WiFi無線信息安全分析與攻擊手段測(cè)試-淮安劉瑞

1、WiFi無線信息安全分析與攻擊手段測(cè)試淮安電信無線維護(hù)中心劉瑞2012年9月2日【摘要】由于無線網(wǎng)絡(luò)在移動(dòng)設(shè)備和傳輸介質(zhì)方面的特殊性，使得 無線網(wǎng)絡(luò)相對(duì)于有線網(wǎng)絡(luò)而臨的安全威脅更加嚴(yán)重，一些攻擊手段更 容易實(shí)施?！笆舜蟆蓖ㄐ疟Ｕ现H，本文圍繞WiFi無線安全威脅、 常見攻擊手段、安全性測(cè)試等方面展開，結(jié)合日常維護(hù)需求和實(shí)踐數(shù) 據(jù)，基于破解WEP、破解WPA2演示，驗(yàn)證無線信息安全威脅及其實(shí) 施原理，對(duì)于打造“金盾”網(wǎng)絡(luò)，提升網(wǎng)絡(luò)安全具有一定參考價(jià)值?！娟P(guān)鍵字】無線安全威脅、攻擊手段、WEP、WPA2、PIN碼破解一、無線安全威脅概述與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)面臨的安全威脅更加嚴(yán)重，所有常規(guī) 有

2、線網(wǎng)絡(luò)中存在的安全威脅和隱患通常都存在與無線網(wǎng)絡(luò)中，同時(shí)無 線網(wǎng)絡(luò)傳輸?shù)男畔⒏菀妆桓`取、篡改和插入；無線網(wǎng)絡(luò)容易受到拒 絕服務(wù)攻擊和干擾等。從信息安全威脅角度來說，安全威脅是指某人、物、事件對(duì)一資 源的保密性、完整性、可用性或合法使用性所造成的危險(xiǎn)。安全威脅 可以分為故意的和偶然的，故意的威脅又可以進(jìn)一步分為主動(dòng)的和 bei動(dòng)的。被動(dòng)威脅包括只對(duì)信息進(jìn)行監(jiān)聽，而不對(duì)其進(jìn)行修改；主 動(dòng)威脅包括對(duì)信息進(jìn)行故意的篡改（包含插入、刪減、添加）、偽造虛假信息等。結(jié)合省公司2012年“龍騰3G”和“金盾行動(dòng)”關(guān)于網(wǎng)絡(luò)安全工作要求，進(jìn)行系統(tǒng)梳理，目前無線安全威脅現(xiàn)狀主要有：（一）攻擊者基于MDK3等工具破

3、解WEP、WPA2,獲取AP密鑰或竊取用戶賬號(hào)，如下圖所示的目前網(wǎng)絡(luò)上ChinaNet免費(fèi)帳號(hào)買賣等。W：1|OSW3JB3|36163IR:2105648)36013693360朕：3|O5U斑渕 |36K$ $810564368)54413693W SM：5|0SMff664|36K4 ?10564366136813681X8W：710564196136321% 迪料：81畑畑521368救 5 料:9| 畑%82S45|3682洱 強(qiáng)W：10|C6$4X828?2|368?2|8JR:11 j 056*8X831368X6:安廈M: 121C664X8320813683206ISSIH：

4、13105M36834821368斑 i W*W：141 C6WX6j6181 浹血8 I:15|C4M83733|3683733|R16907522628123456 云覧 欣75228308123456 云甬 10567522632a 12M56 云甬冷522635 3125456 菇 139875228375123456 云甫 18$3?522513123456 xS 1&7S222 al% ie98?52311U12W56 云甬 lWB?S235773156r 195675236?83123456 zS 瀏序23妙 al234 zSi眾郭離單人單號(hào)購(gòu)買處官方單-猶定腦Chinane譚人

