無線局域網密碼破解_
只要你要上網的附近有無線局域網而它又加了密碼,可用此法一試,不過不要用於非法目的喲
無線網絡WEP 的破解過程
WLAN 技術出現之後,“安全”就成爲始終伴隨在“無線”這個詞身邊的影子,針對無線網絡
技術中涉及的安全認證加密協議的***與破解就層出不窮。現在,因特網上可能有數以百計,
甚至以千計的文章介紹關於怎麼
***與破解WEP,但有多少人能夠真正地成功攻破WEP 的加密算法呢?下面筆者來給
大家介紹一些關於WEP 加密手段的知識,以及就是菜鳥只要按照步驟操作也可成功破解
WEP 密鑰的方法。當然最終的目的還是爲了讓記者做好安全設置對破解更好的進行防範。
本系列文章共兩篇,在第一篇裏主要介紹破解WEP 的方法,第二篇裏介紹如何設置WLAN
的安全設置來進行更好的防範。
一、WEP:無線網絡安全最初的保護者
相對於有線網絡來說,通過無線局域網發送和接收數據更容易被竊聽。設計一個完
善的無線局域網系統,加密和認證是需要考慮的兩個必不可少的安全因素。無線局域網中應
用加密和認證技術的最根本目的就是使無線業務能夠達到與有線業務同樣的安全等級。針對
這個目標,IEEE802.11 標準中採用了WEP(Wired Equivalent Privacy:有線對等保密)協議來
設置專門的安全機制,進行業務流的加密和節點的認證。它主要用於無線局域網中鏈路層信
息數據的保密。WEP 採用對稱加密機理,數據的加密和解密採用相同的密鑰和加密算法。
WEP 使用加密密鑰(也稱爲 WEP 密鑰)加密 802.11 網絡上交換的每個數據包的數據部
分。啓用加密後,兩個 802.11 設備要進行通信,必須具有相同的加密密鑰,並且均配置爲
使用加密。如果配置一個設備使用加密而另一個設備沒有,則即使兩個設備具有相同的加密
密鑰也無法通信。(如圖一所示)
圖一:WEP 加密
WEP 加密過程
WEP 支持 64 位和128 位加密,對於 64 位加密,加密密鑰爲 10 個十六進制字
符(0-9 和 A-F)或 5 個 ASCII 字符;對於 128 位加密,加密密鑰爲 26 個十六進制字符或
13 個 ASCII 字符。64 位加密有時稱爲 40 位加密;128 位加密有時稱爲 104 位加密。152
第 2 頁 共 23 頁
位加密不是標準 WEP 技術,沒有受到客戶端設備的廣泛支持。WEP 依賴通信雙方共享的
密鑰來保護所傳的加密數據幀。其數據的加密過程如下。
1、計算校驗和(Check Summing)。
(1)對輸入數據進行完整性校驗和計算。
(2)把輸入數據和計算得到的校驗和組合起來得到新的加密數據,也稱之爲明文,明
文作爲下一步加密過程的輸入。
2、加密。在這個過程中,將第一步得到的數據明文采用算法加密。對明文的加密有
兩層含義:明文數據的加密,保護未經認證的數據。
(1)將24 位的初始化向量和40 位的密鑰連接進行校驗和計算,得到64 位的數據。
(2)將這個64 位的數據輸入到虛擬隨機數產生器中,它對初始化向量和密鑰的校驗
和計算值進行加密計算。
(3)經過校驗和計算的明文與虛擬隨機數產生器的輸出密鑰流進行按位異或運算得
到加密後的信息,即密文。
3、傳輸。將初始化向量和密文串接起來,得到要傳輸的加密數據幀,在無線鏈路上
傳輸。(如圖二所示)
圖二:WEP 加密過程
WEP 解密過程
在安全機制中,加密數據幀的解密過程只是加密過程的簡單取反。解密過程如下。
第 3 頁 共 23 頁
1、恢復初始明文。重新產生密鑰流,將其與接收到的密文信息進行異或
運算,以恢復初始明文信息。
2、檢驗校驗和。接收方根據恢復的明文信息來檢驗校驗和,將恢復的明文信息分離,
重新計算校驗和並檢查它是否與接收到的校驗和相匹配。這樣可以保證只有正確校驗和的數
據幀纔會被接收方接受。
圖三:WEP 解密過程
二、破解WEP 密鑰前的準備工作
在以下的兩部分內容內,筆者將逐步地向大家介紹關於怎樣來破解WEP 的密鑰的
方法。這種方法並不需要什麼特別的硬件設備,僅僅只需兩臺(只有一臺也可)帶有無線網卡
的筆記本而已,整個***過程所使用的也只是一些共享和自由軟件,並不需什麼相當專業的
工具。看懂這篇文章和學會操作的讀者,並不需要你是一名網絡專家,不過要基本上熟悉一
些網絡術語和基本的原理。最少,你應該知道怎樣去ping 另外一臺機器以測試網絡是否暢
通,並會打開一個Windows 的命令提示符窗口,知道輸入相關命令和了解關於Windows 網
絡屬性窗口的相關內容。這就是基本的要求,要不然怎麼可稱之爲菜鳥都可學會的方法呢。
1、組建實驗環境
開始之前,我們的第一步就是要組建一個實驗環境,你不可能拿別人的網絡來玩你
的破解吧,這樣做既違反了法律也是一種不道德的行爲噢。搭建一個實驗環境下的無線網絡
平臺,則無線AP 是少不了的,另外,三臺帶有無線網卡的筆記本(使用有無線網卡的臺式機
也可以)組成的簡單網絡就可滿足要求了。組成的網絡拓撲如下圖四所示。
第 4 頁 共 23 頁
圖四:組建一個實驗環境
在圖四所示的網絡中,無線AP 的選用,我們使用的是一個Netgear 的產品,型號
爲WGT624v2,它在以後充當被***目標的角色,在以後就稱它爲目標AP。在所使用的三
臺機器中,一臺是作爲被***目標的客戶端機器,暫且稱之爲“Target”;另外兩臺筆記本一臺
執行主動***,促使網絡流量的產生,以便足夠多的數據包有比較短的時間內能夠被捕捉到,
稱這臺機器爲“Attack”;剩下的那臺筆記本就是用來嗅探並捕捉那些主動***產生的數據包
了,則把它稱爲“Sniff”。當然,儘管整個的破解過程可以在一臺筆記本上完成,但筆者並不
推薦這種做法,用僅僅一臺筆記本,會使以後的工作變得很麻煩,並且發現使用這種方法的
話竊聽程序可能會發生一點小問題。在一個使用率不高的WLAN 中,使用主動***比被動探
測的機會更大,它可在較短的時間內使WLAN 產生更多的數據包從而加快破解WEP 的速度。
在這個實驗環境中一定非得要使用筆記本不可,我們當然也能夠使用桌面PC 或桌
面PC 與筆記本混用,不過使用筆記本的話它的便攜性更好,而且對現在的無線PC Card 卡
有更好的兼容性。
Target 所使用的無線網卡與芯片無關,只要是基於802.11b,任意廠家的產品都可
滿足要求。而Attack 與Sniff 兩臺機器是使用的兩塊基於PRISM 芯片的802.11b 的無線網
卡。儘管我們在以後的操作中中使用的很多工具(如Kismet)都可支持相當多種類的無線網卡,
但筆者還是建議使用基於PRISM 2 芯片的網卡,因爲這種芯片能夠被我們在破解過程所要
使用到的所有工具都支持。
無線網卡一般有外置天線與內置天線兩種,如果所購買的無線網卡並沒有內置天線
的話,還必須自己再另購天線。不過外置天線的優點就是增益更高,靈敏度更好,可以調節
天線的方向從而得到更好的信號接收;而內置天線是可以更方便地攜帶,缺點是天線方向無法
調節。筆者看到有一種移動式外置天線,使用起來是很方便的,在這種移動式天線的底部有
幾個橡膠材料的小吸杯,可以把它方便地吸附在筆記本的頂蓋上,如果是在車內使用的話,
還可把它牢牢地吸在車空窗玻璃上呢。如下圖五所示。
第 5 頁 共 23 頁
圖四:移動式天線
2、實驗WLAN 的設置
適當地對這個實驗環境進行一下設置是很重要的,因爲我們畢竟只想要在這個用來
實驗的環境中來完成所有的操作,在下文中描述的***過程中,將會強制終止一
個
與AP 有連接的客戶端。這種***可能會對在這個鄰近區域內的無線用戶造成嚴重損害,
爲了避免鄰近的AP 上的用戶受到附帶的***, 是要保護那些並不屬於實驗WLAN 的用戶。
如果這個操作環境中位於一個複雜的辦公室、辦公大樓或其他有許多無線網絡覆蓋的區域中
的話,要嘗試一下這樣的破解操作,請最好等到晚上沒什麼人工作,網絡不再繁忙時進行,
免得“城門失火,殃及池魚”。
第一步就是連接和設置這個被***的實驗無線局域網,如前面所述,這個WLAN 包
含有一個Access Point(無線路由器)和僅僅一個無線客戶端,且這個無線局域網被我們想要
破解的WEP 密鑰保護起來了。把目標AP 的SSID(System Set ID)設置爲“starbucks”,SSID
用來區分不同的網絡,也稱爲網絡名稱。無線工作站必須出示正確的SSID,與無線訪問點
第 6 頁 共 23 頁
AP 的SSID 相同,才能訪問AP;如果出示的SSID 與AP 的SSID 不同,那麼AP 將拒絕他
通過本服務區上網。可以認爲SSID 是一個簡單的口令,從而提供口令機制,實現一定的安
全性。並在這個WAP 上配置一個64 位的WEP 密鑰來進行保護。
把如下的信息記錄下來以便以後使用
