无线安全 - 快速指南

---

无线安全 - 概念

在本教程中，您将了解不同的无线通信方法。您将了解我们大多数人都知道的无线局域网(WLAN)，然后深入了解无线安全背后的实际问题。您会惊讶地发现，使用任何知道如何使用它的人都可以轻松使用的基本工具，收集有关无线网络及其流经数据的大量敏感信息是多么容易。

在我们深入了解无线通信的“黑客”方面之前，您将需要了解大量正常无线系统操作的理论概念和图表。尽管如此，在本教程中，理论内容将保持在绝对最低限度——对每个人来说，最令人鼓舞和最愉快的部分是实践的一面！

当我们想到无线通信时，我们会想象一些连接到天线的系统，这些系统使用人眼看不见的无线电波在空中一起通话。老实说，这完全是一个真正的定义，但为了打破事物（或者更确切地说，你更喜欢“黑客”这个词），你需要学习所有这些概念和架构如何协同工作。

无线术语

首先，让我们了解一下与无线通信相关的一系列基本术语。逐步地，我们将沿着这条道路一起学习更高级的东西。

无线通信

无线通信是指各方之间以无线方式（通过空中）执行的任何类型的数据交换。这个定义非常广泛，因为它可能对应于许多类型的无线技术，例如 -

• Wi-Fi网络通讯
• 蓝牙通讯
• 卫星通讯
• 移动通讯

上述所有技术都使用不同的通信架构，但它们都共享相同的“无线介质”功能。

无线上网

众所周知，无线保真（Wi-Fi）是指无线局域网。它基于IEEE 802.11标准。Wi-Fi 是一种几乎随处可见的无线网络，在家中、工作场所、酒店、餐厅，甚至出租车、火车或飞机上。这些 802.11 通信标准在2.4 GHz 或 5 GHz ISM 无线电频段上运行。

这些设备在兼容 Wi-Fi 标准的商店中很容易买到，它们在设备本身上可以看到以下图像。我敢打赌您在各种商店或其他公共场所已经见过数百次了！

由于基于 802.11 的无线网络在所有类型的环境中得到广泛使用，因此它们也是其他 802.11 标准的各种安全研究的最大主题。

无线客户端

无线客户端被视为安装了无线卡或无线适配器的任何终端设备。现在，在 21^世纪，这些设备几乎可以是任何东西 -

• 现代智能手机- 这些是市场上最常用的无线设备之一。它们在一个盒子上支持多种无线标准，例如蓝牙、Wi-Fi、GSM。

• 笔记本电脑- 这是我们每天都使用的一种设备！

• 智能手表- 这里显示了基于索尼的智能手表的示例。它可以通过蓝牙与您的智能手机同步。

• 智能家居设备- 随着当前技术的进步，智能家居设备可能是例如可以通过 Wi-Fi 控制的冰箱或温度控制器。

可能的客户端设备列表每天都在增长。我们日常使用的所有设备/实用程序都可以通过无线网络轻松控制，这听起来有点可怕。但同时请记住，任何通过无线介质传输的通信都可能被任何在正确时间站在正确地点的人拦截。

无线安全 - 接入点

接入点 (AP) 是 802.11 无线实施中的中心节点。它是有线和无线网络之间的接口，所有无线客户端都与之关联并交换数据。

对于家庭环境，通常会将路由器、交换机和 AP 嵌入在一个盒子中，使其真正可用于此目的。

基站收发站

基站收发站 (BTS) 相当于 802.11 世界中的接入点，但由移动运营商用来提供信号覆盖，例如：3G、GSM 等...

注- 本教程的内容集中于 802.11 无线网络，因此不会包含有关 BTS 和移动通信的更多详细信息。

无线控制器 (WLC)

在企业无线实施中，接入点的数量通常达到数百或数千个。在管理上不可能单独管理所有 AP 及其配置（信道分配、最佳输出功率、漫游配置、在每个 AP 上创建 SSID 等）。

在这种情况下，无线控制器的概念就发挥了作用。它是所有无线网络操作背后的“主谋”。该集中式服务器具有与网络上所有 AP 的 IP 连接，可以轻松地从单一管理平台进行全局管理、推送配置模板、实时监控所有 AP 的用户等。

服务集标识符 (SSID)

SSID 直接标识无线 WLAN 本身。为了连接到无线 LAN，无线客户端需要在关联帧中发送与 AP 上预配置的 SSID 名称相同的 SSID。那么现在的问题是如何找出您的环境中存在哪些 SSID？这很容易，因为所有操作系统都带有内置无线客户端，可以扫描无线频谱以寻找要加入的无线网络（如下所示）。我相信您在日常生活中已经多次执行此过程。

但是，这些设备如何仅通过收听无线电磁波就知道特定的无线网络是以特定的方式命名的呢？这是因为信标帧（AP 在非常短的时间间隔内一直传输）中的一个字段包含始终以明文形式显示的 SSID 名称，这就是关于此的整个理论。

SSID 的长度最多为 32 个字母数字字符，并唯一标识 AP 广播的特定 WLAN。如果 AP 定义了多个 SSID，它将为每个 SSID 发送单独的信标帧。

细胞

小区基本上是由 AP 或 BTS 的天线（发射机）覆盖的地理区域。在下图中，单元格用黄线标记。

大多数情况下，与客户端设备内置天线的功能相比，接入点具有更高的输出功率。事实上，客户端可以接收从 AP 发送的帧，并不意味着可以建立 2 路通信。上图完美地展示了这种情况。- 在这两种情况下，客户端都可以听到 AP 的帧，但只有在第二种情况下，才能建立双向通信。

