1 概述
目前情况下:
WEP的破解为利用加密体制缺陷,通过收集足够的数据包,使用分析密算法还原出密码。
WPA目前没有加密体制的缺陷可被利用,破解WPA密码使用的是常规的字典攻击法。
所以在破解方式上WEP和WPA有很大差异。
2 WEP
2.1 (Wired EquIValent PrIVacy,WEP)
叫做有线等效加密。掌握WEP破解的人,肯能会说WEP不如有线的安全性高。但这
发生在WEP的很多弱点被发现之后。也是由于WEP的弱点导致WPA的出现。
2.2 (WEP)算法
WEP算法是一种可选的链路层安全机制,用来提供访问控制,数据加密和安全性检验
等。802.11 定义了WEP 算法对数据进行加密。
2.3 加密过程如图所示。
IV为初始化向量,PASSWORD 为密码KSA=IV+PASSWORD。DATA 为明文CRC-32
为明文的完整性校验值PRGA=RC4(KSA) 的伪随机数密钥流XOR 异或的加密算法。
ENCRYPTED DATA 为最后的密文。最后IV+ENCRYPTED DATA一起发送出去。
2.4 接收端的解密过程如图所示。
CIPHERTEXT 为密文。它采用与加密相同的办法产生解密密钥序列,再将密文与之
XOR 得到明文,将明文按照CRC32 算法计算得到完整性校验值CRC-32′,如果加密密
钥与解密密钥相同,且CRC-32′= CRC-32,则接收端就得到了原始明文数据,否则解密失
败。
2.5 WEP算法通过以上的操作试图达到以下的目的
采用WEP加密算法保证通信的安全性,以对抗窃听。
采用CRC32算法作为完整性检验,以对抗对数据的篡改。
2.6 WEP 算法之死
95 9 月RC4 潜在的威胁性(wanger)
00 10 月通过分析wpe包获取密码(walker)
01 5 月针对于明文攻击的一个推论(Arbaugh)
01 7 月针对于CRC32的攻击(Borisov, Goldberg,Wagner)
01 8 月针对于RC4的攻击(S。Fluhrer, I。Martin 和 A。Shamir)
01 8 月airosnort发布
02 2 月改进的攻击算法(h1kari)
04 8 月chopchop攻击出现
04 7/8 月aircrack出现(Devine,Sanchez )
2.7 WEP的破解理论是在01 年8月就变得可行了
S.Fluhrer, I.Martin 和A.Shamir 合作研究发现了对无线局域网安全性最致命的攻击。
利用WEP 帧的数据负载中部分已知信息来计算出该WEP 帧所使用的WEP 密钥。由于
WEP 加密算法实际上是利用RC4 流密码算法作为伪随机数产生器,将由初始矢量IV 和
WEP 密钥组合而成的种子生成WEP 密钥流,再由该密钥流与WEP 帧数据负载进行异或
运算来完成加密运算。而RC4 流密码算法是将输入种子密钥进行某种置换和组合运算来生
成WEP 密钥流的。由于WEP 帧中数据负载的第一个字节是逻辑链路控制的802.2 头信
息,这个头信息对于每个WEP帧都是相同的,攻击者很容易猜测,利用猜的第一个明文字
节和WEP 帧数据负载密文就可以通过异或运算得到PRNG 生成的密钥流中的第一字节。
另外,种子密钥中的24比特初始矢量是以明文形式传送的,攻击者可以将其截获,存到初
始矢。S.Fluhrer, I.Martin 和A.Shamir 证明:利用已知的初始矢量IV 和第一个字节密钥
流输出,并结合RC4 密钥方案的特点,攻击者通过计算就可以确定WEP密钥。
2.8 CRC-32 算法缺陷
CRC-32 算法作为数据完整性检验算法,由于其本身的特点非但未使WEP 安全性
得到加强,反而进一步恶化。首先CRC 检验和是有效数据的线性函数,这里所说的线性主
要针对异或操作而言的,即C(x?y)=C(x)?C(y)。利用这个性质,恶意的攻击者可篡改原文
P 的内容。特别地,如果攻击者知道要传送的数据,会更加有恃无恐。其次,CRC-32检验
和不是加密函数,只负责检查原文是否完整,并不对其进行加密。若攻击者知道P,就可算
出RC4(v,k) (RC4(v,k)=P?(P?RC4(v,k)),然后可构造自己的加密数据C'=(P',C(P'))