①AP 的MAC 地址。它通常會在AP 的WEB 配置菜單上顯示出來, AP 的底部或
側面的標籤上也可能記有本機的MAC 地址。
②AP 的SSID。
③AP 的無線頻道(Channel)。
④WEP 密鑰。如果無線AP 顯示的密鑰像0xFFFFFFFFFF 這樣的格式(把設定的值
替代F 的值),把除0x 外的每個字母都記下來。
第二步就是把Target 客戶端連接到目標AP 上。我們現在需要把這個客戶端連接到
目標AP 以進行進一步的配置,(以下都是在Windows XP 下進行的),右鍵單擊桌面上的“網
上鄰居”圖標,或者通過“開始”菜單,然後單擊“屬性”,雙擊“Wireless Network Connection”,
然後打開如圖五所示的窗口,其中顯示的是有多個可用的無線網絡,但如果只有一個無線網
絡的話,則在該窗口中可能只僅僅顯示剛剛配置的那個名爲“starbucks”的AP,雙擊相應的
SSID 名稱以連接到目標AP。
圖五:連接到目標WLAN
因爲AP 已開啓了WEP 保護,連接時Windows 會要求輸入一個密碼(如圖六所示),
把剛纔設置的的WEP 密鑰輸入(當然從記事本或寫字板文檔中粘貼過來也可),稍等一會兒後
Windows 就會報告已連接到網絡上。確認一下是否已真正地連接成功,去ping 一個在有線
網絡計算機來測試一下;或者假如這個實驗WLAN 已接連到因特網上,隨便打開一個WEB 站
點看是否能夠連接來加以確認。如果不能成功地ping 通已知地址的機器或者打不開正常的
WEB 站點,則打開無線網卡的屬性,單擊“支持”按鈕,檢查一下無線網上是否已獲取了一個
正確的IP 地址,如果沒有能夠獲取正確的IP 地址,看看網絡中的DHCP 服務器是否已啓用,
第 7 頁 共 23 頁
並檢查無線網卡的TCP/IP 屬性是否設置成“自動獲取IP 地址”了,如果一切都正常,在這個
無線連接中點擊 “修復”按鈕來加以改正。
圖六:輸入WEP 密鑰
第三步就是記錄下Target 機器的MAC 地址。一旦成功連接到網絡上,就把被***
的Target 計算機的MAC 地址記錄下來。方法有兩種,一是打開一個命令提示符窗口並輸入
ipconfig/all 命令也可看到這個MAC 地址,這個窗口的內容如下圖七所示(無線網卡的MAC
地址信息已高亮度顯示)。
圖七:輸入ipconfig/all 命令來發現MAC 地址
二是在Windows XP 中,可從“無線連接狀態”窗口來得到這個MAC 地址,單擊“支
持”按鈕,然後單擊“詳細信息”,這個MAC 地址就顯示在窗口頂端的右邊(如圖八所示),當然,
不同的機器顯示的名稱可能不盡相同,另外的計算機顯示的就可能如“物理地址”這一類的描
述信息了。在這個窗口的信息,組成MAC 地址的字母和數字被短劃線分隔,短劃線的目的
只是使這些字符看得更清楚,但實際的MAC 地址是沒有這些短劃線的。
第 8 頁 共 23 頁
圖八:在網絡連接詳細信息中顯示的MAC 地址
3、筆記本的設置
首先,我們來準備破解WEP 密鑰所需要的幾個工具軟件(Kismet、Airodump、
Void11、Aireplay 和Aircrack),Kism
et:用來掃描整個區域內的WLAN,找到實驗用的目標WLAN,收集相關數據
(SSID 值、頻道、AP 及與之相連接的客戶端的MAC 地址等);Airodump:對目標WLAN 進行
掃描並捕獲其產生的數據包到一個文件中;Void11:從目標AP 中驗證某臺計算機,並強制這
個客戶端重新連接到到目標AP,以使其一個ARP 請求;Aireplay:接受這些ARP 請求並回送
到目標AP,以一個合法的客戶端身份來截獲這個ARP 請求; Aircrack:接受Airodump 生成的
捕獲文件並從中提取WEP 密鑰。
它們都是公開源代碼的共享或自由軟件,這些所有的工具都可以在一個被稱爲
“Auditor Security Collection LIVE CD” 的共享光盤上找到,這個光盤是一張可引導系統的光
盤,可以引導一個經過改進過的Kanotix Linux,這個Linux 版本無需存取硬盤,在通過光盤
啓動時直接安裝到內存中就,它啓動後可自動檢測和配置多種無線網卡。在本文使用的
Auditor Security Collection LIVE CD 是最新版本,版本號爲auditor-150405-04,下載地址
爲http://new.remote-exploit.org/index.php/Auditor_mirrors,下載的文件格式是CD 映像文
件或.ISO 文件,通過NERO(或其他的刻錄軟件)把它刻錄下來,給Attack 和Sniff 機器各一
張。
第 9 頁 共 23 頁
首先把無線網卡插入到筆記本中(如果機器內置有無線網卡就最好不過了),再把筆記
本設置成從光盤引導,並把Auditor Security Collection CD 放入光驅中。從Auditor 引導菜
單中選擇合適的屏幕分辨率後,Kanotix Linux 會被安裝到內存中運行並出現Auditor 開始屏
幕(如圖九所示)。
圖九:Auditor 的開始屏幕
在這個Auditor 系統中,兩個最重要的圖標是位於屏幕左下方的Programs 和
Command Line 圖標,我們以後的許多操作基本上都是要通過它們來完成的。如圖十所示。
圖十:Program 和Command Line 的位置
在這裏,開始做其他任何其他的事情之前,先要確認我們機器上的無線網卡能夠通
過Auditor 的驗證。單擊Command Line 圖標以打開一個命令行窗口,然後輸入iwconfig 命
令,在Auditor 顯示出的信息中,你會看到有關於“Wlan0”的信息,它是Auditor 爲基於PRISM
芯片的卡確定的一個名稱,如果用來操作***的筆記本的屏幕顯示如圖十一所示的窗口,則
表明Auditor 已檢測到了無線網卡,現在就可以開始下一步工作了。對於另外一臺筆記本,
也進行同樣的步驟,重複這一操作。
第 10 頁 共 23 頁
圖十一:用iwconfig 命令檢驗無線網卡
好,準備工作現在基本完成,在本文的下篇裏,我們將開始實際的解決過程。
三、實戰破解過程
1、用Kismet 進行網絡探測
Kismet 是一個基於Linux 的無線網絡掃描程序,這是一個相當方便的工具,通過測
量周圍的無線信號來找到目標WL
AN。雖說Kismet 也可以捕獲網絡上的數據通信,但在還有其他更好的工具
使用(如Airodump),在這裏我們只使用它來確認無線網卡是否正常工作和用來掃描無線網
絡,在下面的部分中將會換用不同的工具軟件來真正地偵聽和捕獲網絡上的數據通信。
單擊Programs 圖標,然後是Auditor,再 Wireless,, 然後Scanner/Analyzer,
最後是 Kismet ,來運行Kismet 程序。如圖十二所示。
第 11 頁 共 23 頁
圖十二:運行Kismet
除掃描無線網絡之外,Kismet 還可以捕獲網絡中的數據包到一個文件中以方便以後
加以分析使用,因此Kismet 會詢問用來存放捕獲數據包的文件的位置,如我想把這些文件
保存到rootdesktop 下,則單擊“Desktop”,然後選擇“OK”即可,如圖十三所示。然後Kismet
然後會詢問捕獲文件的前綴名字,我們可以更改這個默認的名字,例如把它更改爲“capture”
然後點擊OK,這樣Kismet 就會以capture 爲文件名的開頭,再在其後依次添加序號來保存
捕捉下來的數據包到不同的文件中。
圖十三:在Kismet 中指定文件的存放位置
第 12 頁 共 23 頁
當Kismet 開始運行時,它將會顯示這個區域內它找到的所有的無線局域網,“Name”
那一列中所顯示出來的內容就是哪一個WLAN 中AP 的SSID 值,那當然開始設定的目標
WLAN 也應該包含中其中(Name 下值爲starbucks 的那一行),在這一行中,CH 列的值(AP
所使用的頻道)應該與開始所記下的相同。在窗口的最右邊顯示的信息是Kismet 發現的
WLAN 的數目,已被捕捉下來了的數據包、已加密了的數據包的數目等等。如下圖十四所示。
如果Kismet 發現了許多相鄰的Access Point,你應把這個實驗環境搬得離這些AP 更遠一些,
或者把與你網上相連接的任何高增益天線斷開。
甚至當目標計算機已關閉時,Kismet 也正可從我們的目標AP 中檢測到數據包,這是因
爲目標AP 在不停地發出“beacons”,它將告之擁有無線網卡的計算機有一個AP 在此範圍內,
我們可以這樣想
像,這臺AP 宣佈,“我的名字是XXXXX,請大家與我連接。”
圖十四:Kismet 顯示的內容