这个简短示例的结果是，在设计无线小区尺寸时，必须考虑客户将使用的天线的平均输出发射功率是多少。

渠道

无线网络可配置为支持多种 802.11 标准。其中一些在 2.4GHz 频段运行（例如：802.11b/g/n），其他则在 5GHz 频段运行（例如：802.11a/n/ac）。

根据频段的不同，每个通道都有一组预定义的子频段。在同一物理区域中放置多个 AP 的环境中，使用智能信道分配以避免冲突（同时从多个源以完全相同的频率传输的帧的冲突）。

让我们看一下具有 3 个小区的 802.11b 网络的理论设计，如上图所示，彼此相邻。左侧的设计由 3 个不重叠的通道组成 - 这意味着特定小区中的 AP 及其客户端发送的帧不会干扰其他小区中的通信。在右侧，我们遇到了完全相反的情况，所有在同一信道上飞行的帧都会导致冲突并显着降低无线性能。

天线

天线用于将电缆内以电信号形式流动的信息“翻译”到电磁场中，电磁场用于通过无线介质传输帧。

每个无线设备（AP 或任何类型的无线客户端设备）都有一个包含发射器和接收器模块的天线。它可以是外部的并且对周围的每个人都可见，也可以是内置的，就像当今大多数笔记本电脑或智能手机一样。

对于无线安全测试或无线网络的渗透测试，外部天线是最重要的工具之一。如果你想进入这个领域，你应该得到其中之一！外部天线的最大优点之一（与您可能遇到的设备内置的大多数内部天线相比）是它们可以配置为所谓的“监控模式” - 这绝对是您需要的！它允许您使用wireshark或其他众所周知的工具（例如Kismet）嗅探来自PC的无线流量。

互联网上有一篇非常好的文章（https://www.raymond.cc/blog/best-known-usb-wireless-adapter-for-backtrack-5-and-aircrack-ng/）可以帮助您进行选择外部无线天线，特别是对于具有监控模式功能的 Kali Linux。如果您正在认真考虑进入这一技术领域，我真的建议大家购买推荐的一款（我有一款）。

无线安全 - 网络

无线网络可以根据其提供的操作范围分为不同的类别。最常见的分类方案将无线网络分为下表列出的四类，并附有简短的示例。

本教程主要介绍 WLAN 技术，但我们还将介绍蓝牙通信 (WPAN) 的各个方面。

无线技术统计

只是为了给你一些证据，无线技术每年都会以越来越多的方式影响我们的生活。看看已找到的样本统计数据！其中一些看起来很可怕，但同时它们也表明了当今我们对无线通信的依赖程度。

• 到 2020 年，大约 240 亿台设备将连接到互联网，其中一半以上通过无线连接。这就是真正的物联网(IoT)。考虑到现在地球上生活着大约 74 亿人，这听起来怎么样？

• 所有类型的无线通信中大约 70% 是 Wi-Fi（802.11 标准）。

• Wi-Fi 网络的速度已从 802.11a - 54Mbps（1999 年）增长到 ac-wave 1 - 1.3 Gbps（2012 年）。除此之外，即将推出具有多 Gbps 速度的 801.11ac-wave2。

• 每天，数百万人通过 Wi-Fi 使用智能手机进行现金转账和访问他们的银行账户！

您是否仍然对无线实施中安全性的重要性犹豫不决？

无线网络

无线部署中使用的设备选择受到部署类型的影响，无论该网络是用于小房子、商店、大型企业网络还是酒店网络。

无线安全 - 标准

自 IEEE 802.11 标准推出以来，无线网络一直在快速发展。人们看到了这种类型的数据传输的潜力，因此 802.11 的后继者相继出现，几年后才出现。下表总结了我们这个时代当前使用的 802.11 标准 -

正如您所看到的，Wi-Fi 网络变得越来越快。以下是我们通过 Wi-Fi 下载数据时看不到高速的几个限制因素 -

• 整个速度和实际情况之间存在差异。由于无线通信是半双工的（单个天线可以同时发送或接收），因此实际吞吐量实际上约为速度的 50%。仅当存在一个发送器和一个接收器、不涉及任何其他客户端且没有干扰（导致冲突和重传）时，此条件才成立。

• 最前沿的标准 (802.11ac) 并未得到终端设备的广泛支持。市场上大多数笔记本电脑或智能手机都支持 802.11a/b/g/n，但尚不支持 802.11ac 标准。除此之外，某些设备仅配备天线，支持 2.4 GHz 频段，但不支持 5 GHz（这导致默认情况下缺乏 802.11ac 支持）。

检查您的 Wi-Fi 网络标准

让我们看看如何检查您加入的 Wi-Fi 网络支持哪些标准？您可以使用方法数量来检查这一点。我将在这里介绍其中两个 -

通过嗅探无线信标帧

• 每个信标帧都包含传输 AP 支持的速度列表。这些速度可以直接映射到标准。

• 上面的信标帧转储表明，这可能是 AP，在 2.4 GHz 频段上启用了 802.11b/g 支持。

• 802.11b 支持的速率（1、2、5.5、11）。

• 802.11g 支持的速率（1、2、5.5、6、9、11、12、18、24、36、48、54）

通过使用一些特定的工具进行无线网络发现。

以下屏幕截图显示了 Mac 上运行的名为“inSSIDer”的无线工具的转储。它直接显示所有可见的无线网络，以及每个网络的一些详细信息。

从上图可以看出，有些WLAN支持最高速度130Mbps（必须是802.11ac），有些则支持54和36Mbps（可能是802.11 A或G）。

另一方面，您还可以使用流行的基于 Linux 的程序，称为“airdump-ng”（我们将在稍后展示黑客攻击 - 破解 Wi-Fi 网络的密钥时更深入地讨论这个程序）。对于Windows环境，您可以使用流行的“Network Stumbler”。所有这些工具的工作方式都非常相似。