? RC4(v,k)和原来的IV一起发送给接收者(802.11b 允许IV重复使用)。
2.9 WEP密码如何被破解出来的
2.9.1 监听模式被动破解(这个就是有客户端并有大量有效通信)
根据已知的的信息。我们知道要还原出WEP的密码关键是要收集足够的有效数据
帧,从这个数据帧里我们可以提取IV 值和密文。与对于这个密文对应的明文的第一个
字节是确定的他是逻辑链路控制的802.2 头信息。通过这一个字节的明文,还有密文我
们做XOR运算能得到一个字节的WEP密钥流,由于rc4 流密码产生算法只是把原来的
密码给打乱的次序。所以我们获得的这一次字节的密码就是就IV+PASSWORD 的一部
分。但是由于RC4 的打乱。不知道这一个字节具体的位置很排列次序。当我们收集到足
够多的IV 值还有碎片密码时,就可以进行统计分析运算了。用上面的密码碎片重新排
序配合IV使用RC4算法得出的值和多个流密码位置进行比较。最后得到这些密码碎片
正确的排列次序。这样WEP的密码就被分析出来了。下图就是WEP破解过程。有助于
你理解破解WEP通过分析子密码还原密码的过程。
2.9.2 主动攻击(有客户端。少量通信或者没有通讯)
-3 ARP-request attack mode攻击抓取合法客户端的arp请求包。如果发现合法客户
端发给AP的arp请求包,攻击者就会向AP重放这个包。由于802.11b 允许IV重复使
用。所以AP接到这样的arp请求后就会回复客户端。这样攻击者就能搜集到更多的IV
了。当捕捉到足够多的IV就可以按上面的2.9.1里的进行破解了。如果没有办法获取arp
请求包我们就可以用-0 攻击使得合法客户端和AP断线后重新连接。-0 Deautenticate攻
击实际就是无线欺骗。这样我们就有机会获得arp请求包了。
2.9.3 主动攻击(没有客户端的模式)
先和AP进行伪链接-1 fakeauth count attack mode。这样就能产生数据包了。
收集两个IV 相同的的WEP 包,把这两个包里的密文做XOR 运算。得到一个XOR 文
件。用这个XOR文件配合伪造arp包的工具。利用CRC-32的特点伪造一个arp包和原
来的IV一起发给AP。这样就可以按上面2.9.2 里的进行破解了。其中-2 Interactive,
-4 Chopchop,-5 Fragment 都是属于上面这个攻击类型的。
2.10 WEP的安全弱点
A.802.2 头信息和简单的rc4 流密码算法
导致攻击者在有客户端并有大量有效通信时,可以分析出WEP的密码。
B.IV重复使用
导致在攻击者在有客户端。少量通信或者没有通讯时,可以使用arp 重放的方法获得大
量有效数据。
C.无身份验证机制,使用线性函数CRC32进行完整性校验。
无身份验证机制,导致攻击者能使用-1 fakeauth count attack mode和AP建立伪链接。
进而获得XOR 文件。使用线性函数CRC32 进行完整性校验,导致攻击者能用XOR 文
件伪造一个arp包。然后依靠这个包去捕获大量有效数据。
2.11 WEP窃听
由于 WEP 全局都是用IV+WEP 密码来保护明文的。当有了密码后攻击者可以使用同
样的算法能随时任意窃听任意STATION 至AP 之间的通讯。这样的窃听对于网银这样的双
向认证的安全不会有影响。但是在ip 包里的明文用户名和密码就很容易被窃听到了。例如
登录AP 的用户名和密码。由于无线网络窃听的存在,在使用交换机的有线网络中用关闭
dhcp 设置陌生网段的来禁止非法访问的方式。不在适合于无线网络。攻击者完全能根据窃
听到的合法客户端数据包配合已知密码来分析出ip的真实配置。
2.12 WEP的现状
WEP真的不是一种强壮的加密方式对于那种不怀好意的攻击者。无法胜任在安全有求
比较高的场所。对于安全较低的厂所只能说有胜于无。
3 WPA
3.1 WPA加密算法的的两个版本介绍
WPA = 802.1x + EAP + TKIP + MIC
= Pre-shared Key + TKIP + MIC
802.11i(WPA2)
= 802.1x + EAP + AES + CCMP
