全程攻擊無線網絡WEP加密（二）

2019-11-05 02:15:32

字體：大中小

來源：轉載

供稿：網友

我們做好了預備工作，下面，讓我們開始進入實際的破解過程。
　　
　　三、實戰破解過程
　　
　　1、用Kismet進行網絡探測
　　
　　Kismet是一個基于linux的無線網絡掃描程序，這是一個相當方便的工具，通過測量四周的無線信號來找到目標WLAN。雖說Kismet也可以捕捉網絡上的數據通信，但在還有其他更好的工具使用(如Airodump)，在這里我們只使用它來確認無線網卡是否正常工作和用來掃描無線網絡，在下面的部分中將會換用不同的工具軟件來真正地偵聽和捕捉網絡上的數據通信。
　　
　　單擊PRograms 圖標，然后是Auditor，再 Wireless,，然后Scanner/Analyzer，最后是 Kismet ，來運行Kismet程序。如圖十三所示。
　　　

　　圖十三:運行Kismet
　　
　　除掃描無線網絡之外，Kismet還可以捕捉網絡中的數據包到一個文件中以方便以后加以分析使用，因此Kismet會詢問用來存放捕捉數據包的文件的位置，如我想把這些文件保存到root/desktop下，則單擊“Desktop”，然后選擇“OK”即可，如圖十四所示。然后Kismet然后會詢問捕捉文件的前綴名字，我們可以更改這個默認的名字，例如把它更改為“capture”然后點擊OK，這樣Kismet就會以capture為文件名的開頭，再在其后依次添加序號來保存捕捉下來的數據包到不同的文件中。
　　　

　　圖十四:在Kismet中指定文件的存放位置
　　
　　當Kismet開始運行時，它將會顯示這個區域內它找到的所有的無線局域網，“Name”那一列中所顯示出來的內容就是哪一個WLAN中AP的SSID值，那當然開始設定的目標WLAN也應該包含中其中(Name下值為starbUCks的那一行)，在這一行中，CH列的值(AP所使用的頻道)應該與開始所記下的相同。在窗口的最右邊顯示的信息是Kismet發現的WLAN的數目，已被捕捉下來了的數據包、已加密了的數據包的數目等等。如下圖十五所示。假如Kismet發現了許多相鄰的 access Point，你應把這個實驗環境搬得離這些AP更遠一些，或者把與你網上相連接的任何高增益天線斷開。
　　
　　甚至當目標計算機已關閉時，Kismet也正可從我們的目標AP中檢測到數據包，這是因為目標AP在不停地發出“beacons”，它將告之擁有無線網卡的計算機有一個AP在此范圍內，我們可以這樣想像，這臺AP公布，“我的名字是XXXXX，請大家與我連接?！?BR>　　　

　　圖十五:Kismet顯示的內容
　　
　　默認的Kismet是運行在“autofit”模式下的，它顯示的內容雜亂無章的，我們可以通過排序把AP按任何有意義有順序來重新排列，按下“s”鍵到“Sort”菜單，在這兒可以按下某個字母來對搜尋到的AP進行排序，如“f”鍵是按AP名字的第一個字母來排序，而“c”鍵是按AP使用的頻道來進行排序,“l”是按時間來進行排序等等。
　　
　　現在我們來查看一下目標WLAN中AP的具體信息，按下“s”鍵，然后再按下“c”鍵，把整個AP的列表用頻道的方式來排列，使用光標鍵移動高亮條到表示目標AP的SSID上，然后敲下回車鍵，然后將打開一個顯示所選擇AP的具體信息的說明窗口(SSID、MAC地址和頻道等)。這樣，要破解一個加密WLAN的WEP密鑰所需要的基本信息大部分都在這兒了。如圖十六所示。有些WLAN從安全方面考試，隱藏了SSID或屏蔽SSID廣播，這樣做的話的確能夠防止使用Netstumbler來掃描，但碰上Kismet就毫無辦法了，它可輕易地檢測到隱藏的SSID。Kismet能夠比Netstumbler捕捉到更多的網絡信息，能夠通過跟蹤AP及與之相連接的客戶端之間的會話而發現某個AP的SSID。
　　　

