使用無線信號特性,查找和終結快捷賓館中攝像頭的一種方法 (無線安全？一點都不安全 開篇)

    各位在快捷賓館住宿時有沒有遇到或者擔心遇到什麼糟心事？被針孔攝像頭偷拍算不算一件很糟心的事?本文提出一種方法來應對這種情況。

    針孔攝像頭拍攝後勢必會通過網絡將視屏傳送給安裝者。由於針孔攝像頭的隱蔽性，攝像頭不會使用有線網絡，剩下的選項就是無線網絡了。無線網絡有2種選項：a.插入SIM卡，通過4G網絡傳輸；b.使用快捷酒店會提供的WIFI。選項b的投入比選項a小，而且便於集成，另外SIM卡可能是實名制的會被追查，所以針孔攝像頭多使用選項b。所以這次將討論在2.4G WIFI環境中查找攝像頭的方法，以及相應的處理方法。爲了實現上述目的，需要用到Kali Linux的Aircrack-NG套件，另外還需要可以切換到Monitor模式的無線網卡。在開始之前，先說明幾個會用到的術語：AP—指提供熱點的設備，通常是無線路由器；Station—指連接到AP的設備，如筆電，手機等，essid—指AP提供的接入點名字，點擊windows網絡連接時，列表中的接入點名字就是essid。

Topic 1: 查找房間裏攝像頭

Introduction 1:

Windows網絡連接列表裏這麼多essid是從哪來的？

AP會週期性發送Beacon包，包中帶有essid以及通信信道，告訴周圍Station在它可探測範圍內存在的AP，可以來蹭網。可以在網絡連接列表中選擇一個essid，點擊屬性，裏面列出了每個essid的屬性:如bssid，信道等。另外介紹2個搜索AP的工具1).Windows 下InSsider----Mega Geeker的產品；2).Linux下 LinSsider，開源項目，它們都提供了更友好的圖形界面。用這些工具收集附近的AP的信息，重點記錄下自己正連接的bssid和essid。

Text1：

查找房間裏攝像頭，其實是評估房間裏無線設備的數量。Aircrack-ng套件中的airodump-ng工具可以掃描並列出特定essid下連接着的Station，同時給出這些Station到你手上的無線網卡的信號衰減程度，一般而言距離越遠，衰減越多。根據802.11給出的參考值以及我自己的測試發現：兩個設備挨在一起時信號衰減是-10mdb，普通室內信號的衰減在-30mdb—60mdb之間，設備之間隔一堵牆衰減達到-70—80mdb。而這些信號衰減程度有助於我們查找室內無線設備的數量。設想，當走進陌生的房間，可見的無線設備無非是房間網絡電視機1臺，如果列表中給出的Station數量多的有點驚人，而且這些Station的信號衰減程度在-70mdb以內可以斷定房間裏殺氣騰騰。通過在房間裏走動，觀察信號衰減程度的變化，可以接近和定位其中一個針孔攝像頭。

>airodump-ng --bssid 50:fa:84:16:46:ea --essid WirelessLab –c 1 –a
#-c是指AP使用的信道從前面LinSsid獲得
#--bssid,--essid的參數 50:fa:84:16:46:ea和WirelessLab從前面LinSsid獲得

圖中airodump-ng的輸出中 PWR那一列是運行airodump-ng的機器到房間內其他Station的信號衰減程度

Topic 2: 斷開攝像頭的鏈接

Introduction 2:

TCP(是怎樣建立連接的？)通過3次握手建立連接。Station與AP建立WIFI連接有類似的過程：掃描-認證-關聯-連接4個階段。Station和AP建立連接後，可以發送Deauthentication包讓Station解除認證。Deauthentication是IEEE 802.11 協議所規定的，用來解除認證的幀。具有如下特點：1).沒有加密 任何人都可以發送;2).容易僞造來源MAC地址3).強制客戶端掉線

Tex2:

前面的步驟即使我們找到了所有的攝像頭，也不代表我們可以把這些攝像頭全部取下來並關閉。比如，有些攝像頭藏在牆上插座後面，我總不至於出差在外還帶着螺絲刀把面板卸下來。萬一觸電怎麼辦？就算沒觸電，破壞酒店設置又怎麼辦？面對這些攝像頭，我們就真的無計可施了？倒也不是，可以讓攝像頭斷網，那視頻就無法上傳了。這就用到aircrack-ng套件中的另一個工具aireply-ng，它可以向AP/Station發送包含特定數據的包，比如Deauthentication包,讓特定的station下線.

實施前首先要測試AP是否可以注入

root@kali:~# airmon-ng start wlan1 #將網卡切換到Monitor模式
root@kali:~# iwconfig wlan1mon ch 1#使網卡監聽Ch 1信道

root@kali:~# aireplay-ng --test -e Wireless -a 50:fa:84:16:46:ea  wlan1mon
02:30:50  Waiting for beacon frame (BSSID: 50:FA:84:16:46:EA) on channel 1
For the given BSSID "50:FA:84:16:46:EA", there is an ESSID mismatch!
Found ESSID "WirelessLab" vs. specified ESSID "Wireless"
Using the given one, double check it to be sure its correct!
02:30:50  Trying broadcast probe requests...
02:30:50  Injection is working! #有這段話，可以認爲可以實施注入
02:30:52  Found 1 AP 

02:30:52  Trying directed probe requests...
02:30:52  50:FA:84:16:46:EA - channel: 1 - 'Wireless'
02:30:52  Ping (min/avg/max): 3.068ms/6.721ms/14.074ms Power: -60.57
02:30:52  30/30: 100% #

確定AP可以注入後，即可實施斷網

root@kali:~# aireplay-ng --deauth=5000 -a 50:fa:84:16:46:ea wlan1mon -c 2C:61:F6:99:AA:22
-c指定一個Station，不加 -c選項則將AP下所有的Station全踢下線

Summary:

我們的網卡一般工作在Managed模式下，只能接受發送AP發送給它的幀。Station收到這些幀後，會把802.11頭部剝去，替換爲Ethnet頭部然後發送給網絡協議棧。這樣做的好處是對上層應用屏蔽其底層傳輸介質，壞處就是無法分析802.11協議頭部。如果想接受到周圍的所有數據幀，以及完成上述實驗，需要將網卡切換到Monitor模式。當然不是所有的網卡支持Monitor模式。Windows下只能選Mega Geek的Airpcap網卡，就是貴了點：支持802.11 b/g/n協議的大概要2K左右;支持a/b/g/n協議的在5K左右。所以一般會在Linux下完成上述任務。另外，如果網卡只支持802.11 b/g/n協議，那麼它將接受不到5GHz的AP信號。當然了現在很多無線設備和無線路由只支持b/g/n協議。

查看網卡支持的工作模式以及支持的802.11協議：

# iw list
Supported interface modes:
#支持的工作模式
		 * IBSS
		 * managed
		 * AP
		 * AP/VLAN
		 * monitor
…
Frequencies:
#支持的頻段
			* 2412 MHz [1] (20.0 dBm)
			* 2417 MHz [2] (20.0 dBm)