无线安全 Wi-Fi 认证模式

在本章中，我们将简要介绍无线部署中使用的可能的身份验证方案。它们是：开放身份验证和基于预共享密钥 (PSK) 的身份验证。前一种是基于EAP帧来派生动态密钥。

开放认证

开放身份验证这个术语本身就非常具有误导性。它表明某种身份验证已经到位，但实际上，该方案中的身份验证过程更像是正式步骤，而不是身份验证机制。该过程如下图所示 -

用简单的英语来说，此交换的意思是，在身份验证请求中，无线客户端（请求者）说“嗨 AP，我想进行身份验证”，而来自 AP 的身份验证响应则说“好的，开始吧”。您在这个设置中看到任何类型的安全性吗？我也不…

这就是为什么永远不要使用开放身份验证，因为它只允许任何客户端对网络进行身份验证，而无需进行正确的安全检查。

基于 EAP 的 4 次握手（使用 WPA/WPA2）

当无线客户端向 AP 进行身份验证时，两者都会经历称为 4 次握手的 4 步身份验证过程。在这些消息交换期间，共享密码是在 AP 和无线客户端之间导出的，而不是在任何这些 EAP 消息中传输。

成对主密钥 (PMK) 是黑客想要收集的东西，以破解网络加密方案。PMK 只有请求者和验证者知道，但在传输过程中不会在任何地方共享。

然而，会话密钥是，它们是 ANonce、SNonce、PMK、请求者和验证者的 MAC 地址的组合。我们可以将该关系写成数学公式 -

Sessions_keys = f(ANonce, SNonce, PMK, A_MAC, S_MAC)。

为了从该方程导出 PMK，必须破解 AES/RC4（取决于使用 WPA2 还是 WPA）。这并不容易，因为唯一实用的方法是执行暴力或字典攻击（假设您有一本非常好的字典）。

这绝对是推荐使用的身份验证方法，并且绝对比使用开放身份验证更安全。

Wi-Fi 粉笔

Wi-Fi粉笔是无线局域网历史上一个非常有趣的概念，主要在美国使用。主要思想是标记实施开放式身份验证或弱身份验证的 WLAN 的位置。通过这样做，每个人只要在墙上或地面上的某个地方发现这个用粉笔写的标志，那么他就可以无需身份验证即可登录Wi-Fi系统。聪明吧？

您可能会问自己 - 为什么用粉笔而不是某种记号笔、喷雾剂或其他更持久的标记方式？答案很简单，来自刑法——用粉笔书写不被视为破坏公物的Behave。

无线安全 - 加密

一般来说，加密是将数据转换为某种密文的过程，任何^拦截该信息的第三方都无法理解这种密文。如今，我们每天都在不知不觉中使用加密。每次您访问网上银行或邮箱时，最常见的是当您登录任何类型的网页或创建返回公司网络的 VPN 隧道时。

有些信息太有价值，无法得到保护。而且，为了有效地保护信息，必须以不允许攻击者解密的方式对其进行加密。老实说，没有完全安全的加密方案。我们每天使用的所有算法都可能被破坏，但在当前的技术和时间下发生这种情况的可能性有多大？

例如，使用新的超高速计算机破解加密“X”可能需要大约八年的时间。这种风险是否足够大，足以停止使用算法“X”进行加密？我怀疑，要保护的信息在那时可能已经过时了。

无线加密的类型

要开始谈论无线加密，值得一提的是，有两种类型的加密算法：流密码和块密码。

• 流密码- 它以逐位方式将明文转换为密文。

• 块密码- 它对固定大小的数据块进行操作。

下表收集了最常见的加密算法 -

您最有可能在无线网络上遇到（以某种形式）的是RC4 和 AES。

WEP、WPA、WPA2

无线网络领域存在三种广为人知的安全标准。这三者之间最大的区别是它们可以提供的安全模型。

WEP 是第一个无线“安全”模型，应该添加身份验证和加密功能。它基于RC4 算法和 24 位初始化向量 (IV)。这是该实现的最大缺点，导致 WEP 可以在几分钟内使用任何人都可以安装在其 PC 上的工具进行破解。

为了增强安全性，WPA2 被发明，具有强加密模型（AES）和基于802.1x（或 PSK）的非常强的身份验证模型。WPA 的引入只是作为平滑过渡到 WPA2 的过渡机制。很多无线卡不支持新的 AES（当时），但它们都使用RC4 + TKIP。因此 WPA 也是基于该机制，只是做了一些改进。

弱初始化向量（IV）

初始化向量 (IV) 是 WEP 加密算法的输入之一。整个机制如下图所示 -

可以注意到，该算法有两个输入，其中一个是 24 位长的 IV（也以明文形式添加到最终密文中），另一个是 WEP 密钥。当试图破解这种安全模型（WEP）时，必须收集大量的无线数据帧（大量的帧直到找到具有重复IV向量值的帧）。