5、號(hào)，-周6元/-月20,義的戕可以點(diǎn)擊下方“削A付即輔點(diǎn)擊下方QQ薛后眠！*灶-切從售后勰！ Hi為了方郎后,請(qǐng)軸rl砒耕頁(yè)！i6HA6f?3（二）設(shè)備和服務(wù)器不必要的服務(wù)和端口開放。杜庶盒渙!試陽迅 讒世曰餐愛曰酩 心聶手工測(cè)丸 發(fā)現(xiàn)品富服夯器開放了如下靖匚1,Fort Fr-otoc ol WS t at -Servi c eVersi on135tepiltC5-eamsvpc130tPfiltered443tcpopen.liX tpWbLoci ch t tpd445tcpi11 ax cdnii cxroscit- dsG93lcFPi 11 -1-t -ipr-pcs a pvn

6、 ap7 07Hi 1 才!2003OOXZooi：Ti ool oZ-WobZL OS x aiXl eta Https :2 02 . 1C=. 1 . 12 internet i on air oztm ro aiiadeFaxilt. j sGtxMa5OcfcTfc-t：je ： X XO2. X3. X22： X=*-t oard. : 102：LD 123/Xxi-tear*x- FIKTOMcl W_Lb A*3*ba-t:ar ： X 102. X3.丄UNxr rum* d uarxl=xr om/= d. WIN C 尸夕卜主XocUru J or* -（四）設(shè)備存在弱口

7、令、默認(rèn)口令，以及登錄繞過等安全問題。 連接的過程中，攻擊者通過攔截、插入、偽造、中斷數(shù)據(jù)包等方式， 達(dá)到獲取對(duì)方登陸賬戶及密碼，偽造身份等目的。對(duì)于一般的環(huán)境， 可以單純的使用ARPSpoof工具，同樣也可以使用滲透測(cè)試攻防平臺(tái) BT4下功能強(qiáng)大的Ettercap來實(shí)現(xiàn)。攻擊步驟：口 *境MJNAVtOAMF.AMrenn.事,6“CPUgvdi. waW/0VMY V1DMO MAIU0*WB皿嫌跖：28MJ（五）設(shè)備登錄采用明文傳輸方式4C0 12.530140114.222.2XJ.2555. Zl 3.203.44HTTP40 12.SS6672S121.1

8、4.11.1$HTTP477 12.58575454lid.222.243.25HTTP412 12.593OMW 12.699JJ55LW Z22.243.25畑 1ft7.Q?.Un5S. 213.203.445S. 213.203.44117 RO. 7? IllHTTPHTTPHTTP720 FC6T Aeb Hcgin HTTP/l. 1 (applicaticr. x-imw-forr-irlencoded)217 T sp attCcD-ddOa6bB3c5dabcnoC Ml HTTP 1.1 200 o.plain)W GET

9、Kn/4O?2?F8613$FD2M2$072E8$81xsiyfd1recx.x$l Hnp/l.leflO POST /ucn/frare HTTP/1.1 (appl icat iai x-ww-fort-tri encoded) dUfi MTTP1.1 :nn m ZawBrsfinn v.iavwriHft Etherret :. Src: :ntel3r_flb:tf:c2 (00:le:M:6b:bf:c2). (bt: Hi-a*.eiTe_84：e；:ff (00:15:82:W：e7：Ff) t :rterrat Protzel vwsiwi 4. Src: 1U.222

10、.243.25 (1U.222.24 3.25), Dt: S8.213.2O3.U (SE.213.203.44) Transnlsslcn wcrol proxocol sre port: etc (2&D, Wt pcti: hxxp :W,鬥：1. Mk: 1 ten： 666Transfer procxal-line-based text data: application x-ftw-fora-urlencodeduscr.rH-r&rAra/natcr-lcsLano-cMrflSfiassuerd-neeOlllaodc-nftjAlang-llid? 64 丄 15 $4 2

11、0 3 “ 52 20 12 M ?0 2e 35 ； .nET c LR 2.0.5 U 37 3b 20 49 G 66 6f 50 1 74 68 2 H 0*27； :n foPath.l h 48 6f 73 20 J5 H 2e ；2 ?1 打 2e 05【：56.213. n 2 34 34 g Oa 43 6f 6& “ 65 6a 74 2d 23. Conrcrt- k G7 7d &8 A 20 38 Od Od 4J 6f & 6e L糾th: 80. .conn M 0 6f 6a 32 M 4b 65 65 70 2d XI 6c 60 actior:力 oa 43