默認的Kismet 是運行在“autofit”模式下的,它顯示的內容雜亂無章的,我們可以通
過排序把AP 按任何有意義有順序來重新排列,按下“s”鍵到“Sort”菜單,在這兒可以按下某個
字母來對搜尋到的AP 進行排序,如“f”鍵是按AP 名字的第一個字母來排序,而“c”鍵是按AP
使用的頻道來進行排序,“l”是按時間來進行排序等等。
現在我們來查看一下目標WLAN 中AP 的詳細信息,按下“s”鍵,然後再按下“c”鍵,
把整個AP 的列表用頻道的方式來排列,使用光標鍵移動高亮條到表示目標AP 的SSID 上,
第 13 頁 共 23 頁
然後敲下回車鍵,然後將打開一個顯示所選擇AP 的詳細信息的說明窗口(SSID、MAC 地址
和頻道等)。這樣,要破解一個加密WLAN 的WEP 密鑰所需要的基本信息大部分都在這兒了。
如圖十五所示。有些WLAN 從安全方面考試,隱藏了SSID 或屏蔽SSID 廣播,這樣做的話
的確能夠防止使用Netstumbler 來掃描,但碰上Kismet 就毫無辦法了,它可輕易地檢測到隱
藏的SSID。Kismet 能夠比Netstumbler 捕捉到更多的網絡信息,能夠通過跟蹤AP 及與之
相連接的客戶端之間的會話而發現某個AP 的SSID。
圖十五:Kismet 顯示一個AP 的詳細信息
要完成一個破解過程,還有最後一個需要了解的信息,就是WLAN 中連接在目標
AP 上的無線客戶端的MAC 地址,這個使用Kismet 也是很輕易地搞定的。返回Kismet,按
下“q”鍵退出詳細信息窗口,默認的選擇仍舊是剛纔查看了的目標AP,使用“Shift+C”鍵,這
時會打開一個與目標AP 相關的客戶端列表,它們的MAC 地址就顯示在這個窗口的左邊。
如圖十六所示。在這個窗口顯示的內容中,不但包含了與AP 相連的客戶端的MAC 地址,
還包括AP 自己的MAC 地址,還記得在本文的開頭所記下的目標AP 的MAC 地址嗎?在這,
除了目標AP 的MAC 地址外就是客戶端的MAC 地址了。
第 14 頁 共 23 頁
圖十六:使用Kismet 尋找客戶端的MAC 地址
如果你沒有看到Target 計算機的MAC 地址,請檢查一下,確認一下它是否已開機
或連接到了目標AP(啓動目標計算機,連接到目標AP 並打開WEB 頁面),大約10-30 秒後,
你將會看到目標計算機的MAC 地址在Kismet 中彈出。當然,把所有的客戶端MAC 地址都
記下來也不失爲一個老道的方法,這樣就可避免在開始破解過程時一個客戶端也沒有出現時
受阻。
2、用Airodump 來捕獲數據包
現在瞭解破解所需的基本信息了,該是開始使用Airodump 工具的時候了,Airodump
的主要工作是捕獲數據包併爲Aircrack 建立一個
包含捕獲數據的文件。在用來***與破解的兩臺計算機中的任一一臺上,筆
者是使用的是Attack 計算機,打開一個shell 窗口並輸入以下的命令:
iwconfig wlan0 mode monitor
iwconfig wlan0 channel THECHANNELNUM
cd /ramdisk
airodump wlan0 cap
注意:把THECHANNELNUM 這個值更改成所要破解的WLAN中的頻道數,/ramdisk
目錄是存儲捕獲數據文件的位置。如果在實驗WLAN 環境的附近還有別的WAP,則可目標
第 15 頁 共 23 頁
AP 的MAC 地址附在airodump 命令的後部作爲參數,如:airodump wlan0 cap1
MACADDRESSOFAP。如圖十七所示。
圖十七:Airodump 命令的格式
這個命令僅僅是使airodump 把捕獲到的目標AP 的數據包寫入到那個生成的數據文
件中(cap1)。 按下Ctrl+C 鍵退出Airodump,輸入ls –l 命令列出這個目錄中的內容,看看
擴展名爲.cap 文件的大小。在經過幾秒鐘的捕獲動作後,如果有數據包被成功地捕捉下來,
那生成的這個包文件大約爲幾個 KB 大小。如果Airodump 使用同一個參數在捕獲數據包時
被停止和重新開始後,這個生成的包文件會依照前一個文件順序添加,如第一個爲cap1,第
二個爲cap2 等。
當Airodump 在運行時,在該窗口左邊看到的BSSID 下列出來的值就是目標AP 的
MAC 地址。在這個Airodump 的運行窗口中,我們會看到Packet 和IV 這兩個值正在不停地
增長,這都是由於Windows 檢測網絡時產生的正常網絡通信,甚至在目標客戶端上並沒有
打開WEB 網頁收發email 也是如此。過一會兒後就會看到IV 值只會幾個幾個慢慢地上升,
不過如果在目標計算機上瀏覽網頁時,隨着每一個新頁面的打開,Airodump 中的IV 值會在
不斷地快速上升。如圖十八所示。
圖十八:Airodump 顯示的IV 值
第 16 頁 共 23 頁
在這兒,我們對Packet 的值不感興趣,因爲它並不能夠有助於破解WEP,IV 值
則是個很重要的數字,因爲如果要破解一個64bit 的WEP 密鑰,需要捕獲大約50000 到
200000 個IV,而破解一個128bit 的WEP 密鑰,則需要大約200000 到700000 個IV。
大家可能會注意到,在正常的網絡通信條件下,IV 值不會增長得很快。實際上,在
正常的通信條件下,要成功地破解WEP 密鑰而需要從大多數的WLAN 中捕獲足夠數量的數
據包可能會花費數小時甚至數天的時間。幸運的是,我們還有有幾個辦法可以把這個速度提
高起來。要使IV 值快速地上升,最有效的辦法就是加大網絡的通信量,把目標WLAN 變得
繁忙起來,加快數據包產生的速度,通過連續不斷地ping 某臺計算機或在目標計算機上下載
一個很大的文件能夠模仿這一過程,讓Attack 計算機上運行Airodump,可看到IV 值慢慢在
上升,再使用BT 軟件下載一個大的文件(如分佈式Linux 系統的.ISO 文件或電影),這樣IV
值上升的速度就快多了。
還有一個方法,在Windows 的命令提示符窗口輸入如下的命令來進行一個持續不斷
的ping:
ping -t -l 50000 ADDRESS_OF_ANOTHER_LAN_CLIENT
這裏 ADDRESS_OF_ANOTHER_LAN_CLIENT 值更改成在本局域網中目標AP、
路由器或其他任何可ping 得通的客戶端的IP 地址。
3、用Void11 來產生更多的通信流量
void11 把一個無線客戶端從它所連接的AP 上使用一個強制驗證過程,也就是說這
個客戶端開始被斷開,當它被從WLAN 中斷開後,這個無線客
戶端會自動嘗試重新連接到AP 上,在這個重新連接過程中,數據通信就產
生了,這個過程通常被叫做de-authentication 或deauth attack 過程。
啓動Sniff 計算機,並把Auditor CD 插入它的光驅,Auditor 啓動後,打開一個shell
命令窗口並輸入以下的命令:
switch-to-hostap
cardctl eject
cardctl insert
iwconfig wlan0 channel THECHANNELNUM
iwpriv wlan0 hostapd 1
iwconfig wlan0 mode master
第 17 頁 共 23 頁
void11_penetration -D -s MACOFSTATION -B MACOFAP wlan0
注意:把THECHANNELNUM 替換成目標WLAN 的頻道數,MACOFSTATION 和
MACOFAP 分別替換成目標WLAN 的客戶端的MAC 地址和AP 的代號,如下形
式:void11_penetration -D -s 00:90:4b:c0:c4:7f -B 00:c0:49:bf:14:29
wlan0。當在Auditor
Security Collection CD 中運行void11 時可能會看到“invalid argument error”的錯誤信息,這
無關緊要,不要理會這個錯誤。
當void11 在Sniff 計算機上運行時,我們來看看Target 計算機上正在發生的變化,
通常,使用這臺機器的用戶會發現網絡突然地變得非常慢,而且最後好像停頓了,幾秒鐘後,
徹底與網絡失去了連接。如果查看Windows XP 自帶的無線客戶端實用程序,會發現void11
開始***之前,一切都正常,Windows 顯示你正連接在AP 上,Void11 啓動後,網絡狀態
會從連接狀態改變到斷開狀態。如圖十九所示。如果在在Sniff 計算機上停止void11 後,Target
計算機會在大約幾秒鐘內重新連接到目標AP。
圖十九:目標計算機被斷開
