返回列表 回復 發帖

破解WEP無線網路WLAN全攻略(2)

第三步就是記錄下Target機器的MAC地址。一旦成功連接到網路上,就把被攻擊的Target電腦的MAC地址記錄下來。方法有兩種,一是打開一個命令提示符窗口並輸入ipconfig/all命令也可看到這個MAC地址。
  二是在Windows XP中,可從“無線連接狀態”窗口來得到這個MAC地址,單擊“支持”按鈕,然後單擊“詳細資訊”,這個MAC地址就顯示在窗口頂端的右邊

3、筆記本的設置

  首先,我們來準備破解WEP密鑰所需要的幾個工具軟體(Kismet、Airodump、Void11、Aireplay 和Aircrack),Kismet:用來掃描整個區域內的WLAN,找到實驗用的目標WLAN,收集相關數據(SSID值、頻道、AP及與之相連接的客戶端的MAC地址等);Airodump:對目標WLAN進行掃描並捕獲其產生的數據包到一個檔中;Void11:從目標AP中驗證某臺電腦,並強制這個客戶端重新連接到到目標AP,以使其一個ARP請求;Aireplay:接受這些ARP請求並回送到目標AP,以一個合法的客戶端身份來截獲這個ARP請求; Aircrack:接受Airodump生成的捕獲檔並從中提取WEP密鑰。
  它們都是公開源代碼的共用或自由軟體,這些所有的工具都可以在一個被稱為 “Auditor Security Collection LIVE CD” 的共用光碟上找到,這個光碟是一張可引導系統的光碟,可以引導一個經過改進過的Kanotix Linux,這個Linux版本無需存取硬碟,在通過光碟啟動時直接安裝到記憶體中就,它啟動後可自動檢測和配置多種無線網卡。在下面使用的Auditor Security Collection LIVE CD是最新版本,通過NERO(或其他的刻錄軟體)把它刻錄下來,給Attack和Sniff機器各一張。
  首先把無線網卡插入到筆記本中(如果機器內置有無線網卡就最好不過了),再把筆記本設置成從光碟引導,並把Auditor Security Collection CD放入光驅中。從Auditor引導菜單中選擇合適的螢幕解析度後,Kanotix Linux會被安裝到記憶體中運行並出現Auditor開始螢幕。
在這個Auditor系統中,兩個最重要的圖示是位於螢幕左下方的Programs和Command Line圖示,我們以後的許多操作基本上都是要通過它們來完成的。
  在這裏,開始做其他任何其他的事情之前,先要確認我們機器上的無線網卡能夠通過Auditor的驗證。單擊Command Line圖示以打開一個命令行窗口,然後輸入iwconfig命令,在Auditor顯示出的資訊中,你會看到有關於“Wlan0”的資訊,它是Auditor為基於PRISM晶片的卡確定的一個名稱,如果用來操作攻擊的筆記本的螢幕顯示Wlan0”的資訊,則表明Auditor已檢測到了無線網卡,現在就可以開始下一步工作了。對於另外一台筆記本,也進行同樣的步驟,重複這一操作。

三、實戰破解過程

  1、用Kismet進行網路探測

  Kismet是一個基於Linux的無線網路掃描程式,這是一個相當方便的工具,通過測量周圍的無線信號來找到目標WLAN。雖說Kismet也可以捕獲網路上的數據通信,但在還有其他更好的工具使用(如Airodump),在這裏只使用它來確認無線網卡是否正常工作和用來掃描無線網路,在下面的部分中將會換用不同的工具軟體來真正地偵聽和捕獲網路上的數據通信。