= Pre-shared Key + AES + CCMP
这里802.1x + EAP,Pre-shared Key是身份校验算法(WEP没有设置有身份验证机制)
TKIP和AES是数据传输加密算法(类似于WEP加密的RC4 算法)
MIC和CCMP数据完整性编码校验算法(类似于WEP中CRC32算法)
3.2 WPA 认证方式
802.1x + EAP (工业级的,安全要求高的地方用。需要认证服务器)
Pre-shared Key (家庭用的,用在安全要求低的地方。不需要服务器)
EAP 扩展认真协议,是一种架构。而不是定义了算法。常见的有LEAP,MD5,TTLS,
TLS,PEAP,SRP,SIM,AKA 其中的TLS 和TTLS 是双向认证模式。这个和网络银行的
安全方式差不多。这个认证方式是不怕网络劫持和字典攻击的。而md5 是单向认证的。不
抗网络劫持,中间人攻击。关于企业级的如何破解就不讨论了。因为论坛上也很少提到。本
身EAP模式是个协议,不是算法。
3.3 WPA-PSK
论坛上破解WPA 也主要是集中在这个模式上的。我们都知道破解WPA-PSK 不是和
WEP一样抓很多包就能破解的。关键是要获取握手包,这个握手包叫4way-handshake 四次
握手包。那么我们就从这个四次握手包开始。
3.4 四次握手
通信过程如图
3.4.1 WPA-PSK 初始化工作
使用 SSID 和passphares使用以下算法产生PSK 在WPA-PSK 中PMK=PSK
PSK=PMK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096)
3.4.2 第一次握手
AP广播SSID,AP_MAC(AA)→STATION
STATION 端
使用接受到的SSID,AP_MAC(AA)和passphares使用同样算法产生PSK
3.4.3 第二次握手
STATION 发送一个随机数SNonce,STATION_MAC(SA)→AP
AP端
接受到SNonce,STATION_MAC(SA)后产生一个随机数ANonce
然后用PMK,AP_MAC(AA),STATION_MAC(SA),SNonce,ANonce 用以下算
法产生PTK
PTK=SHA1_PRF(PMK, Len(PMK), "Pairwise key expansion",MIN(AA,SA) ||
Max(AA,SA) || Min(ANonce,SNonce) || Max(ANonce,SNonce))
提取这个PTK 前16 个字节组成一个MIC KEY
3.4.4 第三次握手
AP发送上面产生的ANonce→STATION
STATION 端
用接收到ANonce 和以前产生PMK,SNonce,AP_MAC(AA),STATION_MAC(SA)
用同样的算法产生PTK。
提取这个PTK 前16 个字节组成一个MIC KEY
使用以下算法产生MIC值
用这个MIC KEY 和一个802.1x data 数据帧使用以下算法得到MIC值
MIC = HMAC_MD5(MIC Key,16,802.1x data)
3.4.5 第四次握手
STATION 发送802.1x data ,MIC→AP
STATION 端
用上面那个准备好的802.1x 数据帧在最后填充上MIC值和两个字节的0(十六进
制)让后发送这个数据帧到AP。
AP端
收到这个数据帧后提取这个MIC。并把这个数据帧的MIC部分都填上0(十六进
制)这时用这个802.1x data 数据帧,和用上面AP产生的MIC KEY 使用同样的
算法得出MIC’。如果MIC’等于STATION 发送过来的MIC。那么第四次握手成
功。若不等说明则AP 和STATION 的密钥不相同,或STATION 发过来的数据帧
受到过中间人攻击,原数据被篡改过。握手失败了。
3.4.6 MIC的派生图
SSID passphares
PSK=PMK=pdkdf2_SHA1(passphr
ase, SSID, SSID length, 4096)
PTK=SHA1_PRF(PMK, Len(PMK),
