的目的只是使这些字符看得更清楚,但实际的MAC 地址是没有这些短划线的。
& N! `" E s4 k4 M( h9 G图八:在网络连接详细信息中显示的MAC 地址
2 B" M7 n2 P- k, f. I+ b; J- [# x; y+ C
3、笔记本的设置
( i8 G/ |4 w4 [! e# _首先,我们来准备破解WEP 密钥所需要的几个工具软件(Kismet、Airodump、Void11、Aireplay 和Aircrack),Kismet:用来扫描整个区域内的WLAN,找到实验用的目标WLAN,收集相关数据(SSID 值、频道、AP 及与之相连接的客户端的MAC 地址等);Airodump:对目标WLAN 进行扫描并捕获其产生的数据包到一个文件中;Void11:从目标AP 中验证某台计算机,并强制这个客户端重新连接到到目标AP,以使其一个ARP 请求;Aireplay:接受这些ARP 请求并回送到目标AP,以一个合法的客户端身份来截获这个ARP 请求; Aircrack:接受Airodump 生成的捕获文件并从中提取WEP 密钥。
2 a3 r/ }! b3 F+ i3 J# w/ q& v它们都是公开源代码的共享或自由软件,这些所有的工具都可以在一个被称为“Auditor Security Collection LIVE CD” 的共享光盘上找到,这个光盘是一张可引导系统的光盘,可以引导一个经过改进过的Kanotix Linux,这个Linux 版本无需存取硬盘,在通过光盘启动时直接安装到内存中就,它启动后可自动检测和配置多种无线网卡。在本文使用的Auditor Security Collection LIVE CD 是最新版本,版本号为auditor-150405-04,下载地址为http://new.remote-exploit.org/index.php/Auditor_mirrors,下载的文件格式是CD 映像文件或.ISO 文件,通过NERO(或其他的刻录软件)把它刻录下来,给Attack 和Sniff 机器各一张。
; x6 h# }* T; X5 T8 d& p" Z' z% i+ X8 u @1 k
首先把无线网卡插入到笔记本中(如果机器内置有无线网卡就最好不过了),再把笔记本设置成从光盘引导,并把Auditor Security Collection CD 放入光驱中。从Auditor 引导菜单中选择合适的屏幕分辨率后,Kanotix Linux 会被安装到内存中运行并出现Auditor 开始屏幕(如图九所示)。
$ r& H; t% ^1 P, k
- j9 M2 q- ]. H) I图九:Auditor 的开始屏幕' {2 F! [& ]0 c
在这个Auditor 系统中,两个最重要的图标是位于屏幕左下方的Programs 和Command Line 图标,我们以后的许多操作基本上都是要通过它们来完成的。如图十所示。4 o1 t) j$ T0 o7 B; N
图十:Program 和Command Line 的位置) |& W, z! ^9 h4 E+ \) m
在这里,开始做其他任何其他的事情之前,先要确认我们机器上的无线网卡能够通过Auditor 的验证。单击Command Line 图标以打开一个命令行窗口,然后输入iwconfig 命令,在Auditor 显示出的信息中,你会看到有关于“Wlan0”的信息,它是Auditor 为基于PRISM芯片的卡确定的一个名称,如果用来操作攻击的笔记本的屏幕显示如图十一所示的窗口,则表明Auditor 已检测到了无线网卡,现在就可以开始下一步工作了。对于另外一台笔记本,也进行同样的步骤,重复这一操作。
# m: [/ T4 [$ g8 f4 ]/ y7 q0 t# J7 x7 r
0 S: Y6 k9 a" j; V) x: e图十一:用iwconfig 命令检验无线网卡2 {2 {1 d" I( F
好,准备工作现在基本完成,在本文的下篇里,我们将开始实际的解决过程。" k. t6 Z' b, J/ \4 p6 ^& M. k \- U
8 Q4 A# q3 O* V* |% @: q% c" ]