假设对于 WEP，IV 有 24 位。这意味着它可以是从两帧（如果你足够幸运）到 2 ²⁴ + 1 之间的任意数字（你收集每个可能的 IV 值，然后下一帧必须是重复的）。根据经验，我可以说，在相当拥挤的无线 LAN 上（大约 3 个客户端始终发送流量），只需 5-10 分钟即可获得足够的帧、破解加密并导出 PSK 值。

此漏洞仅存在于 WEP 中。WPA 安全模型使用 TKIP，通过将其大小从 24 位增加到 48 位，并对图进行其他安全增强来解决弱 IV。这些修改使得 WPA 算法更加安全，并且更容易受到此类破解。

无线安全 - 破解加密

在本章中，我们将了解如何破解 WEP 和 WPA 加密。让我们从 WEP 加密开始。

如何破解WEP加密？

人们可以使用许多可能的工具来破解 WEP，但所有方法都遵循相同的想法和步骤顺序。

假设您已找到目标网络，请执行以下操作 -

• 收集（嗅探）空中传输的 WEP 加密数据包。该步骤可以使用名为“airodump-ng”的Linux工具来执行。

• 当收集到足够的数据包时（您收集了一组具有重复 IV 矢量的帧），您尝试使用名为“aircrack-ng”的工具破解网络。

在高度拥塞的网络中，上述两个步骤可能需要大约 5-10 分钟甚至更短的时间。就是这么简单！破解 WEP 的详细分步指南将在“渗透测试 WEP 加密 WLAN”主题下显示。

如何破解WPA加密？

破解 WPA 加密的方法略有不同。使用WPA的无线帧，使用TKIP加密，仍然使用IV和RC4算法的概念，但是为了更安全而进行了修改。TKIP 使用以下指针修改 WEP -

• 它使用动态创建的临时密钥，而不是 WEP 使用的静态密钥。

• 它使用排序来防御重放和注入攻击。

• 它使用先进的密钥混合算法来抵御 WEP 中的 IV 冲突和弱密钥攻击。

• 它引入了增强数据完整性 (EDI) 来抵御 WEP 中可能出现的位翻转攻击。

考虑到所有这些点，它使得 WPA 标准在计算上不可能被破解（这并不是说不可能，但可能需要相当长的时间，假设您拥有破解算法的高级资源）。WPA 标准中使用的身份验证相对于 WEP 中使用的身份验证也有所进步。WPA 使用 802.1x（基于 EAP 的身份验证）对客户端进行身份验证。事实上，这是唯一的弱点，您可以在这里尝试破解 WPA（实际上是 WPA2）。

WPA 和 WPA2 标准支持两种类型的身份验证 -预共享密钥(PSK) 和基于外部身份验证服务器的真正 802.1x。使用 802.1x 身份验证时 - 根本不可能破解密码；仅当使用本地 PSK 模式时才可行。顺便说一句 - 所有企业无线部署都使用真正的 802.1x 身份验证，基于外部 RADIUS 服务器，因此，您唯一可能的目标可能是非常小的企业或家庭网络。

还有一点需要注意的是，如果您有意破坏它，用于保护 WPA/WPA2 的 PSK 的大小必须相当短（最多 10 个字符 - 与允许的最大长度 64 个字符相反）。提出该要求的原因是，在初始 4 次握手期间，PSK 仅在无线客户端和 AP 之间传输一次（不是以明文形式），并且从这些数据包中导出原始密钥的唯一方法是通过暴力破解或者使用一本好的词典。

有一个非常不错的在线计算器，可以估计暴力破解 PSK 所需的时间 - http://lastbit.com/pswcalc.asp。假设你有一台电脑每秒可以尝试 1000 个密码（由小写、大写、数字和常见标点符号组成），则需要 28910 年才能破解密码（当然是最大值，如果你幸运的话可能会需要几个小时）。

破解 WPA/WPA2 加密的一般过程（仅当它们使用 PSK 时）如下 -

• 收集（嗅探）空中飞行的无线数据包。该步骤可以使用名为“airodump-ng”的 Linux 工具来执行。

• 在收集数据包时，您应该取消当前客户端的身份验证。通过这样做，您就会遇到这样的情况：客户端需要再次进行身份验证才能使用 Wi-Fi 网络。这正是您想要的！通过这样做，您可以准备一个良好的环境来嗅探对网络进行身份验证的无线用户。您可以使用基于 Linux 的工具“aireplay-ng”来取消当前无线客户端的身份验证。

• 当您嗅探到 4 次握手（并保存在转储文件中）时，您可以再次使用“aircrack-ng”来破解 PSK。在此步骤中，您必须引用包含aircrack-ng 工具将使用的所有密码组合的字典文件。这就是为什么，一个好的字典文件是这里最重要的元素。

WPA/WPA2 网络的详细黑客攻击步骤将在“渗透测试 WPA/WPA2 加密 WLAN”主题下显示。

如何防御 WPA 破解？

我有一种感觉，在完成本教程的最后部分之后，您已经有了一些想法，应该做什么才能使 WPA 破解成为不可能（或者更确切地说：在合理的时间内不可能）。以下是保护家庭/小型企业无线网络安全的最佳实践的一些建议 -

• 如果有机会，请使用 WPA2 而不是 WPA。它对套件使用的加密方案有直接影响。AES（WPA2 使用）比 TKIP（WPA 使用）安全得多。

• 正如您之前所见，破解 WPA/WPA2 的唯一方法是嗅探身份验证 4 次握手并暴力破解 PSK。为了使其在计算上不可能，请使用至少 10 个字符的密码，该密码由小写字母、大写字母、特殊字符和数字的随机组合（不是任何字典中可以遇到的任何普通单词）组成。