"Pairwise key expansion",MIN(AA,
SA) || Max(AA,SA) || Min(ANonce,
SNonce) || Max(ANonce,SNonce))
MIC KEY=提取PTK 的前16 个字节
MIC = HMAC_MD5(MIC Key,16,
802.1x data)
SNonce
STATION MAC APMAC
ANonce
802.1x data
3.5 AP和STATION 之间的加密通信
3.5.1 通讯使用的临时KEY 的派生图
3.5.2 使用 KEY 进行加密通信
3.5.2.1 TKIP
3.5.2.2 CCMP
PTK �C X bit
Pairwise Transcient Key
EAPOL-Key
confirmtion Key
128 bits
EAPOL-Key
Encryption Key
128 bits
Temporal
Encryption Key
128 bits
Temporal AP
Tx MIC Key
64 bits
Temporal AP
Tx MIC Key
64 bits
X = 512 (TKIP)
X = 384 (CCMP)
Bit 128-256
KEK
Bit 256-384
TEK(=TK)
Bit 384-447
TMK1
Bit 447-511
TMK2
Bit 0-127
KCK
3.5.3 WPA安全规则
针对于WEP的安全漏洞WPA 也相应更新了安全规则:
A. 增强至48bit的IV。
B.Sequence Counter,防止IV重复。
C.Dynamic key management,动态key管理机制。
D.Per-Packet Key加密机制,每个包都使用不同的key加密。
E.MIC (Message Integrity Code ),信息编码完整性机制。
解说:动态key管理机制
在通讯期间:
如果侦测到MIC错误,将会执行如下程序。
记录并登录MIC错误,60 秒�确⑸�两次MIC错误。
反制措施会立即停止所有的TKIP通讯。
然后更新数据加密的用的TEK。
3.5.4 WPA 安全机制作用
a. 加密通信流程图、Per-Packet Key 加密机制、动态key 管理机制使得使用类似
于WEP中分析子密码攻击的方案,在WPA 中将变得异常困难,和不可实现。
b. 身份验证机制杜绝了-1 fakeauth count attack mode,建立伪连的攻击。
c. 增强至48bit 的IV、防止IV 重复、MIC 信息编码完整性机制。使得要伪造一
个合法数据包变得异常的困难。同时也致使-2 Interactive,-4 Chopchop,5
Fragment 此类攻击对于WPA 无效。
解说:
a. 虽然TKIP使用的是和WEP一样的加密算法RC4,但是TKIP中使用Per-Packet
Key加密机制配合RC4。这样弥补了RC4 加密算法的不足。抵抗基于RC4 漏
洞的攻击。WPA2 中的AES比TKIP有更高的安全性,对他的破解难度就更高
了。
b. 使用非线性的MIC信息编码完整性算法,取代线性的CRC-32。增加了攻击者
伪造合法数据的难度。
有以上结论我们不难得出一个事实。类似于WEP中的无客户端破解密码的做
法在WPA 中是不存在的。
3.6 针对 WPA的破解攻击
3.6.1 抓取数据传输包进行破解
上面已经明确的指出无论数据传输算法是TKIP还是AES。使用类似于WEP中捕
获数据包进行分析破解的方式对于WPA几乎是不可能的。
3.6.2 抓取WPA-PSK 的四次握手包进行破解
可以说 WPA-PSK 安全体系是十分完善的。但他始终是用一个密码保护的。对于
这种用密码保护的安全体系。一般情况下我们都可以用一种叫字典攻击的常规攻击手
段。所以针对WPA-PSK 可以进行的直接攻击,目前就只有字典攻击这一种方式。而这
种常规的攻击方式将在字典攻击里详细讨论。当然我们WPA-PSK 的设计者也很明确这
点,所以在WPA-PSK 的安全体系中加入了潜规则加以对抗。这点将在攻击预算里做详
