本文將主要講講WPA-PSK類型的無線網絡安全問題,首先我們看下802.11協議相關的基礎知識。
成都創(chuàng)新互聯公司專注為客戶提供全方位的互聯網綜合服務����,包含不限于網站建設、成都網站設計���、原平網絡推廣、微信小程序開發(fā)���、原平網絡營銷���、原平企業(yè)策劃�����、原平品牌公關�����、搜索引擎seo����、人物專訪�����、企業(yè)宣傳片�����、企業(yè)代運營等��,從售前售中售后����,我們都將竭誠為您服務,您的肯定��,是我們最大的嘉獎�����;成都創(chuàng)新互聯公司為所有大學生創(chuàng)業(yè)者提供原平建站搭建服務���,24小時服務熱線:18982081108���,官方網址:www.cdcxhl.com
802.11常見的幾種認證方式:
1、不啟用安全??
??2�、WEP??
??3、WPA/WPA2-PSK(預共享密鑰)??
??4�、WPA/WPA2 802.1X (radius認證)
具體在路由器的配置界面一般如下圖所示:
WPA-PSK的認證過程:
由于我這里主要分析wpa-psk類型的認證方式,所以這里就不討論其他的認證方式了����,通過抓包分析,我們可以看到wpa-psk的大致認證過程分為以下幾步����。
1、無線AP定期發(fā)送beacon數據包,使無線終端更新自己的無線網絡列表�����。
??2��、無線終端在每個信道(1-13)廣播ProbeRequest(非隱藏類型的WiFi含ESSID����,隱藏類型的WiFi不含ESSID)。??
??3�����、每個信道的AP回應�����,ProbeResponse�,包含ESSID,及RSN信息��。??
??4����、無線終端給目標AP發(fā)送AUTH包�。AUTH認證類型有兩種���,0為開放式、1為共享式(WPA/WPA2必須是開放式)�。??
??5、AP回應網卡AUTH包���。??
??6��、無線終端給AP發(fā)送關聯請求包associationrequest數據包���。??
??7、AP給無線終端發(fā)送關聯響應包associationresponse數據包����。??
??8、EAPOL四次握手進行認證(握手包是破解的關鍵)�����。??
??9�����、完成認證可以上網。#p#
802.11數據幀類型說明
802.11協議的幀類型主要包括管理幀和數據幀�����,我們這里主要用到管理幀:
管理幀的主體包含的固定字段與信息元素是用來運送信息的���。管理幀主要以下幾種�����,負責鏈路層的各種維護功能�。
1. Beacon 信標幀
主要用來聲明某個網絡的存在�����。定期(默認100s���、可自己設置)傳送的信標可讓station得知網絡的存在����,從而調整加入該網絡所必需的參數�����。
2. Probe Request 探查請求幀
移動工作站利用Probe Request探查請求幀來掃描區(qū)域內目前哪些802.11網絡。
包含2個字段
SSID:可被設定為特定網絡的 SSID 或任何網絡的 SSID ����。
Support rates:移動工作站所支持的速率。
3.ProbeResponse探查響應幀
如果ProbeRequest所探查的網絡與之兼容�����,該網絡就會以ProbeResponse幀響應��。送出最后一個beacon幀的工作站必須負責響應所收到的探查信息����。
Probe Request幀中包含了beacon幀的所參數�,station可根據它調整加入網絡所需要的參數。
4.IBSS announcement traffic indication map (ATIM)
IBSS 的通知傳輸只是消息
5.Disassociation and Deauthentication
取消關聯�����、解除驗證幀
6. AssociationRequest
關聯請求幀
7.Reassociation Request
重新關聯
8.Association Response and Reassociation Response
關聯響應���、重新關聯響應
9.Authentication
身份驗證幀 ///Authentication Algorithm Number:用于算法擇
10.Action frame
幀傳送�����、關聯與身份驗證的狀態(tài)
State1 :未經認證且尚未關聯 2 :已經認證但尚未關聯 3 :已經認證且已經關聯����。
下圖是用科來分析數據包顯示的幀類型:
#p#
WPA-PSK認證四次握手認證的過程:
WPA-PSK破解原理:
用我們字典中的PSK+ssid先生成PMK(此步最耗時,是目前破解的瓶頸所在)�����,然后結合握手包中的客戶端MAC�����,AP的BSSID���,A-NONCE��,S-NONCE計算PTK�,再加上原始的報文數據算出MIC并與AP發(fā)送的MIC比較�����,如果一致���,那么該PSK就是密鑰�。如圖所示:
WPA-PSK破解過程:
接下來我們看看如何進行抓握手包破解WPA-PSK的無線AP,我這里用的工具是kali Linux�����,kali Linux集成了aircrack套件����。然后網卡使用的是rtl8187芯片的外置USB網卡。
破解步驟如下:
第一步:把usb網卡插入虛擬機�����,并開啟網卡到監(jiān)聽模式���,命令如下:
“ifconfig wlan0 up” 加載usb網卡。??
??“airmon-ng start wlan0” 監(jiān)聽模式已激活到mon0����。(通過config 命令查看)。
如果不開啟監(jiān)聽模式會報錯如下圖:
第二步:抓包查看有哪些無線網絡�,抓包的界面如下圖所示:
“airodump-ng mon0” 查看周邊路由AP的信息。
個人經驗一般信號強度大于-70的可以進行破解�,大于-60就最好了,小于-70的不穩(wěn)定����,信號比較弱��。(信號強度的絕對值越小表示信號越強)
第三步:選擇要破解的WiFi����,有針對性的進行抓握手包����,命令如下:
“ airodump-ng--ignore-negative-one -w /tmp/test.cap-c 11 --bssid 40:16:9F:76:E7:DE mon0”
參數說明:-w 保存數據包的文件名 –c 信道 –bssid ap的mac地址
(注意test.cap會被重命名),也可以用其他工具抓包比如:wireshark��、tcpdump���,抓到握手包會有提示���。
第四步:為了順利抓到握手包,我們需要使用DEAUTH攻擊使已經連接的客戶端斷開并重新連接��,以產生握手包��。(注意:抓握手包破解必須有合法的客戶端才行�����。)攻擊命令如下:
aireplay-ng-0 111 -a ap'mac mon1??