　　圖十六:Kismet顯示一個AP的具體信息
　　
　　要完成一個破解過程，還有最后一個需要了解的信息，就是WLAN中連接在目標AP上的無線客戶端的MAC地址，這個使用Kismet也是很輕易地搞定的。返回Kismet，按下“q”鍵退出具體信息窗口，默認的選擇仍然是剛才查看了的目標AP，使用“Shift+C”鍵，這時會打開一個與目標AP相關的客戶端列表，它們的MAC地址就顯示在這個窗口的左邊。如圖十七所示。在這個窗口顯示的內容中，不但包含了與AP相連的客戶端的MAC地址，還包括AP自己的MAC地址，還記得在本文的開頭所記下的目標AP的MAC地址嗎?在這，除了目標AP的MAC地址外就是客戶端的MAC地址了。
　　　

　　圖十七:使用Kismet尋找客戶端的MAC地址
　　
　　假如你沒有看到Target計算機的MAC地址，請檢查一下，確認一下它是否已開機或連接到了目標AP(啟動目標計算機，連接到目標AP并打開WEB頁面)，大約10-30秒后，你將會看到目標計算機的MAC地址在Kismet中彈出。當然，把所有的客戶端MAC地址都記下來也不失為一個老道的方法，這樣就可避免在開始破解過程時一個客戶端也沒有出現時受阻。
　　
　　2、用Airodump來捕捉數據包
　　
　　現在了解破解所需的基本信息了，該是開始使用Airodump工具的時候了，Airodump的主要工作是捕捉數據包并為Aircrack建立一個包含捕捉數據的文件。在用來攻擊與破解的兩臺計算機中的任一一臺上，筆者是使用的是Attack計算機，打開一個shell窗口并輸入以下的命令:
　　
　　iwconfig wlan0 mode monitor
　　iwconfig wlan0 channel THECHANNELNUM
　　cd /ramdisk
　　airodump wlan0 cap
　　
　　注重:把THECHANNELNUM這個值更改成所要破解的WLAN中的頻道數，/ramdisk目錄是存儲捕捉數據文件的位置。假如在實驗WLAN環境的四周還有別的WAP，則可目標AP的MAC地址附在airodump命令的后部作為參數，如:airodump wlan0 cap1 MACADDRESSOFAP。如圖十八所示。
　　　

　　圖十八:Airodump命令的格式
　　
　　這個命令僅僅是使airodump把捕捉到的目標AP的數據包寫入到那個生成的數據文件中(cap1)。按下Ctrl+C鍵退出Airodump，輸入ls –l命令列出這個目錄中的內容，看看擴展名為.cap文件的大小。在經過幾秒鐘的捕捉動作后，假如有數據包被成功地捕捉下來，那生成的這個包文件大約為幾個 KB大小。假如Airodump使用同一個參數在捕捉數據包時被停止和重新開始后，這個生成的包文件會依照前一個文件順序添加，如第一個為cap1，第二個為cap2等。
　　
　　當Airodump在運行時，在該窗口左邊看到的BSSID下列出來的值就是目標AP的MAC地址。在這個Airodump的運行窗口中，我們會看到Packet和IV這兩個值正在不停地增長，這都是由于Windows檢測網絡時產生的正常網絡通信，甚至在目標客戶端上并沒有打開WEB網頁收發email也是如此。過一會兒后就會看到IV值只會幾個幾個慢慢地上升，不過假如在目標計算機上瀏覽網頁時，隨著每一個新頁面的打開，Airodump中的IV值會在不斷地快速上升。如圖十九所示。
　　　