* r+ g7 u, l. Z5 v三、实战破解过程
% R0 \3 | a2 n8 [$ s' q# d1、用Kismet 进行网络探测2 a7 l, w# v l8 }* J
Kismet 是一个基于Linux 的无线网络扫描程序,这是一个相当方便的工具,通过测量周围的无线信号来找到目标WLAN。虽说Kismet 也可以捕获网络上的数据通信,但在还有其他更好的工具使用(如Airodump),在这里我们只使用它来确认无线网卡是否正常工作和用来扫描无线网络,在下面的部分中将会换用不同的工具软件来真正地侦听和捕获网络上的数据通信。
6 K; k9 `9 }/ a5 t ^( k$ {( Q单击Programs 图标,然后是Auditor,再 Wireless,, 然后Scanner/Analyzer,最后是 Kismet ,来运行Kismet 程序。如图十二所示。. m. H. Z# \ d
, D! I7 V @9 R# G/ n! E4 |1 v
图十二:运行Kismet/ c7 j, k" Q. u! s9 O8 R$ b$ n9 Q
除扫描无线网络之外,Kismet 还可以捕获网络中的数据包到一个文件中以方便以后加以分析使用,因此Kismet 会询问用来存放捕获数据包的文件的位置,如我想把这些文件保存到rootdesktop 下,则单击“Desktop”,然后选择“OK”即可,如图十三所示。然后Kismet然后会询问捕获文件的前缀名字,我们可以更改这个默认的名字,例如把它更改为“capture”然后点击OK,这样Kismet 就会以capture 为文件名的开头,再在其后依次添加序号来保存捕捉下来的数据包到不同的文件中。0 Y5 G! Q' P$ ^+ N4 N, w- ?# M$ P
图十三:在Kismet 中指定文件的存放位置
9 e! |: @' b& H- `, b6 r$ ]3 K, x0 X; O% j- k
当Kismet 开始运行时,它将会显示这个区域内它找到的所有的无线局域网,“Name”那一列中所显示出来的内容就是哪一个WLAN 中AP 的SSID 值,那当然开始设定的目标WLAN 也应该包含中其中(Name 下值为starbucks 的那一行),在这一行中,CH 列的值(AP所使用的频道)应该与开始所记下的相同。在窗口的最右边显示的信息是Kismet 发现的WLAN 的数目,已被捕捉下来了的数据包、已加密了的数据包的数目等等。如下图十四所示。
3 a' t. ^7 ]0 x( S如果Kismet 发现了许多相邻的Access Point,你应把这个实验环境搬得离这些AP 更远一些,或者把与你网上相连接的任何高增益天线断开。
! l. W3 I" c3 r: ~$ m甚至当目标计算机已关闭时,Kismet 也正可从我们的目标AP 中检测到数据包,这是因为目标AP 在不停地发出“beacons”,它将告之拥有无线网卡的计算机有一个AP 在此范围内,我们可以这样想
7 |. b1 @6 C! ^4 A1 e像,这台AP 宣布,“我的名字是XXXXX,请大家与我连接。”
+ @0 E5 g, [5 R图十四:Kismet 显示的内容
3 E( A- y( ~' t& ^默认的Kismet 是运行在“autofit”模式下的,它显示的内容杂乱无章的,我们可以通过排序把AP 按任何有意义有顺序来重新排列,按下“s”键到“Sort”菜单,在这儿可以按下某个字母来对搜寻到的AP 进行排序,如“f”键是按AP 名字的第一个字母来排序,而“c”键是按AP使用的频道来进行排序,“l”是按时间来进行排序等等。2 ~; W. z9 T' @' Y
现在我们来查看一下目标WLAN 中AP 的详细信息,按下“s”键,然后再按下“c”键,把整个AP 的列表用频道的方式来排列,使用光标键移动高亮条到表示目标AP 的SSID 上,然后敲下回车键,然后将打开一个显示所选择AP 的详细信息的说明窗口(SSID、MAC 地址和频道等)。这样,要破解一个加密WLAN 的WEP 密钥所需要的基本信息大部分都在这儿了。