讓我們到Attack 計算機上去看一下,它總是在那運行着Airodump,當void11 在運行後,
IV 值在幾秒鐘內增加大概100-200,這是由於目標客戶端機器重複地嘗試重新連接到目標
AP 上時產生的網絡通信引起的。
第 18 頁 共 23 頁
4、用Aireplay 引起數據包的延遲
當使用一個deauth attack 過程強制產生通信時,它通常不能夠產生我們所需要的足
夠數量的IV 值,不過Airodump 比較適合於幹
擾正常的WLAN 操作的工具。爲了產生更多的網絡通信流量,我們需要使用
一種叫做replay attack 的不同方法,replay attack 截獲由目標客戶端產生的合法數據包,然
後再通過某種手段來欺騙這個客戶端,再三地延遲它的數據包,這個延遲過程比正常使用的
時候更頻繁。由於這些通信流量看上去好像來自一臺網絡上合法的客戶端,因此它並不干擾
正常的網絡操作,只是在幕後靜靜地從事着產生更多IV 的職責。
把由void11 的deauth attack 產生的數據包捕獲下來後,停止這個deauth attack 過
程,然後使用這些捕獲下來的數據包開始一個replay attack 過程。我們在破解過程中所要捕
獲的數據包最好選擇是ARP 包,因爲它們都很小(68 字節長),並有固定和容易被偵測的格
式。把Attack 和Sniff 這兩臺機器都重新啓動, Attack 計算機只運行aireplay,它僅僅是用
來促使網絡中產生數據流量(和IV)以縮短破解WEP 密鑰所使用的時間,Sniff 計算機的用途
不是來運行deauth attack(通過Void11),就是用來捕獲通信流量(通過Airodump),並最後使
用Aircrack 工具來對被捕獲到的數據進行破解。
先啓動Aireplay,在Attack 計算機上,打開一個shell 窗口並輸入以下命令(如下圖
二十所示):
switch-to-wlanng
cardctl eject
cardctl insert
monitor.wlan wlan0 THECHANNELNUM
cd /ramdisk
aireplay -i wlan0 -b MACADDRESSOFAP -m 68 -n 68 -d ff:ff:ff:ff:ff:ff
注意:switch-to-wlanng 和monitor.wlan 是來自於Auditor CD,爲簡化操作和減少輸
入的腳本命令。 把THECHANNELNUM 更改爲目標WLAN 的頻道數。來看看這個操作命令
會有什麼結果產生,首先,沒有什麼太令人激動的事發生,會看到Aireplay 報告已捕獲到了
某些類型的數據包,不過由於這些數據包基本上不是我們所需要的(目標MAC 地址爲
FF:FF:FF:FF:FF:FF 的68 字節的包)。
第 19 頁 共 23 頁
圖二十:啓動Aireplay
現在來操作Target 計算機並打開它的無線實用程序,監視它的網絡連接狀態,然後
在Sniff 計算機上啓動一個void11 的deauth attack,一旦開始啓動void11,這時可看到
Targets 計算機已從目標AP 上斷開了,當然,Aireplay 顯示的數據包速率增加得更快了。
Aireplay 捕獲了相關的數據包後會並詢問是否與你所希望得到的相匹配,在本次破
解中,我們需要捕獲的數據包具有以下特徵:
FromDS - 0
ToDS - 1
BSSID – 目標AP 的MAC 地址
Source MAC – 目標計算機的MAC 地址
Destination MAC - FF:FF:FF:FF:FF:FF
如果數據包並不與這些條件相匹配,輸入n(表示no),Aireplay 會重新再捕獲,當
aireplay 成功地找到與以上條件相匹配的數據包後,回答y(表示yes),Aireplay 會從捕獲轉
換到replay 模式並開始啓動replay ***。這時立即返回到Sniff 計算機上停止void11 的
deauth attack。如圖二十一所示。
第 20 頁 共 23 頁
圖二十一:Void11 捕獲到了相匹配的數據包
如果Aireplay 在幾千個數據包中並沒有捕獲到相應的數據包包,則可使用Void11
來助力,Void11 能夠干擾目標AP 和它的客戶端不,給它們任何機會去完成重新連接。手動
停止void11(按Ctrl+C 鍵)然後重新啓動它,添加“d”參數到void11 的命令行中(延遲的值是微
秒),嘗試用不同的值去允許AP 與客戶端重新連接的時間。
第 21 頁 共 23 頁
如果目標客戶端處於空閒狀態,通過deauth ***來捕獲ARP 包可能是比較困難的,
這在一個真實環境的WLAN 中可能不會發生,但在這個實驗的WLAN 下環境中則成了一個
問題。如果Aireplay 沒有捕獲到你所需要的數據包破解不能進行下去,則可在開始deauth
attack 之前你需要到目標客戶端計算機上運行一個連續不斷的ping 或開始一個下載任務。如
果Void11 完全不能正常工作,可Attack 計算機上保持運行aireplay,在Sniff 計算機上關閉
void11,操作Target 計算機並手動斷開無線網絡連接,再重新連接,在三十秒內,當它重新
連接到WLAN 並請求獲取一個IP 地址時,在Attack 計算機上的Aireplay 能夠看到由目標計
算機發出的ARP 包。
5、最後的破解的時刻
經過一段時間的運行,在Attack 計算機上運行的replay attack 產生了足夠多的IV,
現在是做真實的WEP 破解的最終時刻到了,在Sniff 計算機
上停止void11,並輸入如下的命令以,設置Airodump 來捕獲數據包。
switch-to-wlanng
cardctl eject
cardctl insert
monitor.wlan wlan0 THECHANNELNUM
cd /ramdisk
airodump wlan0 cap1
把THECHANNELNUM 替換成目標WLAN 的頻道數,如果在這個區域內有多個
WAP,把目標AP 的MAC 地址添加到airodump 的尾部作爲參數,如:airodump wlan0 cap1
MACADDRESSOFAP。隨着Airodump 把IV 寫進一個文件中,我們可同時運行Aircrack 來
尋找包含在這個文件中的這個WEP 密鑰,讓Airodump 繼續運行,打開另外一個shell 窗口,
在這個新的命令窗口中輸入如下的命令來啓動Aircrack。
cd /ramdisk
aircrack -f FUDGEFACTOR -m MACADDRESSOFAP -n WEPKEYLENGTH -q 3 cap*.cap
注意:FUDGEFACTOR 在一個整數(默認值爲2),MACADDRESSOFAP 是目標AP
的MAC 地址。WEPKEYLENGTH 是你嘗試破解的WEP 密鑰的長度(64, 128 等等)。如下
圖二十二所示。
第 22 頁 共 23 頁
圖二十二:Aircrack 命令的格式
Aircrack 將從捕獲下來生成的數據包文件中讀入IV 值,並依靠這些IV 值上完成WEP
密鑰的破解,Aircrack 默認的是使用一個速度比較慢的模式來尋找WEP 密鑰,不過這種模
式速度雖慢,但它找到WEP 密鑰的機會很高;還有一種模式就是使用-f 參數,這個則速度相
當快,不過成功的機會比前一個小得多。如果運氣好的話,你會看到WEP 密鑰被成功地找
到啦。如下圖二十三所示。
第 23 頁 共 23 頁
圖二十三:成功破解WEP 密鑰
要破解一個64bit 的WEP 在需要5 分鐘時間,由同時運行於replay attack 的幾個操
作的時間組成的:用airodump 掃描、用aircrack 破解和用aireplay 產生網絡通信流量,不過
這裏有許多幸運的地方,有時破解一個64bit 的WEP 的密鑰要收集25000 個左右的IV,則
它花費的時間就更長了。必須把這個你嘗試恢復的WEP 密鑰的長度輸入到Aircrack 中,這
個長度沒有哪一個工具能提供,對你自己的實驗環境的WLAN 當然能夠知道這個信息,但在
別的你一無所知的網絡環境中則可以使用64 或128 這兩個密鑰長度去嘗試。
使用配置更好的機器能夠有助於加快破解的過程,把捕獲下來生成的數據包文件拷
貝到另外有更大內存和更快處理器的機器上去完成最後的破解動作不失爲一個好的辦法,在
這臺機器上就只要運行Aircrack 這個工具了,並且aircrack 能夠使用-p 選項來支持多處理器,
使用AMD 和Intel 的新雙處理器設備能使破解過程更快。對於128bit 長的密鑰來說更是要如