  運行Kismet程式

  除掃描無線網路之外,Kismet還可以捕獲網路中的數據包到一個檔中以方便以後加以分析使用,因此Kismet會詢問用來存放捕獲數據包的檔的位置,如我想把這些檔保存到rootdesktop下,則單擊“Desktop”,然後選擇“OK”即可,如圖十三所示。然後Kismet然後會詢問捕獲檔的首碼名字,我們可以更改這個默認的名字,例如把它更改為“capture”然後點擊OK,這樣Kismet就會以capture為檔案名的開頭,再在其後依次添加序號來保存捕捉下來的數據包到不同的檔中。
  當Kismet開始運行時,它將會顯示這個區域內它找到的所有的無線局域網,“Name”那一列中所顯示出來的內容就是哪一個WLAN中AP的SSID值,那當然開始設定的目標WLAN也應該包含中其中(Name下值為wsrf的那一行),在這一行中,CH列的值(AP所使用的頻道)應該與開始所記下的相同。在窗口的最右邊顯示的資訊是Kismet發現的WLAN的數目,已被捕捉下來了的數據包、已加密了的數據包的數目等等。甚至當目標電腦已關閉時,Kismet也正可從我們的目標AP中檢測到數據包,這是因為目標AP在不停地發出“beacons”,它將告之擁有無線網卡的電腦有一個AP在此範圍內,我們可以這樣想像,這臺AP宣佈,“我的名字是XXXXX,請大家與我連接。”
  默認的Kismet是運行在“autofit”模式下的,它顯示的內容雜亂無章的,我們可以通過排序把AP按任何有意義有順序來重新排列,按下“s”鍵到“Sort”菜單,在這兒可以按下某個字母來對搜尋到的AP進行排序,如“f”鍵是按AP名字的第一個字母來排序,而“c”鍵是按AP使用的頻道來進行排序,“l”是按時間來進行排序等等。
  現在我們來查看一下目標WLAN中AP的詳細資訊,按下“s”鍵,然後再按下“c”鍵,把整個AP的列表用頻道的方式來排列,使用游標鍵移動高亮條到表示目標AP的SSID上,然後敲下回車鍵,然後將打開一個顯示所選擇AP的詳細資訊的說明窗口(SSID、MAC地址和頻道等)。這樣,要破解一個加密WLAN的WEP密鑰所需要的基本資訊大部分都在這兒了。有些WLAN從安全方面考試,隱藏了SSID或遮罩SSID廣播,這樣做的話的確能夠防止使用Netstumbler來掃描,但碰上Kismet就毫無辦法了,它可輕易地檢測到隱藏的SSID。Kismet能夠比Netstumbler捕捉到更多的網路資訊,能夠通過跟蹤AP及與之相連接的客戶端之間的會話而發現某個AP的SSID。
  要完成一個破解過程,還有最後一個需要瞭解的資訊,就是WLAN中連接在目標AP上的無線客戶端的MAC地址,這個使用Kismet也是很輕易地搞定的。返回Kismet,按下“q”鍵退出詳細資訊窗口,默認的選擇仍舊是剛才查看了的目標AP,使用“Shift+C”鍵,這時會打開一個與目標AP相關的客戶端列表,它們的MAC地址就顯示在這個窗口的左邊。在這個窗口顯示的內容中,不但包含了與AP相連的客戶端的MAC地址,還包括AP自己的MAC地址,還記得在本文的開頭所記下的目標AP的MAC地址嗎?在這,除了目標AP的MAC地址外就是客戶端的MAC地址了。
  如果你沒有看到Target電腦的MAC地址,請檢查一下,確認一下它是否已開機或連接到了目標AP(啟動目標電腦,連接到目標AP並打開WEB頁面),大約10-30秒後,你將會看到目標電腦的MAC地址在Kismet中彈出。當然,把所有的客戶端MAC地址都記下來也不失為一個老道的方法,這樣就可避免在開始破解過程時一個客戶端也沒有出現時受阻。

2、用Airodump來捕獲數據包

  現在瞭解破解所需的基本資訊了,該是開始使用Airodump工具的時候了,Airodump的主要工作是捕獲數據包並為Aircrack建立一個包含捕獲數據的檔。在用來攻擊與破解的兩臺電腦中的任一一臺上,我使用的是Attack電腦,打開一個shell窗口並輸入以下的命令:

  iwconfig wlan0 mode monitor
  iwconfig wlan0 channel THECHANNELNUM
  cd /ramdisk
  airodump wlan0 cap

  注意:把THECHANNELNUM這個值更改成所要破解的WLAN中的頻道數,/ramdisk目錄是存儲捕獲數據檔的位置。如果在實驗WLAN環境的附近還有別的WAP,則可目標AP的MAC地址附在airodump命令的後部作為參數,如:airodump wlan0 cap1 MACADDRESSOFAP。
  這個命令僅僅是使airodump把捕獲到的目標AP的數據包寫入到那個生成的數據檔中(cap1)。 按下Ctrl+C鍵退出Airodump,輸入ls ?Cl命令列出這個目錄中的內容,看看擴展名為.cap檔的大小。在經過幾秒鐘的捕獲動作後,如果有數據包被成功地捕捉下來,那生成的這個包檔大約為幾個 KB大小。如果Airodump使用同一個參數在捕獲數據包時被停止和重新開始後,這個生成的包檔會依照前一個檔順序添加,如第一個為cap1,第二個為cap2等。
  當Airodump在運行時,在該窗口左邊看到的BSSID下列出來的值就是目標AP的MAC地址。在這個Airodump的運行窗口中,會看到Packet和IV這兩個值正在不停地增長,這都是由於Windows檢測網路時產生的正常網路通信,甚至在目標客戶端上並沒有打開WEB網頁收發email也是如此。過一會兒後就會看到IV值只會幾個幾個慢慢地上升,不過如果在目標電腦上流覽網頁時,隨著每一個新頁面的打開,Airodump中的IV值會在不斷地快速上升。
  在這兒,我們對Packet 的值不感興趣,因為它並不能夠有助於破解WEP,IV 值則是個很重要的數字,因為如果要破解一個64bit的WEP密鑰,需要捕獲大約50000到200000個IV,而破解一個128bit的WEP密鑰,則需要大約200000到700000個IV。
  大家可能會注意到,在正常的網路通信條件下,IV值不會增長得很快。實際上,在正常的通信條件下,要成功地破解WEP密鑰而需要從大多數的WLAN中捕獲足夠數量的數據包可能會花費數小時甚至數天的時間。幸運的是,我們還有有幾個辦法可以把這個速度提高起來。要使IV值快速地上升,最有效的辦法就是加大網路的通信量,把目標WLAN變得繁忙起來,加快數據包產生的速度,通過連續不斷地ping某臺電腦或在目標電腦上下載一個很大的檔能夠模仿這一過程,讓Attack電腦上運行Airodump,可看到IV值慢慢在上升。
  還有一個方法,在Windows的命令提示符窗口輸入如下的命令來進行一個持續不斷的ping:

