無線技術變化大,難度大,既新鮮刺激,又壓力山大。一半協議 一半理論
無線技術特點:
行業發展迅猛
互聯網的重要入口
邊界模糊
安全實施缺失而且困難
對技術不了解造成配置不當
企業網絡私自接入ap破壞網絡邊界
IEEE
電氣和電子工程師協會(IEEE,全稱是Institute of Electrical and Electronics Engineers)是一個國際性的電子技術與信息科學工程師的協會,是目前全球最大的非營利性專業技術學會,其會員人數超過40萬人,致力於電氣、電子、計算機工程和與科學有關的領域的開發和研究,在太空、計算機、電信、生物醫學、電力及消費性電子產品等領域已制定了900多個行業標准,現已發展成為具有較大影響力的國際學術組織。
IEEE分為不同的技術委員會,其中802委員會負責lan,man標准的制定
以太網
令牌環網
無線局域網
網橋
無線工作:
數據鏈路層---邏輯鏈路控制子層LLC--媒體訪問控制子層MAC
物理層
日常使用
802.11:
發布於1997年,速率1Mbps或2Mbps,紅外線傳輸介質(未實現)
無線射頻編碼(radio frequencies)
Direct-Sequence Spread-Spectrum (DSSS)----------直序擴頻
Frequency Hopping Spread-Spectrum (FHSS)------跳頻擴頻
媒體訪問方式--------CSMA/CA c=b+log2(1+s/n)
根據算法偵聽一定時長
發送數據前發包聲明
Request to Send/Clear to Send (RTS/CTS)
802.11b:
Complementary Code Keying (CCK)------補充代碼鍵
5.5 and 11Mbit/s
2.4GHz band (2.4GHz---2.485 GHz)
14個重疊的信道 channels
每個信道22MHz帶寬
只有三個完全不重復的信道
美國--1 to 11(2.412 GHz --- 2.462 GHz)
歐洲--1 to 13(2.412 GHz --- 2.472 GHz)
日本--1 to 14(2.412 GHz --- 2.484 GHz)
802.11B:
802.11A:
與802.11b幾乎同時發布,因設備價格問題一直沒有得到廣泛使用
使用5GHz帶寬
2.4GHz帶寬干擾源多(微波,藍牙,無線電話)
5GHz頻率有更多帶寬空間,可容納更多不重疊的信道
OFDM信號調制方法--正交頻分復用技術
更高速率54Mbps,每個信道20MHz帶寬
變頻------5.15-5.35GHz室內,5.7-5.8GHz室外
802.11G:
2.4G頻率
OFDM信號調制方法
與802.11a速率相同
可全局降速,向后兼容802.11b,並切換為CCK信號調制方法
每個信道20/22MHz帶寬
802.11N:
2.4或5Ghz頻率
300Mbps 最高600Mbps
MIMO多進多出通信技術
多天線,多無線電波,獨立收發信號
可以使用40MHz信道帶寬是數據傳輸速率翻倍
全802.11n設備網絡中,可以使用新報文格式,使速率達到最大
每個信道20/40MHz帶寬
無線網絡運作模式
無線網絡架構:
Infrastructure
AP維護SSID
AD-Hoc
STA維護SSID
Service Set Identifier(SSID)
AP每秒鍾約10次通過beacon幀廣播SSID
客戶端連接到無線網絡后也會宣告SSID
MONITOR MODE
monitor不是一種真的無線模式
但是對無線滲透至關重要
允許無線網卡沒有任何篩選的抓包(802.11包頭)
與有線網絡的混雜模式可以類比
適合的網卡和驅動不但可以monitor,更可以injection
選擇無線網卡:
這是個痛苦和受挫的過程,無線網卡的芯片型號是成敗的關鍵
發送功率-------遠程連接
接受靈敏性----適當降低靈敏度,接收效果更佳
沒有所謂的標准,但是Aircrack-ng suite作者給出的建議
Realtek 8187芯片
1000 mW發送功率
天線---RP-SMA 可擴展
定向天線:
八木天線------引向反射天線
扇形天線---常用與移動電話網絡,3到4個扇形天線聯合使用可實現全向信號覆蓋
120度扇形天線波形
網裝天線--射束帶寬更加集中,功率更強
linux無線協議棧
802.11頭部