# L& T0 [- M. {: X& K. Q+ p" \: F( G6 k, c# W& r$ |
如图十五所示。有些WLAN 从安全方面考试,隐藏了SSID 或屏蔽SSID 广播,这样做的话的确能够防止使用Netstumbler 来扫描,但碰上Kismet 就毫无办法了,它可轻易地检测到隐藏的SSID。Kismet 能够比Netstumbler 捕捉到更多的网络信息,能够通过跟踪AP 及与之相连接的客户端之间的会话而发现某个AP 的SSID。
! K# x4 h8 O/ {* Q& |$ O图十五:Kismet 显示一个AP 的详细信息
z7 A7 T; f3 P( B) _要完成一个破解过程,还有最后一个需要了解的信息,就是WLAN 中连接在目标AP 上的无线客户端的MAC 地址,这个使用Kismet 也是很轻易地搞定的。返回Kismet,按下“q”键退出详细信息窗口,默认的选择仍旧是刚才查看了的目标AP,使用“Shift+C”键,这时会打开一个与目标AP 相关的客户端列表,它们的MAC 地址就显示在这个窗口的左边。) D. i; a5 i; Z5 S( K1 O. F, o
如图十六所示。在这个窗口显示的内容中,不但包含了与AP 相连的客户端的MAC 地址,还包括AP 自己的MAC 地址,还记得在本文的开头所记下的目标AP 的MAC 地址吗?在这,除了目标AP 的MAC 地址外就是客户端的MAC 地址了。. U+ R7 i6 s4 V& d l( e
" G( n+ S" |1 W7 Q; ?图十六:使用Kismet 寻找客户端的MAC 地址$ F J6 @: V' @( ^8 p! e
如果你没有看到Target 计算机的MAC 地址,请检查一下,确认一下它是否已开机或连接到了目标AP(启动目标计算机,连接到目标AP 并打开WEB 页面),大约10-30 秒后,你将会看到目标计算机的MAC 地址在Kismet 中弹出。当然,把所有的客户端MAC 地址都记下来也不失为一个老道的方法,这样就可避免在开始破解过程时一个客户端也没有出现时受阻。& E9 D3 l. z* f! q) a& D# q
2、用Airodump 来捕获数据包
6 L, q# y5 c$ k4 K现在了解破解所需的基本信息了,该是开始使用Airodump 工具的时候了,Airodump的主要工作是捕获数据包并为Aircrack 建立一个包含捕获数据的文件。在用来攻击与破解的两台计算机中的任一一台上,笔4 t) c6 @) t3 }6 u. h( I
者是使用的是Attack 计算机,打开一个shell 窗口并输入以下的命令:) D' v- g" [/ {
iwconfig wlan0 mode monitor
, G) P, Q4 H ?. G# jiwconfig wlan0 channel THECHANNELNUM& Q8 g: E# u$ i$ F
cd /ramdisk
* u7 M% [* ~6 I- H7 L* f7 Q4 wairodump wlan0 cap
% Y% b! m; K6 F2 s$ z* t注意:把THECHANNELNUM 这个值更改成所要破解的WLAN中的频道数,/ramdisk
" q7 m( }$ `, G8 B# ?目录是存储捕获数据文件的位置。如果在实验WLAN 环境的附近还有别的WAP,则可目标AP 的MAC 地址附在airodump 命令的后部作为参数,如:airodump wlan0 cap1
; w; s& E; Z# d8 pMACADDRESSOFAP。如图十七所示。- X2 M% T' a6 f8 Z* P8 J, b
, C/ K* D& o3 O# f9 F7 |; W2 s/ q' ~
图十七:Airodump 命令的格式
0 m; B& y# B; U, v2 |1 T这个命令仅仅是使airodump 把捕获到的目标AP 的数据包写入到那个生成的数据文件中(cap1)。 按下Ctrl+C 键退出Airodump,输入ls –l 命令列出这个目录中的内容,看看扩展名为.cap 文件的大小。在经过几秒钟的捕获动作后,如果有数据包被成功地捕捉下来,那生成的这个包文件大约为几个 KB 大小。如果Airodump 使用同一个参数在捕获数据包时被停止和重新开始后,这个生成的包文件会依照前一个文件顺序添加,如第一个为cap1,第二个为cap2 等。