  ping -t -l 50000 ADDRESS_OF_ANOTHER_LAN_CLIENT

  這裏 ADDRESS_OF_ANOTHER_LAN_CLIENT值更改成在本局域網中目標AP、路由器或其他任何可ping得通的客戶端的IP地址。

3、用Void11來產生更多的通信流量

  void11把一個無線客戶端從它所連接的AP上使用一個強制驗證過程,也就是說這個客戶端開始被斷開,當它被從WLAN中斷開後,這個無線客戶端會自動嘗試重新連接到AP上,在這個重新連接過程中,數據通信就產生了,這個過程通常被叫做de-authentication或deauth attack過程。
  啟動Sniff電腦,並把Auditor CD插入它的光驅,Auditor啟動後,打開一個shell命令窗口並輸入以下的命令:

  switch-to-hostap
  cardctl eject
  cardctl insert
  iwconfig wlan0 channel THECHANNELNUM
  iwpriv wlan0 hostapd 1
  iwconfig wlan0 mode master
  void11_penetration -D -s MACOFSTATION -B MACOFAP wlan0

  注意:把THECHANNELNUM替換成目標WLAN的頻道數,MACOFSTATION 和 MACOFAP分別替換成目標WLAN的客戶端的MAC地址和AP的代號,如下形式:void11_penetration -D -s 00:90:4b:c0:c4:7f -B 00:c0:49:bf:14:29 wlan0。當在Auditor Security Collection CD中運行void11時可能會看到“invalid argument error”的錯誤資訊,這無關緊要,不要理會這個錯誤。
  當void11在Sniff電腦上運行時,我們來看看Target電腦上正在發生的變化,通常,使用這臺機器的用戶會發現網路突然地變得非常慢,而且最後好像停頓了,幾秒鐘後,徹底與網路失去了連接。如果查看Windows XP自帶的無線客戶端實用程式,會發現void11開始攻擊之前,一切都正常,Windows顯示你正連接在AP上,Void11啟動後,網路狀態會從連接狀態改變到斷開狀態。如果在在Sniff電腦上停止void11後,Target電腦會在大約幾秒鐘內重新連接到目標AP。
  讓我們到Attack電腦上去看一下,它總是在那運行著Airodump,當void11在運行後,IV值在幾秒鐘內增加大概100-200,這是由於目標客戶端機器重複地嘗試重新連接到目標AP上時產生的網路通信引起的。

4、用Aireplay引起數據包的延遲

  當使用一個deauth attack過程強制產生通信時,它通常不能夠產生我們所需要的足夠數量的IV值,不過Airodump比較適合於干擾正常的WLAN操作的工具。為了產生更多的網路通信流量,我們需要使用一種叫做replay attack的不同方法,replay attack截獲由目標客戶端產生的合法數據包,然後再通過某種手段來欺騙這個客戶端,再三地延遲它的數據包,這個延遲過程比正常使用的時候更頻繁。由於這些通信流量看上去好像來自一台網絡上合法的客戶端,因此它並不干擾正常的網路操作,只是在幕後靜靜地從事著產生更多IV的職責。
  把由void11的deauth attack產生的數據包捕獲下來後,停止這個deauth attack過程,然後使用這些捕獲下來的數據包開始一個replay attack過程。我們在破解過程中所要捕獲的數據包最好選擇是ARP包,因為它們都很小(68位元組長),並有固定和容易被偵測的格式。把Attack和Sniff這兩臺機器都重新啟動, Attack電腦只運行aireplay,它僅僅是用來促使網路中產生數據流量(和IV)以縮短破解WEP密鑰所使用的時間,Sniff電腦的用途不是來運行deauth attack(通過Void11),就是用來捕獲通信流量(通過Airodump),並最後使用Aircrack工具來對被捕獲到的數據進行破解。
返回列表