12、 61 3 85 65 2d 燈 f 6 ?4 72 6f ve, .each e-5 3a 20 6C 61 6fc 6? 34 31 3b 20 65 6t 63 Me： lin g; enc2 “ 57 3d 67 62 32 33 31 32 M Oa CW Oa odirg-50 2312.I2WI2w12b?128 21 3 Jd 456f 72 Id 40 45 26 73 79 73 4 6； 69 6t 65 ?3 65 26 ?0 61 73 73 7? 6f 63 0 32 M 31 31 76 6C 6465 & 6e 73 24 6c C 仇 67 習(xí) 31二、常見攻

13、擊手段解析無線攻擊又名無線欺騙攻擊，不但包含了常說的無線中間人攻擊，還包括了無線跳板、無線釣魚、偽造AP等多種方式。常見攻擊手段解析如下：（一）中間人攻擊（MITM）：就是目標(biāo)主機(jī)與另一主機(jī)進(jìn)行正常1、無線客戶端通過無線AP上網(wǎng)2、攻擊者向無線客戶端發(fā)送欺騙報(bào)文3、攻擊者向無線AP發(fā)送欺騙報(bào)文4、正常的訪問被重定向，無線客戶端將訪問攻擊者所引導(dǎo)的域 名或服務(wù)器。（二）基于硬件偽造無線接入點(diǎn)：基于硬件的偽造AP攻擊是最 容易實(shí)現(xiàn)的，攻擊者完全可以在探測(cè)出目標(biāo)AP的諸如SSID、工作頻 道、MAC等相關(guān)信息，并在破解了無線連接加密密碼之后，在準(zhǔn)備一 臺(tái)功能較為完善的AP,直接修改成與其配置一致，就

14、可以實(shí)現(xiàn)偽造 AP攻擊的目的。（網(wǎng)絡(luò)可以下載常見掃描工具）EOD5CED2707A050B339BED4001570AF1305O3EQB42DC4D 0014DEFOD13? 650B33SBED4 D550B339DOOr 005093290007 00609 929D 009F0D111F259E6 5C0E 8B5EBDC0 74EaA4DmC DAEg00033EQ3CE5A63FF8C0 B44VA0B366F MH8FA 餡 3CChihaNei-hJFAChinaNeitAjQ CM CDChinaNel TP-LINK_B70QA4 ChinaNe!CMCCCMCCAUTO

15、CMCC-AUTO CMCC CMCCDLnk8f8E8E88 PP*D fenghuan 口 TP-LINK_ ChinaMet-APCrl i7Vy3A ChinoNl-F8B0 Chinar4e!-yx3A Naviqatcc254 Mbps(Fake)WEPG54 Mbps(Fake)WEP1154 Mbps(Fake)WEP1154 MbpN匚 om554 Mbps(FaF：e)G54 Mbps(Fake)WEP1154 Mbps(Fake)154 Mbps(Fake)1154 Mbp(Uor-d.WEP554 Mbps(User-d.WEPG54 MbpsZ Com154 Mbps

16、N Com1154 Mbps(Fake)WEP1154 Mbp(Foko)WEP1254 Mbps(FaF：e)WEP954 Mbps(Fake)WEP1154 Mbps(Fake)WEP854 Mbps(lleer-d.WEP854 Mbp(Fake)WEP554 Mbps(FaF：e)WEPG54 MbpsfFakel（三）基于軟件無線跳板攻擊：提到跳板，很多人會(huì)想到黑客使用的肉雞、代理、跳板專用的工具?；谲浖臒o線跳板攻擊是指在有線網(wǎng)絡(luò)的基礎(chǔ)上，加入了無線網(wǎng)絡(luò)的環(huán)節(jié)，通過配合使用有線網(wǎng)絡(luò)內(nèi)的主機(jī)、筆記本作為傳輸節(jié)點(diǎn)，一一連接起來進(jìn)行無線信號(hào)到有線 網(wǎng)絡(luò)的傳輸。如：從外部連接內(nèi)部筆記木無