　　圖十九:Airodump顯示的IV值
　　
　　在這兒，我們對Packet 的值不感愛好，因為它并不能夠有助于破解WEP，IV 值則是個很重要的數字，因為假如要破解一個64bit的WEP密鑰，需要捕捉大約50000到200000個IV，而破解一個128bit的WEP密鑰，則需要大約200000到700000個IV。
　　
　　大家可能會注重到，在正常的網絡通信條件下，IV值不會增長得很快。實際上，在正常的通信條件下，要成功地破解WEP密鑰而需要從大多數的WLAN中捕捉足夠數量的數據包可能會花費數小時甚至數天的時間。幸運的是，我們還有有幾個辦法可以把這個速度提高起來。要使IV值快速地上升，最有效的辦法就是加大網絡的通信量，把目標WLAN變得繁忙起來，加快數據包產生的速度，通過連續不斷地ping某臺計算機或在目標計算機上下載一個很大的文件能夠模擬這一過程，讓Attack計算機上運行Airodump，可看到IV值慢慢在上升，再使用BT軟件下載一個大的文件(如分布式Linux系統的.ISO文件或電影)，這樣IV值上升的速度就快多了。
　　
　　還有一個方法，在Windows的命令提示符窗口輸入如下的命令來進行一個持續不斷的ping:
　　
　　ping -t -l 50000 ADDRESS_OF_ANOTHER_LAN_CLIENT
　　
　　這里 ADDRESS_OF_ANOTHER_LAN_CLIENT值更改成在本局域網中目標AP、路由器或其他任何可ping得通的客戶端的ip地址。
　　
　　3、用Void11來產生更多的通信流量
　　
　　void11把一個無線客戶端從它所連接的AP上使用一個強制驗證過程，也就是說這個客戶端開始被斷開，當它被從WLAN中斷開后，這個無線客戶端會自動嘗試重新連接到AP上，在這個重新連接過程中，數據通信就產生了，這個過程通常被叫做de-authentication或deauth attack過程。
　　
　　啟動Sniff計算機，并把Auditor CD插入它的光驅，Auditor啟動后，打開一個shell命令窗口并輸入以下的命令:
　　
　　switch-to-hostap
　　cardctl eject
　　cardctl insert
　　iwconfig wlan0 channel THECHANNELNUM
　　iwpriv wlan0 hostapd 1
　　iwconfig wlan0 mode master
　　void11_penetration -D -s MACOFSTATION -B MACOFAP wlan0
　　
　　注重:把THECHANNELNUM替換成目標WLAN的頻道數，MACOFSTATION 和 MACOFAP分別替換成目標WLAN的客戶端的MAC地址和AP的代號，如下形式:void11_penetration -D -s 00:90:4b:c0:c4:7f -B 00:c0:49:bf:14:29 wlan0。當在Auditor Security Collection CD中運行void11時可能會看到“invalid argument error”的錯誤信息，這無關緊要，不要理會這個錯誤。

　　
　　當void11在Sniff計算機上運行時，我們來看看Target計算機上正在發生的變化，通常，使用這臺機器的用戶會發現網絡忽然地變得非常慢，而且最后似乎停頓了，幾秒鐘后，徹底與網絡失去了連接。假如查看Windows xp自帶的無線客戶端實用程序，會發現void11開始攻擊之前，一切都正常，Windows顯示你正連接在AP上，Void11啟動后，網絡狀態會從連接狀態改變到斷開狀態。如圖二十所示。假如在在Sniff計算機上停止void11后，Target計算機會在大約幾秒鐘內重新連接到目標AP。
　　　