# }% D0 ^# O1 H4 K当Airodump 在运行时,在该窗口左边看到的BSSID 下列出来的值就是目标AP 的MAC 地址。在这个Airodump 的运行窗口中,我们会看到Packet 和IV 这两个值正在不停地增长,这都是由于Windows 检测网络时产生的正常网络通信,甚至在目标客户端上并没有打开WEB 网页收发email 也是如此。过一会儿后就会看到IV 值只会几个几个慢慢地上升,不过如果在目标计算机上浏览网页时,随着每一个新页面的打开,Airodump 中的IV 值会在不断地快速上升。如图十八所示。
" ~, q b& L; s, A( G$ Q, ~图十八:Airodump 显示的IV 值
$ @4 y+ ^* i( Z$ Q& }% Y在这儿,我们对Packet 的值不感兴趣,因为它并不能够有助于破解WEP,IV 值则是个很重要的数字,因为如果要破解一个64bit 的WEP 密钥,需要捕获大约50000 到200000 个IV,而破解一个128bit 的WEP 密钥,则需要大约200000 到700000 个IV。
: e) k$ Y* l& i8 e大家可能会注意到,在正常的网络通信条件下,IV 值不会增长得很快。实际上,在正常的通信条件下,要成功地破解WEP 密钥而需要从大多数的WLAN 中捕获足够数量的数据包可能会花费数小时甚至数天的时间。幸运的是,我们还有有几个办法可以把这个速度提高起来。要使IV 值快速地上升,最有效的办法就是加大网络的通信量,把目标WLAN 变得繁忙起来,加快数据包产生的速度,通过连续不断地ping 某台计算机或在目标计算机上下载一个很大的文件能够模仿这一过程,让Attack 计算机上运行Airodump,可看到IV 值慢慢在上升,再使用BT 软件下载一个大的文件(如分布式Linux 系统的.ISO 文件或电影),这样IV值上升的速度就快多了。5 z4 u% m2 o2 O! O& O
还有一个方法,在Windows 的命令提示符窗口输入如下的命令来进行一个持续不断的ping:$ b6 W8 A4 W& q" p
ping -t -l 50000 ADDRESS_OF_ANOTHER_LAN_CLIENT这里 ADDRESS_OF_ANOTHER_LAN_CLIENT 值更改成在本局域网中目标AP、路由器或其他任何可ping 得通的客户端的IP 地址。; l2 I# x+ E3 _7 I, v
3、用Void11 来产生更多的通信流量. z3 [5 S b- \! Q& o! @ {
void11 把一个无线客户端从它所连接的AP 上使用一个强制验证过程,也就是说这个客户端开始被断开,当它被从WLAN 中断开后,这个无线客户端会自动尝试重新连接到AP 上,在这个重新连接过程中,数据通信就产生了,这个过程通常被叫做de-authentication 或deauth attack 过程。. w6 `+ z6 W: n0 q! A
启动Sniff 计算机,并把Auditor CD 插入它的光驱,Auditor 启动后,打开一个shell命令窗口并输入以下的命令:7 @( C% P7 j3 P4 v- e5 S+ ^" E
switch-to-hostap% U3 a* D5 E! U; O2 I3 J+ k/ l
cardctl eject, ]% X, d) e+ t9 D$ r& c
cardctl insert
) u2 K7 o, s0 Biwconfig wlan0 channel THECHANNELNUM. @, Q' }: `6 v7 D5 O
iwpriv wlan0 hostapd 1
' I- [4 e5 a u0 c) ^" z, l; wiwconfig wlan0 mode master* m2 w( E D+ t+ m
void11_penetration -D -s MACOFSTATION -B MACOFAP wlan0: P. c& L3 v1 @/ x: v, V! J
