Wi-Fi之WEP

WIFI之WEP

WEP（Wired Equivalent Privacy，有线等效保密）
已淘汰

一：WEP介绍：
常见的是64位WEP加密和128位WEP加密。

其中24位是IV（Initialization Vector，初始化向量），意思是厂家说的64位密钥实则是24位IV（3字节）+40位密钥（5字节）。

也就是64位WEP加密只能设置5位密码。128位WEP加密（24位IV+104位密钥），只能设置13位密码。

二：加密过程：

RC4（Rivest Cipher 4）算法：包含KSA (Key Scheduling Algorithm，密钥调度算法)和PRGA（Pseudo Random Generation Algorithm, 伪随机序列生成算法）
CRC (Cyclic Redundancy Check) 校验（例如：CRC-32，32代表生成32位的ICV校验值）
ICV（Integrity Check Value，完整性校验值）

三：本次实验用到的原理：

WEP数据包的plaintext前面其实有固定的802.2协议的SNAP头（0xAA），因此0xAA与ciphertext第一字节进行异或（XOR）后的值为RC4生成明文显示的密钥流的第一字节。

因为RC4算法中如果存在弱IV，则可以有一定概率知道密钥流明文第一字节对应于SEED(种子密钥)中的哪一字节，再通过统计分析（生日攻击），极大概率肯定计算结果的正确性，然后通过RC4算法逆向推出KEY中第一字节（记为KEY[1],即WIFI密码的第一字节），然后才可以推出KEY[2]（因为RC4加密的下一字节与上一字节有联系，即要知道KEY[2]必须先知道KEY[1]），知道KEY[2]再推出KEY[3]，依次算出所有密钥。如下图绿色线的流向，逻辑上（实际上会进行RC4以及结合IV去运算，为了便于理解，简化流程）是这样依次知道KEY[1]到KEY[5]。

四：实验。
破解概率几乎100%
实验设备：kali虚拟机，无线网卡（需要有监听功能）

1. 未插入无线网卡时：通过ifconfig查询网络适配器的信息（或者iwconfig这个命令查询的信息就很简要）
   

2. 插入无线网卡并将无线网卡连接上虚拟机：发现出现了wlan0，这个就是你的无线网卡
   

3. 接下来利用kali自带的airmon工具，输入airmon-ng start wlan0启动混杂模式，如果忘记命令可以使用airmon-ng ？ （或者man airmon-ng来查询命令的使用方式）
   

4. 开始扫描一下附近无线网络情况，airodump-ng wlan0mon （wlan0激活混杂模式后会变成wlan0mon，可以通过iwconfig查看），如果这一步始终扫不出任何东西，重新插拔无线网卡，从头开始。
   

5. 看到自己想捕获数据就可以按Ctrl+C终止上一步的命令了。开始获取需要的包（IVs包含有需要的密钥信息，收集这个就可以了），airodump-ng --ivs –w text –c 11 --bssid AP的MAC wlan0mon 。这里输入text为文件名，默认在当前目录/root下，-c后面接信道。
   

输入此命令后会在当前目录创建text-01.ivs的文件，并开始收集信息。

6.如果此时对方在看视频或者下载东西，流量很大的情况下就可以直接进行破解。aircrack-ng ~/.ivs (这里找到存放ivs文件的路径，用通配符去匹配就可以了，airmon工具他会自动在你命名的文件后添加-01，-02，……，例如你命名为text，则生成第一个文件为text-01.ivs，如果你再进行收集，就会再生成text-02.ivs)

如果流量很少，就进行ARP注入（抓取流量中的ARP request，进行重放），从而获得大量IV，然后再进行第6步的破解，当获取IV达到2w以上基本就可以破解了。

下图是正在抓取ARP request包。会在当前目录生成cap的文件，一旦抓取到就可以进行大量重发，不断发给AP，AP就会反馈，以此获得大量IV。

下图是已经抓到ARP request包，进行重放，此窗口不用关闭，重开一个shell进行破解

五：结语：
WEP加密模式，已经被证明是不安全的加密，20分钟内即可完成整套流程的破解。这里展示的是有客户端的情况，WEP加密也可以采用无客户端的破解。现在家用路由器基本已经摒弃了WEP加密。

此文章仅供学习和交流，不用于其他用途。