• 禁用 Wi-Fi 保护设置 (WPS) - WPS 是一项“很酷的功能”，旨在使新的无线客户端连接到网络变得更加容易 - 只需输入 AP 的特殊 8 位 PIN 码即可。这个8位数字对于暴力攻击来说是一个非常短的工作，并且这个8位数字可以在AP盒本身的背面找到。尝试一下，看看您的家庭路由器 - 您是否看到背面的 WPS PIN 码？您的家庭路由器是否启用了 WPS 功能？

无线安全 - 访问控制攻击

无线网络比有线网络更容易受到攻击，这已不是什么秘密。除了协议漏洞本身之外，它还是一种“无线”共享介质，使此类网络向全新的攻击面开放。在接下来的子章节中，我将尝试介绍无线通信的许多方面（或者更确切地说是威胁），这些方面可能会被恶意的第三方^利用。

访问控制攻击

访问控制的概念就是控制谁可以访问网络，谁不能访问网络。它可以防止恶意的^第三方（未经授权）关联到无线网络。访问控制的思想与身份验证过程非常相似；然而，这两个概念是互补的。身份验证通常基于一组凭据（用户名和密码），访问控制可能超出此范围并验证客户端用户或客户端用户设备的其他特征。

无线网络中使用的众所周知的访问控制机制是基于 MAC 地址白名单。AP 存储有资格访问无线网络的授权 MAC 地址列表。就目前可用的工具而言，这种安全机制并不是很强，因为MAC地址（无线客户端芯片组的硬件地址）可能很容易被欺骗。

唯一的挑战是找出 AP 允许哪些 MAC 地址对网络进行身份验证。但由于无线介质是共享介质，任何人都可以嗅探空气中流动的流量，并查看具有有效数据流量的帧中的 MAC 地址（它们在未加密的标头中可见）。

如下图所示，在我的家庭路由器上，我通过指定其 MAC 地址将两台设备设置为能够与 AP 通信。

这是攻击者一开始并不掌握的信息。然而，由于无线介质对于嗅探是“开放的”，他可以使用 Wireshark 监听那些已连接并在特定时间与 AP 通信的设备。当您启动 Wireshark 进行空中嗅探时，您很可能每秒会收到数百个数据包，因此，明智的做法是利用 Wireshark 中的高效过滤规则。我实现的过滤器类型是 -

(wlan.fc.type_subtype == 0x28) && (wlan.addr == 58:6D:8F:18:DE:C8)

该过滤器的第一部分告诉 Wireshark 它应该只查看数据包（而不是信标帧或其他管理帧）。它是子类型0x28并且（“&&”）其中一方应该是我的 AP（无线接口上的 MAC 地址为58:6D:8F:18:DE:C8 ）。

您可以注意到，有两个正在与 AP 交换数据包的设备是我作为管理员之前在 MAC 过滤上特别允许的设备。有了这两项，作为攻击者，您唯一要做的配置就是在本地更改无线卡的 MAC 地址。在此示例中，我将使用基于 Linux 的工具（但还有大量其他工具适用于所有可能的操作系统） -

这是绕过基于 MAC 过滤的访问控制的简单方法。如今，执行访问控制的方法更加先进。

专门的身份验证服务器可以区分特定客户端是 HP 生产的 PC、Apple 的 iPhone（什么类型的 iPhone）还是其他一些无线客户端，只需查看特定客户端的无线帧的外观并将其与其他无线客户端进行比较即可。特定供应商已知的一组“基线”。然而，这不是您在家庭网络上看到的东西。这些解决方案非常昂贵，并且需要集成多种类型服务器的更复杂的基础设施 - 最有可能在某些企业环境中满足。

无线安全 - 完整性攻击

信息完整性是确保数据在通过网络（无线或有线）从 A 点传输到 B 点时不被篡改的特征。当谈到无线通信时，802.11 无线电可以被同一频道上的任何第三方^窃听。下图说明了一种针对信息完整性的简单攻击 -

让我们想象一下，称为受害者的合法无线客户端（步骤 1）正在给朋友写一封电子邮件（电子邮件将发送到互联网），要求退还 1000 美元，并将银行帐号放入电子邮件中。

假设信息没有很好地加密（或者攻击者破解了加密并有机会以明文形式读取所有内容），无线攻击者（第 2 步）将读取空中流向 AP 的整个数据包。攻击者通过将银行帐号交换为自己的帐号来修改消息，然后将消息重新注入到空中，以通过 AP 访问互联网。

在这种情况下，如果没有完整性检查来检测消息内容的更改 - 收件人将收到带有修改的银行帐号的消息。也许，所描述的情况在现实生活中很难实现，因为所有工具（例如邮件交换）都可以安全地抵御这些类型的攻击（通过适当的加密和消息完整性检查），它完美地展示了攻击的概念。

针对这种类型的完整性攻击，有两种主要的对策：加密（这样攻击者根本无法读取消息）和消息完整性代码(MIC)，它们基本上是哈希函数，如MD5或SHA1，采用整个消息的足迹并创建 128 位 (MD5) 或 160 位 (SHA1) 的哈希值。任何时候，数据包内容发生变化，哈希值也会发生变化，导致消息被拒绝（已经被无线路由器拒绝）。