此了。
只要你要上網的附近有無線局域網而它又加了密碼,可用此法一試,不過不要用於非法目的喲
無線網絡WEP 的破解過程
WLAN 技術出現之後,“安全”就成爲始終伴隨在“無線”這個詞身邊的影子,針對無線網絡
技術中涉及的安全認證加密協議的***與破解就層出不窮。現在,因特網上可能有數以百計,
甚至以千計的文章介紹關於怎麼
***與破解WEP,但有多少人能夠真正地成功攻破WEP 的加密算法呢?下面筆者來給
大家介紹一些關於WEP 加密手段的知識,以及就是菜鳥只要按照步驟操作也可成功破解
WEP 密鑰的方法。當然最終的目的還是爲了讓記者做好安全設置對破解更好的進行防範。
本系列文章共兩篇,在第一篇裏主要介紹破解WEP 的方法,第二篇裏介紹如何設置WLAN
的安全設置來進行更好的防範。
一、WEP:無線網絡安全最初的保護者
相對於有線網絡來說,通過無線局域網發送和接收數據更容易被竊聽。設計一個完
善的無線局域網系統,加密和認證是需要考慮的兩個必不可少的安全因素。無線局域網中應
用加密和認證技術的最根本目的就是使無線業務能夠達到與有線業務同樣的安全等級。針對
這個目標,IEEE802.11 標準中採用了WEP(Wired Equivalent Privacy:有線對等保密)協議來
設置專門的安全機制,進行業務流的加密和節點的認證。它主要用於無線局域網中鏈路層信
息數據的保密。WEP 採用對稱加密機理,數據的加密和解密採用相同的密鑰和加密算法。
WEP 使用加密密鑰(也稱爲 WEP 密鑰)加密 802.11 網絡上交換的每個數據包的數據部
分。啓用加密後,兩個 802.11 設備要進行通信,必須具有相同的加密密鑰,並且均配置爲
使用加密。如果配置一個設備使用加密而另一個設備沒有,則即使兩個設備具有相同的加密
密鑰也無法通信。(如圖一所示)
圖一:WEP 加密
WEP 加密過程
WEP 支持 64 位和128 位加密,對於 64 位加密,加密密鑰爲 10 個十六進制字
符(0-9 和 A-F)或 5 個 ASCII 字符;對於 128 位加密,加密密鑰爲 26 個十六進制字符或
13 個 ASCII 字符。64 位加密有時稱爲 40 位加密;128 位加密有時稱爲 104 位加密。152
第 2 頁 共 23 頁
位加密不是標準 WEP 技術,沒有受到客戶端設備的廣泛支持。WEP 依賴通信雙方共享的
密鑰來保護所傳的加密數據幀。其數據的加密過程如下。
1、計算校驗和(Check Summing)。
(1)對輸入數據進行完整性校驗和計算。
(2)把輸入數據和計算得到的校驗和組合起來得到新的加密數據,也稱之爲明文,明
文作爲下一步加密過程的輸入。
2、加密。在這個過程中,將第一步得到的數據明文采用算法加密。對明文的加密有
兩層含義:明文數據的加密,保護未經認證的數據。
(1)將24 位的初始化向量和40 位的密鑰連接進行校驗和計算,得到64 位的數據。
(2)將這個64 位的數據輸入到虛擬隨機數產生器中,它對初始化向量和密鑰的校驗
和計算值進行加密計算。
(3)經過校驗和計算的明文與虛擬隨機數產生器的輸出密鑰流進行按位異或運算得
到加密後的信息,即密文。
3、傳輸。將初始化向量和密文串接起來,得到要傳輸的加密數據幀,在無線鏈路上
傳輸。(如圖二所示)
圖二:WEP 加密過程
WEP 解密過程
在安全機制中,加密數據幀的解密過程只是加密過程的簡單取反。解密過程如下。
第 3 頁 共 23 頁
1、恢復初始明文。重新產生密鑰流,將其與接收到的密文信息進行異或
運算,以恢復初始明文信息。
2、檢驗校驗和。接收方根據恢復的明文信息來檢驗校驗和,將恢復的明文信息分離,
重新計算校驗和並檢查它是否與接收到的校驗和相匹配。這樣可以保證只有正確校驗和的數
據幀纔會被接收方接受。
圖三:WEP 解密過程
二、破解WEP 密鑰前的準備工作
在以下的兩部分內容內,筆者將逐步地向大家介紹關於怎樣來破解WEP 的密鑰的
方法。這種方法並不需要什麼特別的硬件設備,僅僅只需兩臺(只有一臺也可)帶有無線網卡
的筆記本而已,整個***過程所使用的也只是一些共享和自由軟件,並不需什麼相當專業的
工具。看懂這篇文章和學會操作的讀者,並不需要你是一名網絡專家,不過要基本上熟悉一
些網絡術語和基本的原理。最少,你應該知道怎樣去ping 另外一臺機器以測試網絡是否暢
通,並會打開一個Windows 的命令提示符窗口,知道輸入相關命令和了解關於Windows 網
絡屬性窗口的相關內容。這就是基本的要求,要不然怎麼可稱之爲菜鳥都可學會的方法呢。
1、組建實驗環境
開始之前,我們的第一步就是要組建一個實驗環境,你不可能拿別人的網絡來玩你
的破解吧,這樣做既違反了法律也是一種不道德的行爲噢。搭建一個實驗環境下的無線網絡
平臺,則無線AP 是少不了的,另外,三臺帶有無線網卡的筆記本(使用有無線網卡的臺式機
也可以)組成的簡單網絡就可滿足要求了。組成的網絡拓撲如下圖四所示。
第 4 頁 共 23 頁
圖四:組建一個實驗環境
在圖四所示的網絡中,無線AP 的選用,我們使用的是一個Netgear 的產品,型號
爲WGT624v2,它在以後充當被***目標的角色,在以後就稱它爲目標AP。在所使用的三
臺機器中,一臺是作爲被***目標的客戶端機器,暫且稱之爲“Target”;另外兩臺筆記本一臺
執行主動***,促使網絡流量的產生,以便足夠多的數據包有比較短的時間內能夠被捕捉到,
稱這臺機器爲“Attack”;剩下的那臺筆記本就是用來嗅探並捕捉那些主動***產生的數據包
了,則把它稱爲“Sniff”。當然,儘管整個的破解過程可以在一臺筆記本上完成,但筆者並不
推薦這種做法,用僅僅一臺筆記本,會使以後的工作變得很麻煩,並且發現使用這種方法的
話竊聽程序可能會發生一點小問題。在一個使用率不高的WLAN 中,使用主動***比被動探
測的機會更大,它可在較短的時間內使WLAN 產生更多的數據包從而加快破解WEP 的速度。
在這個實驗環境中一定非得要使用筆記本不可,我們當然也能夠使用桌面PC 或桌
面PC 與筆記本混用,不過使用筆記本的話它的便攜性更好,而且對現在的無線PC Card 卡
有更好的兼容性。
Target 所使用的無線網卡與芯片無關,只要是基於802.11b,任意廠家的產品都可
滿足要求。而Attack 與Sniff 兩臺機器是使用的兩塊基於PRISM 芯片的802.11b 的無線網
卡。儘管我們在以後的操作中中使用的很多工具(如Kismet)都可支持相當多種類的無線網卡,
但筆者還是建議使用基於PRISM 2 芯片的網卡,因爲這種芯片能夠被我們在破解過程所要
使用到的所有工具都支持。
無線網卡一般有外置天線與內置天線兩種,如果所購買的無線網卡並沒有內置天線
的話,還必須自己再另購天線。不過外置天線的優點就是增益更高,靈敏度更好,可以調節
天線的方向從而得到更好的信號接收;而內置天線是可以更方便地攜帶,缺點是天線方向無法
調節。筆者看到有一種移動式外置天線,使用起來是很方便的,在這種移動式天線的底部有
幾個橡膠材料的小吸杯,可以把它方便地吸附在筆記本的頂蓋上,如果是在車內使用的話,
還可把它牢牢地吸在車空窗玻璃上呢。如下圖五所示。
第 5 頁 共 23 頁
圖四:移動式天線
2、實驗WLAN 的設置
適當地對這個實驗環境進行一下設置是很重要的,因爲我們畢竟只想要在這個用來
實驗的環境中來完成所有的操作,在下文中描述的***過程中,將會強制終止一
個
與AP 有連接的客戶端。這種***可能會對在這個鄰近區域內的無線用戶造成嚴重損害,
爲了避免鄰近的AP 上的用戶受到附帶的***, 是要保護那些並不屬於實驗WLAN 的用戶。
如果這個操作環境中位於一個複雜的辦公室、辦公大樓或其他有許多無線網絡覆蓋的區域中
的話,要嘗試一下這樣的破解操作,請最好等到晚上沒什麼人工作,網絡不再繁忙時進行,
免得“城門失火,殃及池魚”。
第一步就是連接和設置這個被***的實驗無線局域網,如前面所述,這個WLAN 包
含有一個Access Point(無線路由器)和僅僅一個無線客戶端,且這個無線局域網被我們想要
破解的WEP 密鑰保護起來了。把目標AP 的SSID(System Set ID)設置爲“starbucks”,SSID
用來區分不同的網絡,也稱爲網絡名稱。無線工作站必須出示正確的SSID,與無線訪問點
第 6 頁 共 23 頁
AP 的SSID 相同,才能訪問AP;如果出示的SSID 與AP 的SSID 不同,那麼AP 將拒絕他
通過本服務區上網。可以認爲SSID 是一個簡單的口令,從而提供口令機制,實現一定的安
全性。並在這個WAP 上配置一個64 位的WEP 密鑰來進行保護。
把如下的信息記錄下來以便以後使用
