返回列表 回復 發帖

破解WEP無線網路WLAN全攻略-2

3、筆記本的設置

  首先,我們來準備破解WEP密鑰所需要的幾個工具軟體(Kismet、Airodump、Void11、Aireplay 和Aircrack),Kismet:用來掃描整個區域內的WLAN,找到實驗用的目標WLAN,收集相關數據(SSID值、頻道、AP及與之相連接的客戶端的MAC地址等);Airodump:對目標WLAN進行掃描並捕獲其產生的數據包到一個檔中;Void11:從目標AP中驗證某臺電腦,並強制這個客戶端重新連接到到目標AP,以使其一個ARP請求;Aireplay:接受這些ARP請求並回送到目標AP,以一個合法的客戶端身份來截獲這個ARP請求; Aircrack:接受Airodump生成的捕獲檔並從中提取WEP密鑰。
  它們都是公開源代碼的共用或自由軟體,這些所有的工具都可以在一個被稱為 “Auditor Security Collection LIVE CD” 的共用光碟上找到,這個光碟是一張可引導系統的光碟,可以引導一個經過改進過的Kanotix Linux,這個Linux版本無需存取硬碟,在通過光碟啟動時直接安裝到記憶體中就,它啟動後可自動檢測和配置多種無線網卡。在下面使用的Auditor Security Collection LIVE CD是最新版本,通過NERO(或其他的刻錄軟體)把它刻錄下來,給Attack和Sniff機器各一張。
  首先把無線網卡插入到筆記本中(如果機器內置有無線網卡就最好不過了),再把筆記本設置成從光碟引導,並把Auditor Security Collection CD放入光驅中。從Auditor引導菜單中選擇合適的螢幕解析度後,Kanotix Linux會被安裝到記憶體中運行並出現Auditor開始螢幕。
在這個Auditor系統中,兩個最重要的圖示是位於螢幕左下方的Programs和Command Line圖示,我們以後的許多操作基本上都是要通過它們來完成的。
  在這裏,開始做其他任何其他的事情之前,先要確認我們機器上的無線網卡能夠通過Auditor的驗證。單擊Command Line圖示以打開一個命令行窗口,然後輸入iwconfig命令,在Auditor顯示出的資訊中,你會看到有關於“Wlan0”的資訊,它是Auditor為基於PRISM晶片的卡確定的一個名稱,如果用來操作攻擊的筆記本的螢幕顯示Wlan0”的資訊,則表明Auditor已檢測到了無線網卡,現在就可以開始下一步工作了。對於另外一台筆記本,也進行同樣的步驟,重複這一操作。

三、實戰破解過程

  1、用Kismet進行網路探測

  Kismet是一個基於Linux的無線網路掃描程式,這是一個相當方便的工具,通過測量周圍的無線信號來找到目標WLAN。雖說Kismet也可以捕獲網路上的數據通信,但在還有其他更好的工具使用(如Airodump),在這裏只使用它來確認無線網卡是否正常工作和用來掃描無線網路,在下面的部分中將會換用不同的工具軟體來真正地偵聽和捕獲網路上的數據通信。

  運行Kismet程式

  除掃描無線網路之外,Kismet還可以捕獲網路中的數據包到一個檔中以方便以後加以分析使用,因此Kismet會詢問用來存放捕獲數據包的檔的位置,如我想把這些檔保存到rootdesktop下,則單擊“Desktop”,然後選擇“OK”即可,如圖十三所示。然後Kismet然後會詢問捕獲檔的首碼名字,我們可以更改這個默認的名字,例如把它更改為“capture”然後點擊OK,這樣Kismet就會以capture為檔案名的開頭,再在其後依次添加序號來保存捕捉下來的數據包到不同的檔中。
  當Kismet開始運行時,它將會顯示這個區域內它找到的所有的無線局域網,“Name”那一列中所顯示出來的內容就是哪一個WLAN中AP的SSID值,那當然開始設定的目標WLAN也應該包含中其中(Name下值為wsrf的那一行),在這一行中,CH列的值(AP所使用的頻道)應該與開始所記下的相同。在窗口的最右邊顯示的資訊是Kismet發現的WLAN的數目,已被捕捉下來了的數據包、已加密了的數據包的數目等等。甚至當目標電腦已關閉時,Kismet也正可從我們的目標AP中檢測到數據包,這是因為目標AP在不停地發出“beacons”,它將告之擁有無線網卡的電腦有一個AP在此範圍內,我們可以這樣想像,這臺AP宣佈,“我的名字是XXXXX,請大家與我連接。”
  默認的Kismet是運行在“autofit”模式下的,它顯示的內容雜亂無章的,我們可以通過排序把AP按任何有意義有順序來重新排列,按下“s”鍵到“Sort”菜單,在這兒可以按下某個字母來對搜尋到的AP進行排序,如“f”鍵是按AP名字的第一個字母來排序,而“c”鍵是按AP使用的頻道來進行排序,“l”是按時間來進行排序等等。
  現在我們來查看一下目標WLAN中AP的詳細資訊,按下“s”鍵,然後再按下“c”鍵,把整個AP的列表用頻道的方式來排列,使用游標鍵移動高亮條到表示目標AP的SSID上,然後敲下回車鍵,然後將打開一個顯示所選擇AP的詳細資訊的說明窗口(SSID、MAC地址和頻道等)。這樣,要破解一個加密WLAN的WEP密鑰所需要的基本資訊大部分都在這兒了。有些WLAN從安全方面考試,隱藏了SSID或遮罩SSID廣播,這樣做的話的確能夠防止使用Netstumbler來掃描,但碰上Kismet就毫無辦法了,它可輕易地檢測到隱藏的SSID。Kismet能夠比Netstumbler捕捉到更多的網路資訊,能夠通過跟蹤AP及與之相連接的客戶端之間的會話而發現某個AP的SSID。
  要完成一個破解過程,還有最後一個需要瞭解的資訊,就是WLAN中連接在目標AP上的無線客戶端的MAC地址,這個使用Kismet也是很輕易地搞定的。返回Kismet,按下“q”鍵退出詳細資訊窗口,默認的選擇仍舊是剛才查看了的目標AP,使用“Shift+C”鍵,這時會打開一個與目標AP相關的客戶端列表,它們的MAC地址就顯示在這個窗口的左邊。在這個窗口顯示的內容中,不但包含了與AP相連的客戶端的MAC地址,還包括AP自己的MAC地址,還記得在本文的開頭所記下的目標AP的MAC地址嗎?在這,除了目標AP的MAC地址外就是客戶端的MAC地址了。
  如果你沒有看到Target電腦的MAC地址,請檢查一下,確認一下它是否已開機或連接到了目標AP(啟動目標電腦,連接到目標AP並打開WEB頁面),大約10-30秒後,你將會看到目標電腦的MAC地址在Kismet中彈出。當然,把所有的客戶端MAC地址都記下來也不失為一個老道的方法,這樣就可避免在開始破解過程時一個客戶端也沒有出現時受阻。