无线安全 - 机密攻击

针对信息机密性的攻击的作用只是破坏无线部署中使用的加密模型。考虑到该领域的各种安全模型，可以提出以下一般建议 -

• 无加密/WEP 加密- 这些都不是非常安全的方法，在任何情况下都不应该使用。

• TKIP 加密- 此加密模型用于 WPA 部署。目前尚未被破解，但由于使用了较弱的 RC4 算法，TKIP 并不被认为是强加密手段。

• CCMP 加密- 与 WPA2 一起使用。迄今为止，它被认为是基于不可破解（至少在今天）AES 算法的最安全的加密模型。

各种攻击的主要目标是破解加密并获取密钥的值。这会给攻击者带来两件事：破坏其他用户的机密性和直接访问无线网络。

无线安全 - DoS 攻击

旨在禁用服务（使目标不可用）或降低其性能（降低可用性）的攻击属于拒绝服务 (DoS)攻击。对于以电子商务为基础的受害者或公司来说，此类攻击的成本可能非常昂贵。他们可以计算出数百万美元的攻击成本，具体取决于其网络服务不可用的时间长度。

无线网络在员工生产力方面也发挥着至关重要的作用。我们都在工作场所使用无线笔记本电脑和智能手机。由于缺乏无线网络，我们的生产力下降了。

对可用性的 DoS 攻击可分为 3 种类型 -

• 第 1 层 DoS
• 第 2 层 DoS
• 第 3 层 DoS

我们将在接下来的章节中详细讨论每种攻击。

无线安全 - 第 1 层 DoS

这是射频干扰（有意或无意）的结果。大多数情况下，2.4 GHz 频段上会出现无意的干扰，因为该频段非常繁忙。RF 摄像机、无绳电话或微波炉等设备可能使用此频段。至于故意干扰，射频干扰器可能会干扰 802.11 WLAN。RF干扰器可以是硬件单元或软件工具（如下所示的示例“Websploit”框架）。

使用第 1 层 DoS 的最常见 WiFi 攻击是昆士兰攻击。

昆士兰袭击事件

这用于中断 802.11 WLAN 的运行。无线电卡配置为发出恒定的射频信号（很像窄带信号发生器）。然而，其他有效的无线客户端永远没有机会访问该介质，因为每当它们执行畅通的信道评估（在通过无线发送任何流量之前检查“空中”的简短过程）时，无线介质就会被这个恒定的发射器占用。

干扰攻击也可用于发起其他类型的攻击。通过使用干扰工具，人们可能会迫使无线客户端重新进行身份验证。之后，可以使用协议分析器（嗅探器）来收集身份验证过程（LEAP 或 WPA/WPA2 个人情况下的 4 次握手）。此时，攻击者将拥有执行离线字典攻击所需的所有必要信息。窄带干扰还可以用作中间人攻击的辅助工具。

使用软件（使用 Websploit）创建第 1 层干扰器非常简单。我将使用我自己的名为“home_e1000”的家庭无线网络来说明攻击。首先使用airodump-ng，我将收集有关 WLAN 本身的信息（BSSID、通道）。

正如您所看到的，“home_e1000”无线网络正在使用 BSSID 为 58:6D:8F:18:DE:C8 的 AP，并在通道 6 上运行。这是我们需要的一组信息，作为 websploit 框架的输入来执行干扰攻击。

与我们的场景相关的模块位于“无线模块”下，我们将使用 Wi-Fi/wifi_jammer 之一。

“RQ”字段列代表“必需”，因此您需要在此处填写所有值 -

• 接口- 这是 ifconfing 中显示的 WLAN 接口，在我的例子中，它是 wlan0。

• bssid - 这是 AP 无线电适配器的 MAC 地址。您可以按照前面步骤中的说明从 airodump-ng 派生此文件。

• essid - 这是您想要堵塞的 WLAN 的名称。

• mon - 监控接口的名称，如 ifconfig 或 airmon-ng 中所示。就我而言，它是 mon0。

• 通道- 显示来自 airodump 的信息。我的目标网络“home_e1000”正在通道 6 上工作，如 airodump-ng 输出所示。

现在，当在 websploit 框架中设置了所有必需的信息后，您只需键入“运行”命令即可。命令一执行，攻击就开始了。

正如您在下面的屏幕截图中看到的，websploit 框架将自动启动aireplay-ng工具并干扰网络。

这次攻击的结果（你看不到）是我的无线电脑和智能手机断开连接，并且在我通过发出“停止”命令停止攻击之前我无法真正连接回来。

无线安全 - 第 2 层 DoS

这些攻击最有可能是由恶意攻击者发起的。此攻击背后的主要思想是调整 802.11 无线帧并将其注入（或重新传输）到空中。

最常见的第 2 层 DoS 攻击类型涉及欺骗解除关联或取消身份验证管理帧。它如此高效的原因是，这些帧不是请求帧而是通知！

由于身份验证过程是关联的先决条件（如上所示），因此取消身份验证帧也会自动解除客户端的关联。

这种攻击可能（再次）是使用aireplay-ng 工具开始的。你能看出这个工具有多强大吗？

再次以 ESSID 为“home_e1000”的家庭网络为目标，我首先使用 airodump-ng 检查已连接的客户端。

我的智能手机是连接到 home_e1000 网络的设备，MAC 地址为 98:0D:2E:3C:C3:74。然后，我对我的智能手机发起取消身份验证 DoS 攻击，如下图所示 -