17、線網(wǎng)卡，再配合端口重定 向工具進(jìn)行的基于軟件的無線跳板攻擊。連接無線網(wǎng)卡用到的工具是 airserv-ng,重定向工具是Fpipe。ICMP協(xié)議隧道方式常用丄具是： Loki； HTTP協(xié)議隧道方式常用工具是HTTP Tunnelo（四）拒絕服務(wù)攻擊（驗(yàn)證洪水攻擊）：攻擊者向AP發(fā)送大量偽 造的身份驗(yàn)證請(qǐng)求幀，當(dāng)收到大量偽造請(qǐng)求的身份驗(yàn)證請(qǐng)求超過所能承受的能力時(shí)，AP將斷開其他無線服務(wù)連接。人 2 x rootbt: File Edit View Terminal Help:mdk3 monO a a 8C: 21:0A：3A:DE:86AP 8C:21:OA：3A：DE:86 is resp

18、onding!AP: 8C:21:0A!3A:DE:86AP: 8C:21:0A:3A:DE:86AP: 8C:21:0A:3A:DE:8&AP: 8C:21:0A:3A:DE:86Client:67:C6:69:73:51:FFtoClient:ED:DE:13:EF:E5:20toClie nt:E9:9F:21:BC:52:13toClient:A2:CC:31:A2:9F:9Btotarget target target targetAP 8C:21:0A:3A:DE:86 seems to be INVULNERABLE!Device is still responding with

19、 500 clients connected!connecting client： 54：E8：01：9E：28：8C to target ap： 8C：21：0A：3A：de：8& connecting client： 0E：bo：84：E9：E9：ob to target ap： 8C：21：0A：3A：de：8& connecting client： 14：3C：86：ec：bb：7D to target ap： 8C：21：0A：3A：de：8& AP 8C:21:0A:3A:DE:86 seems to be INVULNERABLE!Device is still respondi

20、ng with Connecting Client： 7B:32:F0:7E:85:32 to target AB； S： 一 器邀1000 clients connected!8C:21:0A:3A:DE:Connecting Clierjt： 8B：58：6：C4;0A：FE toQannectng Client： 05：90;9B：A4：C5:1CtoAP 8C ： 21: A ： 3A ： DE ： 86 seems jto be -INVULNERABLE!.Device is still responding with 1500 clients connected!Connecti

21、ng Client: 67:Cl:FA:03:El:98 to target AP: 8C:21:0A:3A:DE:8& Connecting Client: E8:98:68:47:BB:29 to target AP: 8C:21:0A:3A:DE:86 Packets sent:1684 - Speed:164 packets/secCtarget targetConnecting Connecting Connecting Connecting繼而通過廣播插入偽造的取消身份驗(yàn)證報(bào)文，客戶端認(rèn)為該報(bào)文來自AP,最終利用大量模仿的和偽造的無線客戶端關(guān)聯(lián)來填充AP的客戶端關(guān)聯(lián)表，從而達(dá)到淹沒

22、AP的目的。（五）RF干擾：由于當(dāng)前使用的g/n、藍(lán)牙等都工作在頻段，所 以對(duì)干擾將破壞正常的無線通信，導(dǎo)致數(shù)據(jù)傳輸丟失、網(wǎng)絡(luò)中斷、信 號(hào)不穩(wěn)定等情況出現(xiàn)。(六) 破解接入口令：攻擊者嘗試破解無線加入口令。達(dá)到接入 無線網(wǎng)絡(luò)，控制無線接入點(diǎn)，滲透內(nèi)網(wǎng)的目的。為此，根據(jù)省公司要求，前期開展了 SNMP弱口令專項(xiàng)整治行動(dòng)。三、安全性破解測(cè)試為更好地演示W(wǎng)iFi安全性破解過程，木次測(cè)試選取經(jīng)典的WEP 破解進(jìn)行詳解。首先構(gòu)建破解環(huán)境平臺(tái)：在筆記木電腦上安裝 BT5R3-GN0ME-VM-32,可以選擇虛擬機(jī)(需要外置網(wǎng)卡)、U盤插入方 案(可利用筆記木網(wǎng)卡)。辻config -a查看所有網(wǎng)卡辻con