2、用Airodump來捕獲數據包

  現在瞭解破解所需的基本資訊了,該是開始使用Airodump工具的時候了,Airodump的主要工作是捕獲數據包並為Aircrack建立一個包含捕獲數據的檔。在用來攻擊與破解的兩臺電腦中的任一一臺上,我使用的是Attack電腦,打開一個shell窗口並輸入以下的命令:

  iwconfig wlan0 mode monitor
  iwconfig wlan0 channel THECHANNELNUM
  cd /ramdisk
  airodump wlan0 cap

  注意:把THECHANNELNUM這個值更改成所要破解的WLAN中的頻道數,/ramdisk目錄是存儲捕獲數據檔的位置。如果在實驗WLAN環境的附近還有別的WAP,則可目標AP的MAC地址附在airodump命令的後部作為參數,如:airodump wlan0 cap1 MACADDRESSOFAP。
  這個命令僅僅是使airodump把捕獲到的目標AP的數據包寫入到那個生成的數據檔中(cap1)。 按下Ctrl+C鍵退出Airodump,輸入ls ?Cl命令列出這個目錄中的內容,看看擴展名為.cap檔的大小。在經過幾秒鐘的捕獲動作後,如果有數據包被成功地捕捉下來,那生成的這個包檔大約為幾個 KB大小。如果Airodump使用同一個參數在捕獲數據包時被停止和重新開始後,這個生成的包檔會依照前一個檔順序添加,如第一個為cap1,第二個為cap2等。
  當Airodump在運行時,在該窗口左邊看到的BSSID下列出來的值就是目標AP的MAC地址。在這個Airodump的運行窗口中,會看到Packet和IV這兩個值正在不停地增長,這都是由於Windows檢測網路時產生的正常網路通信,甚至在目標客戶端上並沒有打開WEB網頁收發email也是如此。過一會兒後就會看到IV值只會幾個幾個慢慢地上升,不過如果在目標電腦上流覽網頁時,隨著每一個新頁面的打開,Airodump中的IV值會在不斷地快速上升。
  在這兒,我們對Packet 的值不感興趣,因為它並不能夠有助於破解WEP,IV 值則是個很重要的數字,因為如果要破解一個64bit的WEP密鑰,需要捕獲大約50000到200000個IV,而破解一個128bit的WEP密鑰,則需要大約200000到700000個IV。
  大家可能會注意到,在正常的網路通信條件下,IV值不會增長得很快。實際上,在正常的通信條件下,要成功地破解WEP密鑰而需要從大多數的WLAN中捕獲足夠數量的數據包可能會花費數小時甚至數天的時間。幸運的是,我們還有有幾個辦法可以把這個速度提高起來。要使IV值快速地上升,最有效的辦法就是加大網路的通信量,把目標WLAN變得繁忙起來,加快數據包產生的速度,通過連續不斷地ping某臺電腦或在目標電腦上下載一個很大的檔能夠模仿這一過程,讓Attack電腦上運行Airodump,可看到IV值慢慢在上升。
  還有一個方法,在Windows的命令提示符窗口輸入如下的命令來進行一個持續不斷的ping:

  ping -t -l 50000 ADDRESS_OF_ANOTHER_LAN_CLIENT

  這裏 ADDRESS_OF_ANOTHER_LAN_CLIENT值更改成在本局域網中目標AP、路由器或其他任何可ping得通的客戶端的IP地址。

3、用Void11來產生更多的通信流量

  void11把一個無線客戶端從它所連接的AP上使用一個強制驗證過程,也就是說這個客戶端開始被斷開,當它被從WLAN中斷開後,這個無線客戶端會自動嘗試重新連接到AP上,在這個重新連接過程中,數據通信就產生了,這個過程通常被叫做de-authentication或deauth attack過程。
  啟動Sniff電腦,並把Auditor CD插入它的光驅,Auditor啟動後,打開一個shell命令窗口並輸入以下的命令:

  switch-to-hostap
  cardctl eject
  cardctl insert
  iwconfig wlan0 channel THECHANNELNUM
  iwpriv wlan0 hostapd 1
  iwconfig wlan0 mode master
  void11_penetration -D -s MACOFSTATION -B MACOFAP wlan0
返回列表