①AP 的MAC 地址。它通常會在AP 的WEB 配置菜單上顯示出來, AP 的底部或
側面的標籤上也可能記有本機的MAC 地址。
②AP 的SSID。
③AP 的無線頻道(Channel)。
④WEP 密鑰。如果無線AP 顯示的密鑰像0xFFFFFFFFFF 這樣的格式(把設定的值
替代F 的值),把除0x 外的每個字母都記下來。
第二步就是把Target 客戶端連接到目標AP 上。我們現在需要把這個客戶端連接到
目標AP 以進行進一步的配置,(以下都是在Windows XP 下進行的),右鍵單擊桌面上的“網
上鄰居”圖標,或者通過“開始”菜單,然後單擊“屬性”,雙擊“Wireless Network Connection”,
然後打開如圖五所示的窗口,其中顯示的是有多個可用的無線網絡,但如果只有一個無線網
絡的話,則在該窗口中可能只僅僅顯示剛剛配置的那個名爲“starbucks”的AP,雙擊相應的
SSID 名稱以連接到目標AP。
圖五:連接到目標WLAN
因爲AP 已開啓了WEP 保護,連接時Windows 會要求輸入一個密碼(如圖六所示),
把剛纔設置的的WEP 密鑰輸入(當然從記事本或寫字板文檔中粘貼過來也可),稍等一會兒後
Windows 就會報告已連接到網絡上。確認一下是否已真正地連接成功,去ping 一個在有線
網絡計算機來測試一下;或者假如這個實驗WLAN 已接連到因特網上,隨便打開一個WEB 站
點看是否能夠連接來加以確認。如果不能成功地ping 通已知地址的機器或者打不開正常的
WEB 站點,則打開無線網卡的屬性,單擊“支持”按鈕,檢查一下無線網上是否已獲取了一個
正確的IP 地址,如果沒有能夠獲取正確的IP 地址,看看網絡中的DHCP 服務器是否已啓用,
第 7 頁 共 23 頁
並檢查無線網卡的TCP/IP 屬性是否設置成“自動獲取IP 地址”了,如果一切都正常,在這個
無線連接中點擊 “修復”按鈕來加以改正。
圖六:輸入WEP 密鑰
第三步就是記錄下Target 機器的MAC 地址。一旦成功連接到網絡上,就把被***
的Target 計算機的MAC 地址記錄下來。方法有兩種,一是打開一個命令提示符窗口並輸入
ipconfig/all 命令也可看到這個MAC 地址,這個窗口的內容如下圖七所示(無線網卡的MAC
地址信息已高亮度顯示)。
圖七:輸入ipconfig/all 命令來發現MAC 地址
二是在Windows XP 中,可從“無線連接狀態”窗口來得到這個MAC 地址,單擊“支
持”按鈕,然後單擊“詳細信息”,這個MAC 地址就顯示在窗口頂端的右邊(如圖八所示),當然,
不同的機器顯示的名稱可能不盡相同,另外的計算機顯示的就可能如“物理地址”這一類的描
述信息了。在這個窗口的信息,組成MAC 地址的字母和數字被短劃線分隔,短劃線的目的
只是使這些字符看得更清楚,但實際的MAC 地址是沒有這些短劃線的。
第 8 頁 共 23 頁
圖八:在網絡連接詳細信息中顯示的MAC 地址
3、筆記本的設置
首先,我們來準備破解WEP 密鑰所需要的幾個工具軟件(Kismet、Airodump、
Void11、Aireplay 和Aircrack),Kism
et:用來掃描整個區域內的WLAN,找到實驗用的目標WLAN,收集相關數據
(SSID 值、頻道、AP 及與之相連接的客戶端的MAC 地址等);Airodump:對目標WLAN 進行
掃描並捕獲其產生的數據包到一個文件中;Void11:從目標AP 中驗證某臺計算機,並強制這
個客戶端重新連接到到目標AP,以使其一個ARP 請求;Aireplay:接受這些ARP 請求並回送
到目標AP,以一個合法的客戶端身份來截獲這個ARP 請求; Aircrack:接受Airodump 生成的
捕獲文件並從中提取WEP 密鑰。
它們都是公開源代碼的共享或自由軟件,這些所有的工具都可以在一個被稱爲
“Auditor Security Collection LIVE CD” 的共享光盤上找到,這個光盤是一張可引導系統的光
盤,可以引導一個經過改進過的Kanotix Linux,這個Linux 版本無需存取硬盤,在通過光盤
啓動時直接安裝到內存中就,它啓動後可自動檢測和配置多種無線網卡。在本文使用的
Auditor Security Collection LIVE CD 是最新版本,版本號爲auditor-150405-04,下載地址
爲http://new.remote-exploit.org/index.php/Auditor_mirrors,下載的文件格式是CD 映像文
件或.ISO 文件,通過NERO(或其他的刻錄軟件)把它刻錄下來,給Attack 和Sniff 機器各一
張。
第 9 頁 共 23 頁
首先把無線網卡插入到筆記本中(如果機器內置有無線網卡就最好不過了),再把筆記
本設置成從光盤引導,並把Auditor Security Collection CD 放入光驅中。從Auditor 引導菜
單中選擇合適的屏幕分辨率後,Kanotix Linux 會被安裝到內存中運行並出現Auditor 開始屏
幕(如圖九所示)。
圖九:Auditor 的開始屏幕
在這個Auditor 系統中,兩個最重要的圖標是位於屏幕左下方的Programs 和
Command Line 圖標,我們以後的許多操作基本上都是要通過它們來完成的。如圖十所示。
圖十:Program 和Command Line 的位置
在這裏,開始做其他任何其他的事情之前,先要確認我們機器上的無線網卡能夠通
過Auditor 的驗證。單擊Command Line 圖標以打開一個命令行窗口,然後輸入iwconfig 命
令,在Auditor 顯示出的信息中,你會看到有關於“Wlan0”的信息,它是Auditor 爲基於PRISM
芯片的卡確定的一個名稱,如果用來操作***的筆記本的屏幕顯示如圖十一所示的窗口,則
表明Auditor 已檢測到了無線網卡,現在就可以開始下一步工作了。對於另外一臺筆記本,
也進行同樣的步驟,重複這一操作。
第 10 頁 共 23 頁
圖十一:用iwconfig 命令檢驗無線網卡
好,準備工作現在基本完成,在本文的下篇裏,我們將開始實際的解決過程。
三、實戰破解過程
1、用Kismet 進行網絡探測
Kismet 是一個基於Linux 的無線網絡掃描程序,這是一個相當方便的工具,通過測
量周圍的無線信號來找到目標WL
AN。雖說Kismet 也可以捕獲網絡上的數據通信,但在還有其他更好的工具
使用(如Airodump),在這裏我們只使用它來確認無線網卡是否正常工作和用來掃描無線網
絡,在下面的部分中將會換用不同的工具軟件來真正地偵聽和捕獲網絡上的數據通信。
單擊Programs 圖標,然後是Auditor,再 Wireless,, 然後Scanner/Analyzer,
最後是 Kismet ,來運行Kismet 程序。如圖十二所示。
第 11 頁 共 23 頁
圖十二:運行Kismet
除掃描無線網絡之外,Kismet 還可以捕獲網絡中的數據包到一個文件中以方便以後
加以分析使用,因此Kismet 會詢問用來存放捕獲數據包的文件的位置,如我想把這些文件
保存到rootdesktop 下,則單擊“Desktop”,然後選擇“OK”即可,如圖十三所示。然後Kismet
然後會詢問捕獲文件的前綴名字,我們可以更改這個默認的名字,例如把它更改爲“capture”
然後點擊OK,這樣Kismet 就會以capture 爲文件名的開頭,再在其後依次添加序號來保存
捕捉下來的數據包到不同的文件中。
圖十三:在Kismet 中指定文件的存放位置
第 12 頁 共 23 頁
當Kismet 開始運行時,它將會顯示這個區域內它找到的所有的無線局域網,“Name”
那一列中所顯示出來的內容就是哪一個WLAN 中AP 的SSID 值,那當然開始設定的目標
WLAN 也應該包含中其中(Name 下值爲starbucks 的那一行),在這一行中,CH 列的值(AP
所使用的頻道)應該與開始所記下的相同。在窗口的最右邊顯示的信息是Kismet 發現的
WLAN 的數目,已被捕捉下來了的數據包、已加密了的數據包的數目等等。如下圖十四所示。
如果Kismet 發現了許多相鄰的Access Point,你應把這個實驗環境搬得離這些AP 更遠一些,
或者把與你網上相連接的任何高增益天線斷開。
甚至當目標計算機已關閉時,Kismet 也正可從我們的目標AP 中檢測到數據包,這是因
爲目標AP 在不停地發出“beacons”,它將告之擁有無線網卡的計算機有一個AP 在此範圍內,
我們可以這樣想
像,這臺AP 宣佈,“我的名字是XXXXX,請大家與我連接。”
圖十四:Kismet 顯示的內容