注意:把THECHANNELNUM 替换成目标WLAN 的频道数,MACOFSTATION 和MACOFAP 分别替换成目标WLAN 的客户端的MAC 地址和AP 的代号,如下形式:void11_penetration -D -s 00:90:4b:c0:c4:7f -B 00:c0:49:bf:14:29 wlan0。当在AuditorSecurity Collection CD 中运行void11 时可能会看到“invalid argument error”的错误信息,这无关紧要,不要理会这个错误。
$ L: g+ x, \8 E& E当void11 在Sniff 计算机上运行时,我们来看看Target 计算机上正在发生的变化,通常,使用这台机器的用户会发现网络突然地变得非常慢,而且最后好像停顿了,几秒钟后,彻底与网络失去了连接。如果查看Windows XP 自带的无线客户端实用程序,会发现void11开始攻击之前,一切都正常,Windows 显示你正连接在AP 上,Void11 启动后,网络状态会从连接状态改变到断开状态。如图十九所示。如果在在Sniff 计算机上停止void11 后,Target计算机会在大约几秒钟内重新连接到目标AP。! D6 Q$ V' d, l- m4 B
图十九:目标计算机被断开
p p; ~, Q- H4 E6 `& J让我们到Attack 计算机上去看一下,它总是在那运行着Airodump,当void11 在运行后,IV 值在几秒钟内增加大概100-200,这是由于目标客户端机器重复地尝试重新连接到目标AP 上时产生的网络通信引起的。
$ e% W. p) a' L! i
, [! h# a, j7 a$ o4 |: N' V" M4、用Aireplay 引起数据包的延迟3 h, S( ~& k) j8 @: V
当使用一个deauth attack 过程强制产生通信时,它通常不能够产生我们所需要的足够数量的IV 值,不过Airodump 比较适合于干扰正常的WLAN 操作的工具。为了产生更多的网络通信流量,我们需要使用
( ^ _$ l9 M( [一种叫做replay attack 的不同方法,replay attack 截获由目标客户端产生的合法数据包,然后再通过某种手段来欺骗这个客户端,再三地延迟它的数据包,这个延迟过程比正常使用的时候更频繁。由于这些通信流量看上去好像来自一台网络上合法的客户端,因此它并不干扰正常的网络操作,只是在幕后静静地从事着产生更多IV 的职责。3 x- {7 d% ^& T8 e
把由void11 的deauth attack 产生的数据包捕获下来后,停止这个deauth attack 过程,然后使用这些捕获下来的数据包开始一个replay attack 过程。我们在破解过程中所要捕获的数据包最好选择是ARP 包,因为它们都很小(68 字节长),并有固定和容易被侦测的格式。把Attack 和Sniff 这两台机器都重新启动, Attack 计算机只运行aireplay,它仅仅是用来促使网络中产生数据流量(和IV)以缩短破解WEP 密钥所使用的时间,Sniff 计算机的用途不是来运行deauth attack(通过Void11),就是用来捕获通信流量(通过Airodump),并最后使用Aircrack 工具来对被捕获到的数据进行破解。
5 C& B; G: a; }) ~8 ~* L ~- ^) W8 i先启动Aireplay,在Attack 计算机上,打开一个shell 窗口并输入以下命令(如下图二十所示):& X2 b% A, J' C! J, Y
switch-to-wlanng8 z" V; O, M4 `- M, ^2 O' G
cardctl eject
( V& W' E$ |' P, ?* w1 Y- Y: y7 Ycardctl insert$ o5 x( y) Q3 C$ |
monitor.wlan wlan0 THECHANNELNUM! n9 M$ T+ D8 N/ V2 e8 g5 L
cd /ramdisk
5 M1 K" O2 h6 k2 kaireplay -i wlan0 -b MACADDRESSOFAP -m 68 -n 68 -d ff:ff:ff:ff:ff:ff