结果，我家中的目标设备（智能手机）再次与 Wi-Fi 网络断开连接。

针对此类攻击的缓解技术是使用802.11w-2009 标准管理帧保护 (MFP)。简而言之，该标准要求管理帧（如解除关联或解除身份验证帧）也由受信任的 AP 签名，如果它们来自恶意客户端或假 AP，则应忽略它们。

无线安全 - 第 3 层 DoS

此第 3 层 DoS 的想法是用大量需要处理的流量来压垮主机，从而导致主机崩溃。大多数情况下，这种类型的攻击源自一组黑客拥有的主机（称为僵尸网络），其目标是互联网上的受害者服务器。

第 3 层 DoS 攻击的三种最常见类型是 -

脆弱攻击

攻击者向IP广播地址发送大量UDP回显请求。源 IP 地址被欺骗并设置为受害者 IP 地址。通过这样做，广播子网上的客户端发起的所有回复都会发送回受害者。

Ping 洪水攻击

攻击者使用 ping 方式向目标计算机发送大量 ICMP 数据包。想象一下，一个恶意方拥有数千台 PC 的僵尸网络。如果我们想象所有这些 PC 同时运行 ping 洪水攻击，那么情况可能会变得相当严重。

蓝精灵攻击

与 Fraggle Attack 的情况完全相同的逐步操作。唯一的区别是，Smurf 攻击使用 ICMP echo 请求数据包，与使用 UDP 数据包的 Fraggle 攻击相反。

这些类型的第 3 层 DoS 攻击并不是特定的无线技术攻击。它们可以通过任何第 2 层技术（以太网、帧中继、ATM 或无线）使用。此攻击成功的主要要求是攻击者控制大量被超越的 PC（僵尸网络）。然后，特定数据包从僵尸网络中的每个受感染主机发送到目标 - 假设僵尸网络有 1000 多个设备，累积流量可能会很大。从单台 PC 使用第 3 层 DoS 根本无效。

无线安全 - 身份验证攻击

您现在可能已经知道，身份验证是验证所提供的身份和凭据的方法。无线设置中使用的大多数身份验证方案都通过适当的加密来保护。

我们已经描述了基于 WPA/WPA2 中使用的 EAP 身份验证和 PSK 身份验证的场景。通过嗅探客户端和身份验证器 (AP) 之间的 4 次握手，可以执行暴力攻击（例如离线字典攻击）来破解加密并导出 PSK 值。

另一个例子是 LEAP（轻量级可扩展身份验证协议）。它在过去被用作生成动态 WEP 密钥的机制。在此设置中，密码散列通过 MS-CHAP 或 MS-CHAPv2 算法进行无线散列（这两种算法都可以通过离线字典攻击进行破解）。可能应用于 LEAP 的身份验证攻击的简短描述包括以下步骤 -

• 用户名以明文形式发送。

• 有明文形式的挑战文本。

• 响应文本经过哈希处理。

• Office字典攻击，可以在这里使用（使用aircrack-ng工具）尝试“函数（密码，挑战） =响应”数学公式中密码的所有组合，以找到正确的密码。

此类攻击的示例将在接下来的章节中逐步说明。

恶意接入点攻击

当我们考虑企业网络时，企业 WLAN 是网络资源的授权且安全的无线门户。恶意接入设备 (AP) 是未经授权连接到公司网络（最常见的是某些网络交换机）的任何 WLAN 无线电。

大多数由员工（恶意用户或错误）安装的恶意接入点实际上与组织中 IT 部门使用的 AP 不同，而是一些小型办公室家庭办公室 (SOHO) 无线路由器 - 相同那些，你可能家里就有。在它们配置错误或配置没有任何安全性的情况下 - 它会打开下一个攻击面，以便轻松访问非常安全的网络）。

随着当前 IT 行业的发展，恶意接入点可能非常隐蔽且极难发现。如果将 Raspberry Pi 放置在机架背面，隐藏在数百根网络电缆之间，您是否能够轻松找到连接到网络交换机的 Raspberry Pi？我可以肯定地说，你根本不会发现它！

如果网络资源被恶意接入点暴露，则可能会发现以下风险 -

• 数据盗窃- 公司数据可能会受到损害。

• 数据销毁- 数据库可能被删除。

• 服务丢失- 网络服务可以被禁用。

• 恶意数据插入- 攻击者可能使用门户上传病毒、键盘记录器或色情内容。

• 第 3^方攻击- 公司的有线网络可能被用作针对互联网上其他网络的第 3^方攻击的跳板。

无线安全 - 客户端错误关联

您可能已经经历过这种情况，当您携带 PC 在家中使用无线时，您的 PC 会自动连接到 WLAN，而无需您执行任何操作。这是因为，您的笔记本电脑会记住您过去连接过的 WLAN 列表，并将该列表存储在所谓的首选网络列表中（在 Windows 世界中）。

恶意黑客可能会使用此默认Behave，并将其自己的无线 AP 带到您通常使用 Wi-Fi 的物理区域。如果该 AP 的信号比原始 AP 的信号好，则笔记本电脑软件将错误关联到黑客提供的假（恶意）接入点（认为它是您过去使用过的合法 AP） ）。此类攻击在一些大型开放空间中非常容易实施，例如机场、办公环境或公共区域。此类攻击有时称为蜜罐 AP 攻击。

创建假 AP 不需要任何物理硬件。本教程使用的 Linux 发行版是Kali Linux ，它有一个名为airbase-ng的内部工具，可以使用单个命令创建具有特定 MAC 地址和 WLAN 名称 (SSID) 的 AP。