默認的Kismet 是運行在“autofit”模式下的,它顯示的內容雜亂無章的,我們可以通
過排序把AP 按任何有意義有順序來重新排列,按下“s”鍵到“Sort”菜單,在這兒可以按下某個
字母來對搜尋到的AP 進行排序,如“f”鍵是按AP 名字的第一個字母來排序,而“c”鍵是按AP
使用的頻道來進行排序,“l”是按時間來進行排序等等。
現在我們來查看一下目標WLAN 中AP 的詳細信息,按下“s”鍵,然後再按下“c”鍵,
把整個AP 的列表用頻道的方式來排列,使用光標鍵移動高亮條到表示目標AP 的SSID 上,
第 13 頁 共 23 頁
然後敲下回車鍵,然後將打開一個顯示所選擇AP 的詳細信息的說明窗口(SSID、MAC 地址
和頻道等)。這樣,要破解一個加密WLAN 的WEP 密鑰所需要的基本信息大部分都在這兒了。
如圖十五所示。有些WLAN 從安全方面考試,隱藏了SSID 或屏蔽SSID 廣播,這樣做的話
的確能夠防止使用Netstumbler 來掃描,但碰上Kismet 就毫無辦法了,它可輕易地檢測到隱
藏的SSID。Kismet 能夠比Netstumbler 捕捉到更多的網絡信息,能夠通過跟蹤AP 及與之
相連接的客戶端之間的會話而發現某個AP 的SSID。
圖十五:Kismet 顯示一個AP 的詳細信息
要完成一個破解過程,還有最後一個需要了解的信息,就是WLAN 中連接在目標
AP 上的無線客戶端的MAC 地址,這個使用Kismet 也是很輕易地搞定的。返回Kismet,按
下“q”鍵退出詳細信息窗口,默認的選擇仍舊是剛纔查看了的目標AP,使用“Shift+C”鍵,這
時會打開一個與目標AP 相關的客戶端列表,它們的MAC 地址就顯示在這個窗口的左邊。
如圖十六所示。在這個窗口顯示的內容中,不但包含了與AP 相連的客戶端的MAC 地址,
還包括AP 自己的MAC 地址,還記得在本文的開頭所記下的目標AP 的MAC 地址嗎?在這,
除了目標AP 的MAC 地址外就是客戶端的MAC 地址了。
第 14 頁 共 23 頁
圖十六:使用Kismet 尋找客戶端的MAC 地址
如果你沒有看到Target 計算機的MAC 地址,請檢查一下,確認一下它是否已開機
或連接到了目標AP(啓動目標計算機,連接到目標AP 並打開WEB 頁面),大約10-30 秒後,
你將會看到目標計算機的MAC 地址在Kismet 中彈出。當然,把所有的客戶端MAC 地址都
記下來也不失爲一個老道的方法,這樣就可避免在開始破解過程時一個客戶端也沒有出現時
受阻。
2、用Airodump 來捕獲數據包
現在瞭解破解所需的基本信息了,該是開始使用Airodump 工具的時候了,Airodump
的主要工作是捕獲數據包併爲Aircrack 建立一個
包含捕獲數據的文件。在用來***與破解的兩臺計算機中的任一一臺上,筆
者是使用的是Attack 計算機,打開一個shell 窗口並輸入以下的命令:
iwconfig wlan0 mode monitor
iwconfig wlan0 channel THECHANNELNUM
cd /ramdisk
airodump wlan0 cap
注意:把THECHANNELNUM 這個值更改成所要破解的WLAN中的頻道數,/ramdisk
目錄是存儲捕獲數據文件的位置。如果在實驗WLAN 環境的附近還有別的WAP,則可目標
第 15 頁 共 23 頁
AP 的MAC 地址附在airodump 命令的後部作爲參數,如:airodump wlan0 cap1
MACADDRESSOFAP。如圖十七所示。
圖十七:Airodump 命令的格式
這個命令僅僅是使airodump 把捕獲到的目標AP 的數據包寫入到那個生成的數據文
件中(cap1)。 按下Ctrl+C 鍵退出Airodump,輸入ls –l 命令列出這個目錄中的內容,看看
擴展名爲.cap 文件的大小。在經過幾秒鐘的捕獲動作後,如果有數據包被成功地捕捉下來,
那生成的這個包文件大約爲幾個 KB 大小。如果Airodump 使用同一個參數在捕獲數據包時
被停止和重新開始後,這個生成的包文件會依照前一個文件順序添加,如第一個爲cap1,第
二個爲cap2 等。
當Airodump 在運行時,在該窗口左邊看到的BSSID 下列出來的值就是目標AP 的
MAC 地址。在這個Airodump 的運行窗口中,我們會看到Packet 和IV 這兩個值正在不停地
增長,這都是由於Windows 檢測網絡時產生的正常網絡通信,甚至在目標客戶端上並沒有
打開WEB 網頁收發email 也是如此。過一會兒後就會看到IV 值只會幾個幾個慢慢地上升,
不過如果在目標計算機上瀏覽網頁時,隨着每一個新頁面的打開,Airodump 中的IV 值會在
不斷地快速上升。如圖十八所示。
圖十八:Airodump 顯示的IV 值
第 16 頁 共 23 頁
在這兒,我們對Packet 的值不感興趣,因爲它並不能夠有助於破解WEP,IV 值
則是個很重要的數字,因爲如果要破解一個64bit 的WEP 密鑰,需要捕獲大約50000 到
200000 個IV,而破解一個128bit 的WEP 密鑰,則需要大約200000 到700000 個IV。
大家可能會注意到,在正常的網絡通信條件下,IV 值不會增長得很快。實際上,在
正常的通信條件下,要成功地破解WEP 密鑰而需要從大多數的WLAN 中捕獲足夠數量的數
據包可能會花費數小時甚至數天的時間。幸運的是,我們還有有幾個辦法可以把這個速度提
高起來。要使IV 值快速地上升,最有效的辦法就是加大網絡的通信量,把目標WLAN 變得
繁忙起來,加快數據包產生的速度,通過連續不斷地ping 某臺計算機或在目標計算機上下載
一個很大的文件能夠模仿這一過程,讓Attack 計算機上運行Airodump,可看到IV 值慢慢在
上升,再使用BT 軟件下載一個大的文件(如分佈式Linux 系統的.ISO 文件或電影),這樣IV
值上升的速度就快多了。
還有一個方法,在Windows 的命令提示符窗口輸入如下的命令來進行一個持續不斷
的ping:
ping -t -l 50000 ADDRESS_OF_ANOTHER_LAN_CLIENT
這裏 ADDRESS_OF_ANOTHER_LAN_CLIENT 值更改成在本局域網中目標AP、
路由器或其他任何可ping 得通的客戶端的IP 地址。
3、用Void11 來產生更多的通信流量
void11 把一個無線客戶端從它所連接的AP 上使用一個強制驗證過程,也就是說這
個客戶端開始被斷開,當它被從WLAN 中斷開後,這個無線客
戶端會自動嘗試重新連接到AP 上,在這個重新連接過程中,數據通信就產
生了,這個過程通常被叫做de-authentication 或deauth attack 過程。
啓動Sniff 計算機,並把Auditor CD 插入它的光驅,Auditor 啓動後,打開一個shell
命令窗口並輸入以下的命令:
switch-to-hostap
cardctl eject
cardctl insert
iwconfig wlan0 channel THECHANNELNUM
iwpriv wlan0 hostapd 1
iwconfig wlan0 mode master
第 17 頁 共 23 頁
void11_penetration -D -s MACOFSTATION -B MACOFAP wlan0
注意:把THECHANNELNUM 替換成目標WLAN 的頻道數,MACOFSTATION 和
MACOFAP 分別替換成目標WLAN 的客戶端的MAC 地址和AP 的代號,如下形
式:void11_penetration -D -s 00:90:4b:c0:c4:7f -B 00:c0:49:bf:14:29
wlan0。當在Auditor
Security Collection CD 中運行void11 時可能會看到“invalid argument error”的錯誤信息,這
無關緊要,不要理會這個錯誤。
當void11 在Sniff 計算機上運行時,我們來看看Target 計算機上正在發生的變化,
通常,使用這臺機器的用戶會發現網絡突然地變得非常慢,而且最後好像停頓了,幾秒鐘後,
徹底與網絡失去了連接。如果查看Windows XP 自帶的無線客戶端實用程序,會發現void11
開始***之前,一切都正常,Windows 顯示你正連接在AP 上,Void11 啓動後,網絡狀態
會從連接狀態改變到斷開狀態。如圖十九所示。如果在在Sniff 計算機上停止void11 後,Target
計算機會在大約幾秒鐘內重新連接到目標AP。
圖十九:目標計算機被斷開