/ M7 K+ @# v! N, P3 y6 M2 p注意:switch-to-wlanng 和monitor.wlan 是来自于Auditor CD,为简化操作和减少输入的脚本命令。 把THECHANNELNUM 更改为目标WLAN 的频道数。来看看这个操作命令会有什么结果产生,首先,没有什么太令人激动的事发生,会看到Aireplay 报告已捕获到了某些类型的数据包,不过由于这些数据包基本上不是我们所需要的(目标MAC 地址为FF:FF:FF:FF:FF:FF 的68 字节的包)。
6 r' u+ u' ]- `& l1 d- N
( k: Q. A0 ~: f, f5 [图二十:启动Aireplay
3 |4 Y! v' f$ u- Z! Y$ s" q N0 @现在来操作Target 计算机并打开它的无线实用程序,监视它的网络连接状态,然后在Sniff 计算机上启动一个void11 的deauth attack,一旦开始启动void11,这时可看到Targets 计算机已从目标AP 上断开了,当然,Aireplay 显示的数据包速率增加得更快了。
: ~5 H& B' l0 r) W; _4 k7 hAireplay 捕获了相关的数据包后会并询问是否与你所希望得到的相匹配,在本次破解中,我们需要捕获的数据包具有以下特征:! l" k. U$ i/ m0 e/ A. i+ t/ n
FromDS - 0
- P* P% i: M4 ?( Y+ e7 q* N4 BToDS - 1
2 g. C2 }" w" ^5 O9 pBSSID – 目标AP 的MAC 地址
/ Q( X5 w7 o! i9 _9 @1 \$ SSource MAC – 目标计算机的MAC 地址$ b3 j! o3 ^* t" L( h0 ] \1 J: _5 j
Destination MAC - FF:FF:FF:FF:FF:FF& s/ q$ A# ?' z* B% E
如果数据包并不与这些条件相匹配,输入n(表示no),Aireplay 会重新再捕获,当aireplay 成功地找到与以上条件相匹配的数据包后,回答y(表示yes),Aireplay 会从捕获转换到replay 模式并开始启动replay 攻击。这时立即返回到Sniff 计算机上停止void11 的deauth attack。如图二十一所示。
$ d- b I' S, K4 z& j' C0 I# U6 Q" E& i: t( W( E
图二十一:Void11 捕获到了相匹配的数据包如果Aireplay 在几千个数据包中并没有捕获到相应的数据包包,则可使用Void11来助力,Void11 能够干扰目标AP 和它的客户端不,给它们任何机会去完成重新连接。手动停止void11(按Ctrl+C 键)然后重新启动它,添加“d”参数到void11 的命令行中(延迟的值是微秒),尝试用不同的值去允许AP 与客户端重新连接的时间。
" l. v( k; d6 ^% G0 F& c. J+ U8 R' I/ w5 y- h
如果目标客户端处于空闲状态,通过deauth 攻击来捕获ARP 包可能是比较困难的,这在一个真实环境的WLAN 中可能不会发生,但在这个实验的WLAN 下环境中则成了一个问题。如果Aireplay 没有捕获到你所需要的数据包破解不能进行下去,则可在开始deauthattack 之前你需要到目标客户端计算机上运行一个连续不断的ping 或开始一个下载任务。如果Void11 完全不能正常工作,可Attack 计算机上保持运行aireplay,在Sniff 计算机上关闭void11,操作Target 计算机并手动断开无线网络连接,再重新连接,在三十秒内,当它重新连接到WLAN 并请求获取一个IP 地址时,在Attack 计算机上的Aireplay 能够看到由目标计算机发出的ARP 包。
( G( |3 @, R, U. d6 q! j+ `6 B5、最后的破解的时刻/ t, Z. c- P# L, |$ d: v$ |8 H5 J% E