??aireplay-ng-0 3 -a B8:A3:86:63:B4:06 -c 00:18:1a:10:da:c9 -x 200 mon1
參數說明:-0 Deautenticate 沖突模式 3 發(fā)包次數 -x 發(fā)包速度
抓包可以看到很多deauthentication類型的數據包:
包結構如下:
抓到的數據包打開后如下圖:圖中使用wireshark打開的,EAPOL類型的數據包共有4個���,即四次握手的數據包��。
第五步:接下來就是破解握手包����,命令如下:
aircrack-ng-w pass-haoyong.txt test-03.cap
參數解釋:-w 字典路徑
也可以使用圖形化工具EWSA進行破解����,Elcomsoft Wireless Security Auditor(EWSA)
號稱可以利用GPU的運算性能快速攻破無線網絡密碼,運算速度相比使用CPU可提高最多上百倍�。
上面我們講解了通過抓握手包破解WPA-PSK認證的無線AP的全過程�����,從上述過程可以看出���,如果AP沒有合法的客戶端連接����,或者密碼設置的足夠復雜就基本上不可能破解。#p#
通過WPS破解無線路由器密碼
接下來我們看一下另一種破解方式�,也就是常說的pin碼破解后者叫wps破解。首先了解下什么是wps:
WPS(Wi-FiProtected Setup���,Wi-Fi保護設置)是由Wi-Fi聯盟組織實施的認證項目�����,主要致力于簡化無線網絡的安全加密設置��。
功能:
簡化配置�,快速配置一個基于WPA2的網絡�。
快速連接,輸入pin碼或按下WPS鍵即可完成網絡連接��。
問題:
由于WPS存在漏洞����,通過PIN碼可以直接提取上網密碼。
通過WPS快速配置無線路由器
我們可以通過WPS快速配置無線路由器:步驟如下
1�����、通過電腦連接新買的無線路由器���,提示通過pin碼進行設置��,界面如下:
2���、輸入pin碼下一步��,就會為路由器自動生成一個足夠復雜的認證方式及密碼:
通過WPS快速連接已有網絡
我們也可以通過WPS快速連接已有網絡��,不用輸入復雜的密碼:步驟如下(我使用小米手機進行測試)
1�、在手機上選擇通過PIN碼進行連接或通過路由器上的WPS按鍵連接��。
2�、如果選擇前者只需要輸入pin碼即可連接,如果選擇的是后者則只需要按以下路由器上的wps鍵即可完成連接���。
#p#
Pin碼破解的原理:
由于WPS存在安全問題�,通過PIN碼可以直接提取上網密碼���。而pin碼是一個8位的整數,破解過程時間比較短��。WPS PIN碼的第8位數是一個校驗和�����,因此黑客只需計算前7位數。另外前7位中的前四位和后三位分開認證���。所以破解pin碼最多只需要1.1萬次嘗試�,順利的情況下在3小時左右�。Wps認證流程如下圖:
破解的操作步驟:
第一步:Wash 掃描開啟WPS的網絡。
wash-i mon1 –C
第二步:窮舉破解pin碼�,并通過獲取的pin碼得到無線AP上網密碼。
reaver-i mon0 -b 5C:63:BF:BA:44:DC -a -S -vv
reaver參數說明:
1. -i 監(jiān)聽后接口稱號??
??2. -b APmac地址??
??3. -a 主動檢測AP最佳配置??
??4. -S 利用最小的DH key(能夠進步PJ速度)??
??5. -v��、-vv 顯示更多的破解信息??
??6. -d 即delay每窮舉一次的閑置時候預設為1秒??
??7. -t 即timeout每次窮舉守候反應的最長時候??
??8. -c指定頻道能夠便當找到信號���,如-c1 指定1頻道
如果無線路由器沒開wps功能會報錯如下圖:
另外破解過程中無線路由器會有如下特征:
破解成功后如下:
如果之前破解的無線路由器密碼被改了��,可以直接通過pin碼獲取密碼���,命令如下:
reaver-i mon0 -b MAC -p PIN8位數
上面就是通過pin碼破解無線路由器密碼的全過程,可見開啟wps功能并不安全���,建議最好不要開此功能�����。#p#
最后介紹幾個圖形界面的工具:
常用的圖形界面的工具有水滴�、打氣筒、奶瓶:
這些工具只是將Aircrack-ng����、 reaver打包圖形化,即為Aircrack-ng套件的GUI�。
1. Aircrack-ng是一個與802.11標準的無線網絡分析關的安全軟件,主要功能:網絡偵測�����,數據包嗅探���,WEP和WPA/WPA2-PSKPJ�。
2. reaver��,專用來pin PJ的軟件�、一般都集成在水滴等里面了。
3. 另外我們常用的注:beini/CDlinux/xiaopan都是小型linux系統���,已集成了上述工具��。下圖為水滴的界面�����。
安全建議:
1. 使用WPA2認證��,不要使用wep或無認證���。??
??2. 為無線網路設置復雜的密碼。??
??3. 關閉WPS功能��。
當前文章:WPA-PSK無線網絡破解原理及過程
網頁鏈接:
http://uogjgqi.cn/article/cdjhgcc.html