　　圖二十:目標計算機被斷開
　　
　　讓我們到Attack計算機上去看一下，它總是在那運行著Airodump，當void11在運行后，IV值在幾秒鐘內增加大概100-200，這是由于目標客戶端機器重復地嘗試重新連接到目標AP上時產生的網絡通信引起的。
　　
　　4、用Aireplay引起數據包的延遲
　　
　　當使用一個deauth attack過程強制產生通信時，它通常不能夠產生我們所需要的足夠數量的IV值，不過Airodump比較適合于干擾正常的WLAN操作的工具。為了產生更多的網絡通信流量，我們需要使用一種叫做replay attack的不同方法，replay attack截獲由目標客戶端產生的合法數據包，然后再通過某種手段來欺騙這個客戶端，再三地延遲它的數據包，這個延遲過程比正常使用的時候更頻繁。由于這些通信流量看上去似乎來自一臺網絡上合法的客戶端，因此它并不干擾正常的網絡操作，只是在幕后靜靜地從事著產生更多IV的職責。
　　
　　把由void11的deauth attack產生的數據包捕捉下來后，停止這個deauth attack過程，然后使用這些捕捉下來的數據包開始一個replay attack過程。我們在破解過程中所要捕捉的數據包最好選擇是ARP包，因為它們都很小(68字節長)，并有固定和輕易被偵測的格式。把Attack和Sniff這兩臺機器都重新啟動， Attack計算機只運行aireplay，它僅僅是用來促使網絡中產生數據流量(和IV)以縮短破解WEP密鑰所使用的時間，Sniff計算機的用途不是來運行deauth attack(通過Void11)，就是用來捕捉通信流量(通過Airodump)，并最后使用Aircrack工具來對被捕捉到的數據進行破解。
　　
　　先啟動Aireplay，在Attack計算機上，打開一個shell窗口并輸入以下命令(如下圖二十所示):
　　
　　switch-to-wlanng
　　cardctl eject
　　cardctl insert
　　monitor.wlan wlan0 THECHANNELNUM
　　cd /ramdisk
　　aireplay -i wlan0 -b MACADDRESSOFAP -m 68 -n 68 -d ff:ff:ff:ff:ff:ff
　　
　　注重:switch-to-wlanng和monitor.wlan是來自于Auditor CD，為簡化操作和減少輸入的腳本命令。把THECHANNELNUM更改為目標WLAN的頻道數。來看看這個操作命令會有什么結果產生，首先，沒有什么太令人激動的事發生，會看到Aireplay報告已捕捉到了某些類型的數據包，不過由于這些數據包基本上不是我們所需要的(目標MAC地址為FF:FF:FF:FF:FF:FF的68字節的包)。
　　
　　　

　　圖二十一:啟動Aireplay
　　
　　現在來操作Target計算機并打開它的無線實用程序，監視它的網絡連接狀態，然后在Sniff計算機上啟動一個void11的deauth attack，一旦開始啟動void11，這時可看到Targets計算機已從目標AP上斷開了，當然，Aireplay顯示的數據包速率增加得更快了。
　　
　　Aireplay捕捉了相關的數據包后會并詢問是否與你所希望得到的相匹配，在本次破解中，我們需要捕捉的數據包具有以下特征:
　　
　　FromDS - 0
　　
　　ToDS - 1
　　
　　BSSID – 目標AP的MAC地址
　　
　　Source MAC – 目標計算機的MAC地址
　　
　　Destination MAC - FF:FF:FF:FF:FF:FF
　　
　　假如數據包并不與這些條件相匹配，輸入n(表示no)，Aireplay會重新再捕捉，當aireplay成功地找到與以上條件相匹配的數據包后，回答y(表示yes)，Aireplay會從捕捉轉換到replay模式并開始啟動replay攻擊。這時立即返回到Sniff計算機上停止void11的deauth attack。如圖二十一所示。
　　
　　　