DU(Data Unit)即數據單元,信息傳輸的最小數據集合
傳遞過程逐層封裝
SDU(Service Data Unit)/PDU(Portocol Data Unit)
MSDU》MIC》分幀》添加IV》加密》添加MAC頭部》MPDU
MPDU/PSDU+物理頭=PPUD》RF發射
802.11MAC頭部結構
802.11
Protocol Version(2bit):802.11協議版本,始終為0.1.2.3
Type(2bit):規定幀的具體用途(3種幀類型)
控制幀(1)
數據幀(2)
管理幀(0)
Sub Type(4bit)
每個類型對應多個子類型,協議規定不同類型/子類型的幀完成不同功能的操作
無線通信過程
Probe----------------------STA向所有信道發出probe幀,發現AP。AP應道Response
Authentication------------STA向AP發出驗證請求,發生認證過程,AP響應STA的認證結果
Association----------------STA發出關聯請求,AP響應關聯請求,關聯成功,開始通信
WEP探測過程
Beacon標識使用WEP加密,STA發送普通Probe幀,AP響應Probe Response幀聲明采用WEP加密
兩個AP的beacon包內容不同,但都聲明采用了WPA加密(不同廠商對802.11標准的實現方式不同),包頭包含WPA1字段信息
WEP open認證過程
正確認證后通信數據被WEP加密,如果認證時客戶端輸入錯誤密碼(認證依然可以通過,AP將丟棄該STA的數據包,起始向量被錯誤的密鑰解密后完整性被破壞,但數據傳輸將失敗)。認證響應正確,身份驗證成功。
WEP PSK認證過程
STA發認證請求
AP返回隨機Challenge消息
STA使用PSK加密Cha並發回給AP
AP使用PSK解密密文,獲得Cha並與原始Cha對比,相同則驗證成功,不同則驗證失敗
大部分無線驅動首先嘗試open驗證,如失敗則嘗試PSK
WEP共享密鑰認證過程
無論使用什么加密架構,關聯過程完全相同(STA向AP發送關聯請求,AP向STA發送關聯成功或失敗結果)
隱藏AP(STA關聯包中必須包含目標AP的ESSID,嗅探到此關聯包,說明有隱藏AP存在)
無線網卡配置
查看信道頻率
掃描附近AP
無線滲透和審計神器:aircrack-ng
包含多種功能的工具套件----網絡檢測,嗅探抓包,包注入,密碼破解
檢測網卡
開啟網卡
再次查看網卡
或者指定啟動在哪個信道
airodump-ng
BSSID:AP的mac地址
PWR:網卡接收到的信號強度,距離越近信號越強(-1-----信號不夠,超出了范圍,或者驅動不支持)
RXQ:最近10秒成功接收的數據幀的百分比(數據幀,管理幀,只有在固定信道才會出現)
Beacons:接收到次AP發送的beacon幀數量
#Data:抓到的數據幀數量(WEP表示IV數量),包含廣播數據幀
#/s:最近10秒內,每秒平均抓到的幀數量
CH:信道號(從beacon幀中獲得),信道重疊時可能發現其他信道
MB:AP支持的最大速率
ENC:采用的無線安全技術,WEP,WPA,WPA2,OPEN
CIPHER:采用的加密套件,CCMP,TKIP,WEP40,WEP104
AUTH:身份認證方法,MGT,PSK,SKA,OPEN
ESSID:無線網絡名稱,隱藏AP此值可能為空
STAION:STA的mac地址
Lost:通過sequence number判斷最近10秒STA發送丟失的數據包數量(管理幀,數據幀),干擾,距離,發包不能收,收包不能發
Frames:STA發送的數據包數量
Probes:STA探測的ESSID
抓取指定信道
抓取信道一的40:31:3C:E4:E3:15的數據包 -w保存到自定義文件里
aireplay-ng
產生或者加速無線通信流量,向無線網絡中注入數據包,偽造身份驗證,強制重新身份驗證,抓包重放
用於后續WEP和WPA密碼破解,支持10種包注入
獲取包的兩種途徑--(-i:指定接口,-r 抓包文件pcap)
aireplay-ng <options> <replay interface>
參數
過濾選項:
-b bssid:MAC地址,接入點
-d dmac:MAC地址,目標
-s smac:MAC地址,來源
-m len:最小數據包長度
-n len:最大包長度
-u type:幀控制,類型字段