23、fig wlanO up激活無線網(wǎng)卡文件(FWH(E)査 (V)罐端 CD 怙列(Gmet 地址: 掩碼：255000met6 土也址：:1 7 128 Scope HostUP LOOFBACK RUNNING MTU： 1 6436 躡點(diǎn)數(shù)挨妝數(shù)擁包：298佑ye ： o去棄：o 過伐：o m數(shù) o發(fā)迖：298鐺決：0丟棄：0過莪：D雙說：0W J4 0準(zhǔn)送隊(duì)刊長(zhǎng)度 0按欣字節(jié) 22E2O (22.8 KB) 發(fā)迖字予 2282D (22.8 KB)wlanOLink wncap:以太網(wǎng) 秋件上也址 74 de: 2b . 68 St . 7cUP BROADCAST M

24、ULTICAST WTU : 1 500 躍點(diǎn)數(shù)：1 抿收數(shù)擁包0耕課：0丟棄：0 Mt tt 0加數(shù)。發(fā)迖致烷包：0 W5決：0丟棄：0過戎：0戎波2 梅扌吏 0準(zhǔn)送隊(duì)列長(zhǎng)度：1 000按收字節(jié)：0 發(fā)迖字節(jié)：D wlan 1Link encap 以太網(wǎng) 砂件 地址 OD 18UP BROADCAST MULTICAST STU：1500接收毀擦包 0堵碾：0丟棄 0過伐 0加數(shù) 0 發(fā)迖致烷笆：0伯洪：0丟棄：0過RtA :0 WJ4 0 程送隊(duì)列長(zhǎng)度：1 000按收字節(jié)：0 (0.0 B) 發(fā)送字節(jié)：0 t hom !RIDNome4G9avah x-daemon3 7 1ovah x-

25、doemoo389N? twor kMBnoce r558wpa_supplleantI ntor rcoCh xps ot:vl acOUlrtXcowrivl ac 1RTLB187Or Xvarr t181Q2cq-phyO 3rtl8187 -CpK/1(monitor modo onablod on monO)airodump-ng monO查看無線網(wǎng)絡(luò)信息g戈:件 root CMCHI I ElapsedXDy16s3oeG3D1 AC00C0C40MC teaosolsonuA22FCEEAnp E3E6F; ;F 6 FC5CDCA COOSBOEFCO-MS；AWVHMI C

26、 2012-07-12 07 47pwrO c a c onm/*MULNCUX 尸 IIU R AUTI ICSIDceacooEEOU 08E6ceF9MIs fcFASS-AEOTVDB2F9C4-0A22S68OZ2322Z4666777777U71G70592BG31721222 110020004000CllSAO . S-4O . S-l S“ . S.54 54 54 S-4 .v/t !WPA2 V/PA2WPA2WPA2WPA2WPA2 WPA2WEP WPA2V/rp p p p p p p p r rMMMMMMMPMM ECCCCCCCECC WGCCCCCCWCCP

27、SK PSK PSK PSK PSKPSK PSKPSKP5Kwoe 3O-BOS 1ACk-Xlu TP-UTNK TA_UINK_F e 2HAOXI-HO FAST_3E4A ZZX GOUGOUUh rau4rt -1 u? t a t I QNr k* t & not auuocxatod、 ot: qssoc xo t CA OO ： C-l 2 95 BC0:00 7 0 0ABO-F12CB18 8 01607xSFCGGe5C7CT:030517 3ooos0009airodump-ng- ivs (數(shù)據(jù)包)一 -w cimer -c 6 monO 抓包Qrv k atPr

28、ob vI11S 1 DSTATI ONl*d c Hanna 1 aionO :xre*文件*i 桃號(hào)GTIWHFKH)0100000000000 66:6G;36;33 13 0 7 0 106025916000000 0 e3r-F: B22331226 24007777 7 7 6EC6MC0LU4C4E4 EB86 C6S99?OF OS cA 8E79C1 AF 0C98NFFC 02A3KCAD74At2 3E3:9:W A4AftrcDA55ACF OCOMKOCO A 4 C ; 191s ao3133106 29220e22882E1 cAco coocasco BE8O boon 33B54S2-457345287 3Oe 2Q7S4 WEPWEPWPA2CCMPS4 WPA2CCMP43WPAZCCMK540WPA2CCMP54WEPWEPSou:TPLINK_4AC1 2rsKrAZT 3E-AOEPSKjack-11U8C 21 OA 30:6