　　圖二十二:Void11捕捉到了相匹配的數據包
　　
　　假如Aireplay在幾千個數據包中并沒有捕捉到相應的數據包包，則可使用Void11來助力，Void11能夠干擾目標AP和它的客戶端不，給它們任何機會去完成重新連接。手動停止void11(按Ctrl+C鍵)然后重新啟動它，添加“d”參數到void11的命令行中(延遲的值是微秒)，嘗試用不同的值去答應AP與客戶端重新連接的時間。
　　
　　假如目標客戶端處于空閑狀態，通過deauth攻擊來捕捉ARP包可能是比較困難的，這在一個真實環境的WLAN中可能不會發生，但在這個實驗的WLAN下環境中則成了一個問題。假如Aireplay沒有捕捉到你所需要的數據包破解不能進行下去，則可在開始deauth attack之前你需要到目標客戶端計算機上運行一個連續不斷的ping或開始一個下載任務。假如Void11完全不能正常工作，可Attack計算機上保持運行aireplay，在Sniff計算機上關閉void11，操作Target計算機并手動斷開無線網絡連接，再重新連接，在三十秒內，當它重新連接到WLAN并請求獲取一個IP地址時，在Attack計算機上的Aireplay能夠看到由目標計算機發出的ARP包。

　　
　　5、最后的破解的時刻
　　
　　經過一段時間的運行，在Attack計算機上運行的replay attack產生了足夠多的IV，現在是做真實的WEP破解的最終時刻到了，在Sniff計算機上停止void11，并輸入如下的命令以，設置Airodump來捕捉數據包。
　　
　　switch-to-wlanng
　　cardctl eject
　　cardctl insert
　　monitor.wlan wlan0 THECHANNELNUM
　　cd /ramdisk
　　airodump wlan0 cap1
　　
　　把THECHANNELNUM替換成目標WLAN的頻道數，假如在這個區域內有多個WAP，把目標AP的MAC地址添加到airodump的尾部作為參數，如:airodump wlan0 cap1 MACADDRESSOFAP。隨著Airodump把IV寫進一個文件中，我們可同時運行Aircrack來尋找包含在這個文件中的這個WEP密鑰，讓Airodump繼續運行，打開另外一個shell窗口，在這個新的命令窗口中輸入如下的命令來啟動Aircrack。
　　
　　cd /ramdisk
　　aircrack -f FUDGEFACTOR -m MACADDRESSOFAP -n WEPKEYLENGTH -q 3 cap*.cap
　　
　　注重:FUDGEFACTOR 在一個整數(默認值為2)，MACADDRESSOFAP是目標AP的MAC地址。WEPKEYLENGTH 是你嘗試破解的WEP密鑰的長度(64, 128等等)。如下圖二十二所示。
　　
　　　

　　圖二十三:Aircrack命令的格式
　　
　　Aircrack將從捕捉下來生成的數據包文件中讀入IV值，并依靠這些IV值上完成WEP密鑰的破解，Aircrack默認的是使用一個速度比較慢的模式來尋找WEP密鑰，不過這種模式速度雖慢，但它找到WEP密鑰的機會很高;還有一種模式就是使用-f參數，這個則速度相當快，不過成功的機會比前一個小得多。假如運氣好的話，你會看到WEP密鑰被成功地找到啦。如下圖二十三所示。
　　
　　

　　圖二十四:成功破解WEP密鑰
　　
　　要破解一個64bit的WEP在需要5分鐘時間，由同時運行于replay attack的幾個操作的時間組成的:用airodump掃描、用aircrack破解和用aireplay產生網絡通信流量，不過這里有許多幸運的地方，有時破解一個64bit的WEP的密鑰要收集25000個左右的IV，則它花費的時間就更長了。必須把這個你嘗試恢復的WEP密鑰的長度輸入到Aircrack中，這個長度沒有哪一個工具能提供，對你自己的實驗環境的WLAN當然能夠知道這個信息，但在別的你一無所知的網絡環境中則可以使用64或128這兩個密鑰長度去嘗試。
　　
　　使用配置更好的機器能夠有助于加快破解的過程，把捕捉下來生成的數據包文件拷貝到另外有更大內存和更快處理器的機器上去完成最后的破解動作不失為一個好的辦法，在這臺機器上就只要運行Aircrack這個工具了，并且aircrack能夠使用-p選項來支持多處理器，使用AMD和Intel的新雙處理器設備能使破解過程更快。對于128bit長的密鑰來說更是要如此了。

上一篇：無線Mesh網絡

下一篇：未來移動通信系統中的無線資源管理