经过一段时间的运行,在Attack 计算机上运行的replay attack 产生了足够多的IV,现在是做真实的WEP 破解的最终时刻到了,在Sniff 计算机上停止void11,并输入如下的命令以,设置Airodump 来捕获数据包。$ U, t5 W: S- i9 @. H4 z/ @( [
switch-to-wlanng: p! k0 M+ o& o& f n D; Y
cardctl eject5 B! N# M( d8 E: w
cardctl insert
2 ?( t6 M1 A$ h0 x" d9 z2 b! m0 Emonitor.wlan wlan0 THECHANNELNUM1 Q- ?" H' f4 ~
cd /ramdisk
2 {" Z ?1 A2 D$ Oairodump wlan0 cap1+ n$ N& N% O3 _9 Z" N" a
把THECHANNELNUM 替换成目标WLAN 的频道数,如果在这个区域内有多个WAP,把目标AP 的MAC 地址添加到airodump 的尾部作为参数,如:airodump wlan0 cap1MACADDRESSOFAP。随着Airodump 把IV 写进一个文件中,我们可同时运行Aircrack 来寻找包含在这个文件中的这个WEP 密钥,让Airodump 继续运行,打开另外一个shell 窗口,在这个新的命令窗口中输入如下的命令来启动Aircrack。
9 T/ _* s2 P9 t# ?" g' ]% h" ?cd /ramdisk9 D6 ~( K5 J2 K4 M7 x* N! f+ m. \
aircrack -f FUDGEFACTOR -m MACADDRESSOFAP -n WEPKEYLENGTH -q 3 cap*.cap
0 ~+ @/ S( w: d注意:FUDGEFACTOR 在一个整数(默认值为2),MACADDRESSOFAP 是目标AP的MAC 地址。WEPKEYLENGTH 是你尝试破解的WEP 密钥的长度(64, 128 等等)。如下- c: ~# z! h2 D: t( D- E
图二十二所示。
; S- m! U. h8 U9 I( U. R图二十二:Aircrack 命令的格式
5 L/ t4 J% ]0 w( J. z+ L, z6 y; cAircrack 将从捕获下来生成的数据包文件中读入IV 值,并依靠这些IV 值上完成WEP密钥的破解,Aircrack 默认的是使用一个速度比较慢的模式来寻找WEP 密钥,不过这种模式速度虽慢,但它找到WEP 密钥的机会很高;还有一种模式就是使用-f 参数,这个则速度相当快,不过成功的机会比前一个小得多。如果运气好的话,你会看到WEP 密钥被成功地找到啦。如下图二十三所示。" p- [( y4 I1 p; _/ V! D8 N
V5 x; T, B$ S3 o# R+ c: i
图二十三:成功破解WEP 密钥
+ @0 W' E2 n N! a4 |要破解一个64bit 的WEP 在需要5 分钟时间,由同时运行于replay attack 的几个操作的时间组成的:用airodump 扫描、用aircrack 破解和用aireplay 产生网络通信流量,不过这里有许多幸运的地方,有时破解一个64bit 的WEP 的密钥要收集25000 个左右的IV,则它花费的时间就更长了。必须把这个你尝试恢复的WEP 密钥的长度输入到Aircrack 中,这个长度没有哪一个工具能提供,对你自己的实验环境的WLAN 当然能够知道这个信息,但在别的你一无所知的网络环境中则可以使用64 或128 这两个密钥长度去尝试。7 e f" ]) I T9 I, f
使用配置更好的机器能够有助于加快破解的过程,把捕获下来生成的数据包文件拷贝到另外有更大内存和更快处理器的机器上去完成最后的破解动作不失为一个好的办法,在这台机器上就只要运行Aircrack 这个工具了,并且aircrack 能够使用-p 选项来支持多处理器,使用AMD 和Intel 的新双处理器设备能使破解过程更快。对于128bit 长的密钥来说更是要如此了。 |
|
发表于 2009-4-27 17:50:38
发表于 2009-4-27 21:10:48