讓我們到Attack 計算機上去看一下,它總是在那運行着Airodump,當void11 在運行後,
IV 值在幾秒鐘內增加大概100-200,這是由於目標客戶端機器重複地嘗試重新連接到目標
AP 上時產生的網絡通信引起的。
第 18 頁 共 23 頁
4、用Aireplay 引起數據包的延遲
當使用一個deauth attack 過程強制產生通信時,它通常不能夠產生我們所需要的足
夠數量的IV 值,不過Airodump 比較適合於幹
擾正常的WLAN 操作的工具。爲了產生更多的網絡通信流量,我們需要使用
一種叫做replay attack 的不同方法,replay attack 截獲由目標客戶端產生的合法數據包,然
後再通過某種手段來欺騙這個客戶端,再三地延遲它的數據包,這個延遲過程比正常使用的
時候更頻繁。由於這些通信流量看上去好像來自一臺網絡上合法的客戶端,因此它並不干擾
正常的網絡操作,只是在幕後靜靜地從事着產生更多IV 的職責。
把由void11 的deauth attack 產生的數據包捕獲下來後,停止這個deauth attack 過
程,然後使用這些捕獲下來的數據包開始一個replay attack 過程。我們在破解過程中所要捕
獲的數據包最好選擇是ARP 包,因爲它們都很小(68 字節長),並有固定和容易被偵測的格
式。把Attack 和Sniff 這兩臺機器都重新啓動, Attack 計算機只運行aireplay,它僅僅是用
來促使網絡中產生數據流量(和IV)以縮短破解WEP 密鑰所使用的時間,Sniff 計算機的用途
不是來運行deauth attack(通過Void11),就是用來捕獲通信流量(通過Airodump),並最後使
用Aircrack 工具來對被捕獲到的數據進行破解。
先啓動Aireplay,在Attack 計算機上,打開一個shell 窗口並輸入以下命令(如下圖
二十所示):
switch-to-wlanng
cardctl eject
cardctl insert
monitor.wlan wlan0 THECHANNELNUM
cd /ramdisk
aireplay -i wlan0 -b MACADDRESSOFAP -m 68 -n 68 -d ff:ff:ff:ff:ff:ff
注意:switch-to-wlanng 和monitor.wlan 是來自於Auditor CD,爲簡化操作和減少輸
入的腳本命令。 把THECHANNELNUM 更改爲目標WLAN 的頻道數。來看看這個操作命令
會有什麼結果產生,首先,沒有什麼太令人激動的事發生,會看到Aireplay 報告已捕獲到了
某些類型的數據包,不過由於這些數據包基本上不是我們所需要的(目標MAC 地址爲
FF:FF:FF:FF:FF:FF 的68 字節的包)。
第 19 頁 共 23 頁
圖二十:啓動Aireplay
現在來操作Target 計算機並打開它的無線實用程序,監視它的網絡連接狀態,然後
在Sniff 計算機上啓動一個void11 的deauth attack,一旦開始啓動void11,這時可看到
Targets 計算機已從目標AP 上斷開了,當然,Aireplay 顯示的數據包速率增加得更快了。
Aireplay 捕獲了相關的數據包後會並詢問是否與你所希望得到的相匹配,在本次破
解中,我們需要捕獲的數據包具有以下特徵:
FromDS - 0
ToDS - 1
BSSID – 目標AP 的MAC 地址
Source MAC – 目標計算機的MAC 地址
Destination MAC - FF:FF:FF:FF:FF:FF
如果數據包並不與這些條件相匹配,輸入n(表示no),Aireplay 會重新再捕獲,當
aireplay 成功地找到與以上條件相匹配的數據包後,回答y(表示yes),Aireplay 會從捕獲轉
換到replay 模式並開始啓動replay ***。這時立即返回到Sniff 計算機上停止void11 的
deauth attack。如圖二十一所示。
第 20 頁 共 23 頁
圖二十一:Void11 捕獲到了相匹配的數據包
如果Aireplay 在幾千個數據包中並沒有捕獲到相應的數據包包,則可使用Void11
來助力,Void11 能夠干擾目標AP 和它的客戶端不,給它們任何機會去完成重新連接。手動
停止void11(按Ctrl+C 鍵)然後重新啓動它,添加“d”參數到void11 的命令行中(延遲的值是微
秒),嘗試用不同的值去允許AP 與客戶端重新連接的時間。
第 21 頁 共 23 頁
如果目標客戶端處於空閒狀態,通過deauth ***來捕獲ARP 包可能是比較困難的,
這在一個真實環境的WLAN 中可能不會發生,但在這個實驗的WLAN 下環境中則成了一個
問題。如果Aireplay 沒有捕獲到你所需要的數據包破解不能進行下去,則可在開始deauth
attack 之前你需要到目標客戶端計算機上運行一個連續不斷的ping 或開始一個下載任務。如
果Void11 完全不能正常工作,可Attack 計算機上保持運行aireplay,在Sniff 計算機上關閉
void11,操作Target 計算機並手動斷開無線網絡連接,再重新連接,在三十秒內,當它重新
連接到WLAN 並請求獲取一個IP 地址時,在Attack 計算機上的Aireplay 能夠看到由目標計
算機發出的ARP 包。
5、最後的破解的時刻
經過一段時間的運行,在Attack 計算機上運行的replay attack 產生了足夠多的IV,
現在是做真實的WEP 破解的最終時刻到了,在Sniff 計算機
上停止void11,並輸入如下的命令以,設置Airodump 來捕獲數據包。
switch-to-wlanng
cardctl eject
cardctl insert
monitor.wlan wlan0 THECHANNELNUM
cd /ramdisk
airodump wlan0 cap1
把THECHANNELNUM 替換成目標WLAN 的頻道數,如果在這個區域內有多個
WAP,把目標AP 的MAC 地址添加到airodump 的尾部作爲參數,如:airodump wlan0 cap1
MACADDRESSOFAP。隨着Airodump 把IV 寫進一個文件中,我們可同時運行Aircrack 來
尋找包含在這個文件中的這個WEP 密鑰,讓Airodump 繼續運行,打開另外一個shell 窗口,
在這個新的命令窗口中輸入如下的命令來啓動Aircrack。
cd /ramdisk
aircrack -f FUDGEFACTOR -m MACADDRESSOFAP -n WEPKEYLENGTH -q 3 cap*.cap
注意:FUDGEFACTOR 在一個整數(默認值爲2),MACADDRESSOFAP 是目標AP
的MAC 地址。WEPKEYLENGTH 是你嘗試破解的WEP 密鑰的長度(64, 128 等等)。如下
圖二十二所示。
第 22 頁 共 23 頁
圖二十二:Aircrack 命令的格式
Aircrack 將從捕獲下來生成的數據包文件中讀入IV 值,並依靠這些IV 值上完成WEP
密鑰的破解,Aircrack 默認的是使用一個速度比較慢的模式來尋找WEP 密鑰,不過這種模
式速度雖慢,但它找到WEP 密鑰的機會很高;還有一種模式就是使用-f 參數,這個則速度相
當快,不過成功的機會比前一個小得多。如果運氣好的話,你會看到WEP 密鑰被成功地找
到啦。如下圖二十三所示。
第 23 頁 共 23 頁
圖二十三:成功破解WEP 密鑰
要破解一個64bit 的WEP 在需要5 分鐘時間,由同時運行於replay attack 的幾個操
作的時間組成的:用airodump 掃描、用aircrack 破解和用aireplay 產生網絡通信流量,不過
這裏有許多幸運的地方,有時破解一個64bit 的WEP 的密鑰要收集25000 個左右的IV,則
它花費的時間就更長了。必須把這個你嘗試恢復的WEP 密鑰的長度輸入到Aircrack 中,這
個長度沒有哪一個工具能提供,對你自己的實驗環境的WLAN 當然能夠知道這個信息,但在
別的你一無所知的網絡環境中則可以使用64 或128 這兩個密鑰長度去嘗試。
使用配置更好的機器能夠有助於加快破解的過程,把捕獲下來生成的數據包文件拷
貝到另外有更大內存和更快處理器的機器上去完成最後的破解動作不失爲一個好的辦法,在
這臺機器上就只要運行Aircrack 這個工具了,並且aircrack 能夠使用-p 選項來支持多處理器,
使用AMD 和Intel 的新雙處理器設備能使破解過程更快。對於128bit 長的密鑰來說更是要如
此了。