-v subt:幀控制,子類型字段
-t tods:幀控制,到DS位
-f fromds:幀控制,從DS位
-w iswep:幀控制,WEP位
-D:禁用AP檢測
重放選項:
-x nbpps:每秒數據包數
-p fctrl:設置幀控制字(十六進制)
-a bssid:設置接入點MAC地址
-c dmac:設置目標MAC地址
-h smac:設置源MAC地址
-g value:更改環緩沖區大小(默認值:8)
-F:選擇第一個匹配的數據包
Fakeauth攻擊選項:
-e essid:設置目標AP SSID
-o npckts:每個突發的數據包數(0 = auto,默認值:1)
-q sec:保持活動之間的秒數
-Q:發送重新關聯請求
-y prga:共享密鑰身份驗證的密鑰流
-T n:重試假身份驗證請求n次后退出
Arp Replay攻擊選項:
-j:注入FromDS包
碎片攻擊選項:
-k IP:設置片段中的目標IP
-l IP:設置片段中的源IP
測試攻擊選項:
-B:激活比特率測試
來源選擇:
-i iface:從此接口捕獲數據包
-r file:從此pcap文件中提取數據包
其他選擇:
-R:禁用/ dev / rtc用法
--ignore-negative-one:如果無法確定接口的通道, 忽略未修補的cfg80211所需的不匹配
--deauth-rc rc:取消認證原因代碼[0-254](默認值:7)
攻擊模式(可使用數字):
--deauth count:deauthenticate 1或all station(-0)
--fakeauth延遲:使用AP進行偽身份驗證(-1)
--interactive:交互式框架選擇(-2)
--arpreplay:標准ARP請求重播(-3)
--chopchop:decrypt / chopchop WEP包(-4)
--fragment:生成有效的密鑰流(-5)
--caffe-latte:查詢客戶端的新IV(-6)
--cfrag:針對客戶端的碎片(-7)
--migmode:攻擊WPA遷移模式(-8)
--test:測試注射和質量(-9)
基本測試,測試無線網卡的注入質量--Injection is working!
MAC地址綁定攻擊
管理員誤認為mac地址綁定是一種安全機制,限制可以關聯的客戶端mac地址,其實這並不算是一種安全機制
開啟網卡
查看是否是Monitor模式
查看在哪個信道
幀聽11信道
指定偵聽的目標
如果此時有其他的客戶端連接這個AP,就可以把隨便一個客戶端的mac地址復制,把本機的mac修改為那個客戶端,既可繞過mac地址綁定
ifconfig wlan0mon down(先關閉網卡)
macchanger -m 復制的mac wlan0
ifconfig wlan0mon up(再次啟動網卡)
查看無線網卡的mac地址,然后直接鏈接上AP
WEP攻擊 (沒什么人用,不演示了)
WEP密碼破解原理:IV並非完全隨機,每224個包可能出現一次IV重用
收集大量的IV之后找出相同IV及其對應密文,分析得出共享密碼
ARP回包中包含IV
IV足夠多的情況下,任何復雜程度的WEP密碼都可以被破解
WPA攻擊
WPA PSK攻擊
只有一種破解方法,WPA不存在WEP弱點,只能暴力破解
CPU資源,時間,字典質量--網上共享的密碼,泄露密碼,地區電話號碼段,crunch生成的字典,kali自帶的字典
破解過程:啟動monitor》抓包並保存》Deauthentication攻擊獲取4步握手信息》使用字典暴力破解
啟動monitor
偵聽
抓取指定的目標
新開一個終端,攻擊切斷客戶端與AP的連接
aireplay-ng -0 2 -a APmac -c 客戶端連接mac wlan0mon
直到出現了 WPA handshake: 2C:43:1A:48:EA:70 出現這個,說明已經抓到包了
用aircrack-ng破解文件
aircrack-ng -w /usr/share/john/password.lst test-01.cap (-w 指定字典文件)
然而我字典根本不夠強大
友情鏈接 http://www.cnblogs.com/klionsec
http://www.cnblogs.com/l0cm
http://www.cnblogs.com/Anonyaptxxx
http://www.feiyusafe.cn