让我们创建一个以下场景。过去，我曾在欧洲某机场使用过“Airport-Guest”的 SSID。这样，我就知道我的智能手机已将此 SSID 保存在 PNL（首选网络列表）中。因此，我使用airbase-ng创建此 SSID 。

创建 WLAN 后，我使用前面描述的第 2 层 DoS 攻击，不断地从 Home_e1000 无线网络取消我的智能手机的身份验证。此时，我的智能手机检测到另一个具有非常好的链接质量的 SSID（机场-访客），因此它会自动连接到它。

这是您在上面的转储中从 21:48:19 开始看到的内容。那时，我们就可以利用这个初始连接执行一些额外的攻击。它可以是中间人攻击，通过攻击者的 PC 转发所有无线流量（攻击流量交换的完整性和机密性）。或者您可以通过使用 Metasploit Framework 利用某些漏洞，从攻击者的 PC 直接连接回智能手机。 .. 有很多可能的前进方式。

配置错误的接入点攻击

配置错误的 AP 是一种安全表面，一旦检测到，最容易被破坏。您最有可能遇到配置错误的 AP 的地方是家庭无线网络或非常小的企业。大型无线环境很可能使用集中管理平台来控制数百或数千个 AP 并使它们保持同步，因此不太可能遇到任何配置错误。

导致无线破解的最常见的错误配置领域是 -

• 某些 AP 配置保留为出厂默认设置，例如用户名和密码或默认 WLAN 广播 (SSID)，并且默认设置可以在互联网上特定供应商的手册中找到。

• 人为错误 - 在整个组织的一组接入点上配置了高级安全策略，而其他接入点被遗忘并保留了默认的弱安全设置。

作为针对错误配置 AP 的对策，组织应遵循正在进行的站点调查，将其作为监控安全无线环境的工具。

一些 Linksys 无线家庭设备的默认用户名/密码数据库的示例是 -

即席连接攻击

Ad-Hoc 连接攻击是一种非常恶劣的攻击类型，其中攻击者（恶意用户）使用第 3^方合法用户作为攻击者设备与 AP 或其他类型网关之间的附加跃点或中间人。

Ad-Hoc 无线网络功能，需要在“中间设备”上工作，可以在 Windows 或 Linux 设备上配置，并且允许在客户端之间设置 ad-hoc（点对点）无线链接设备（无需任何额外的网络基础设施，如 AP）。在幕后，您实际做的是在您的 PC 上创建虚拟软件 AP，并将其他设备与您创建的 SSID 关联（​​有效地建立无线链接）。

使用 Linux 时，您可以使用本章前面介绍的名为“airbase-ng”的工具。另一方面，当使用Windows时，可以使用“配置新连接或新网络”在无线网络设置中创建WLAN。

以下情况描述了临时攻击。让我们假设攻击者可能是 2 号、3 号或 4 号计算机中的任何一台。受害者（中间人）将是计算机 1。这台笔记本电脑将运行并提供与周围环境的无线连接，并且将有其他接口连接到有线网络以访问互联网。

攻击者可以连接到计算机 1 广播的 WLAN，然后使用它通过这台受害者 PC 将所有流量路由到互联网。从互联网的角度来看，看起来好像是计算机 1 发起了流量！从计算机 1 到所有攻击者的无线链路不必是 Wi-Fi 连接 - 它可以是蓝牙或尝试相互通信的所有各方支持的任何其他类型的无线技术。

无线安全 - 黑客方法论

在本章中，您将更加熟悉可用于执行特定攻击（或作为更高级攻击的一小步）的各种常用工具。稍后，在最后一节中，您将需要将所有这些工具知识结合在一起，并执行更高级和复杂类型的无线攻击。这是本教程的最后一部分，将逐步介绍无线安全黑客场景，并使用您到目前为止看到的工具以及您将在此处找到的工具。

无线网络发现

Wi-Fi 发现是用于了解环境中 WLAN 存在的过程。WiFi 发现过程并不违反任何法律，因为您在任何时候都没有采取攻击性Behave，您只是使用无线客户端被动监听 Wi-Fi 频段。

为了发现存在什么类型的 WLAN 网络，您需要使用使用无线硬件并在 2.4GHz 或 5GHz 频段上侦听的特定工具。其中一些是内置于操作系统中的（它们对于详细的 WLAN 分析通常非常无效），而另一些则是简单的工具，您可以在互联网上找到它们。市场上有成百上千种工具。

我将向您展示其中的 2 个，由于其简单性，我非常喜欢它们。在阅读这些章节时（或者您已经从经验中知道），您会发现，为 Windows 操作系统提供的工具具有更好的图形和一些奇特的图形功能，这与基于 Linux 的工具提供的功能相反。但我可以向你保证，基于 Linux 的提供了完全相同的信息（只是以更像文本的格式）。另一方面，编写脚本要容易一些，它将一个工具的输出作为其他工具的输入。

对于 Windows 用户，您应该看看Xirrus Wi-Fi Inspector（可以免费使用）。这是一个简单的工具，可以识别附近存在的 WLAN。在Windows环境中执行相同功能的另一个工具是NetStumbler。

您可以从上面屏幕截图底部的表格中提取的信息提供了您可能需要查找的所有信息，例如 SSID 名称、接收信号强度、使用的 802.11 标准、WLAN 上的加密和身份验证设置、BSSID（AP 的 MAC地址、如果您想创建一个具有相同 MAC 地址的假 AP）及其运行的通道。这个是很多的！您还可以看到，非常奇特的图形“雷达”显示特定网络的距离