细的讨论。在WPA-PSK 的四次握手包中包含着和密码有联系的信息,依靠这个信息进
行字典攻击。
3.6.3 断线攻击
由于 WPA-PSK 是单向认证的。所以可以使用-0 Deautenticate攻击。这样有助于
我们获取握手包。在获得握手包时-0 攻击不要太多,否则适得其反的。有些AP几次握
手不成就会认为有攻击。禁止客户端和AP的链接30秒。(可能基于WPA EAP TLS 这
样双向认证的就不怕断线攻击了)
3.6.4 间接攻击
例子:别人输密码你在哪里偷看。使用美人计骗取密码。有技术含量点的。原来
WEP时他的计算机有漏洞你给他下了木马。改成WPA 后木马把密码发给你的。或你整
天窃听他的WEP通信,他改密WPA 模式时发给路由的密码让你截获了。比较狠一点的,
AP是你卖给他的AP的系统里添加了你的后门。
3.7 WPA安全性的前景
WEP 由原来的安全到今天的不安全。你是否同样也会担心是不是很多年之后的WPA
也会是同样的命运。但我们也要看到WEP 的破解不是某个算法的漏洞导致的。而是整个
WEP的安全体系有很多漏洞所共同导致的。而WPA的安全体系很强壮。使用的大多是混合
算法。所以某一个算法的弱点往往不能给WPA 这样的安全体系以致命的打击。WPA 这种依
靠算法的安全体系也许某一天会被破解。但是可能WPA 被完全破解的那一天比WPA 废弃
的那一天都晚。如果这样的话,那么的确该说WPA 是一种很强壮的安全体系。
3.8 WPA 的窃听
WP-PSK 没有密码几乎没法窃听他的通信。在有了密码的情况下WPA 的窃听也不具
有WEP 中窃听的随意性。在WPA 中SNonce,ANonce 也很好的起到了加密数据防止窃听
的作用,所以作为攻击者我们必须从握手开始窃听。而且会同步更替数据加密密钥。所以
WPA-PSK 的安全性都依赖于密码。
3.9 WPA评价
无论是WPA还是WPA2 在目前都是有很好的安全性的。企业级EAP的安全模式更为
WPA的安全性如虎添翼。我很欣赏WPA = PSK + TKIP + MIC这个模式。因为原来WEP的
设备只需要更换代码就能升级到这个模式了。所以这个模式使用较低的成本就可以实现很高
的安全性,还有便捷性。成本当然也是一个东西是否能普及重要因素。而WPA2 AES+CCMP
的更高的安全性对硬件的要求也是要高一点的。
4 字典攻击
4.1 寻找可以攻击的信息元素
字典攻击作为一种常用的攻击手段要明白的是从那里开始攻击。要寻找和密码有有联系
的信息元素。在WPA 中和密码有联系的信息有数据的传送包和四次握手包。由于无法知道
明文,和WPA的数据加密算法的复杂性。在数据传输包上要找到可以攻击的信息元素基本
上很难实现。所以只能在握手包里寻找有密码有联系的信息。在上面的四次握手包的图片中
很清楚的表明,在四川握手中主要传递的有如下数据:SSID,AP_MAC,STATION_MAC,
SNonce,ANonce,802.1x data,MIC。前面6 个元素很清楚,一般不会和密码有联系的。
只有最后一个MIC和密码有所联系。通过MIC的派生图我们知道,MIC是通过上面六个信
息元素和密码通过三个主要的算法派生出来的。那么我们是不是只要找到这三个算法的逆反
算法就可以根据上面的7 个信息元素把密码计算出来了呢。的确实这样。但是这三个算法有
一个共同的名字叫HASH 函数。
4.1.1 HASH 函数
HASH 函数是不可能从生产的散列值来唯一的确定输入值。
a. 单向性(one-way)。HASH 函数是没有反函数的。
b. 抗冲突性(collision-resistant)。要寻找两个hash值相同的原值十分困难。
c. 映射分布均匀性和差分分布均匀性。不像普通函数那样数值分布有一定规
律。
由于上面的pdkdf2_SHA1,SHA1_PRF,HMAC_MD5是HASH 函数。所以我们就基
本上无法直接计算出密码。对于HASH 函数比较有效的攻击就是建立HASH 字典攻击。
HASH 字典就是把预先算好的HASH 值按照线性排列然后组成一个数据库。当我们知道
一个HASH 值时在这个数据库里能马上找到他的原值。当然这个过程是通过数据库实现
的而不是HASH 的逆反函数。所以有些HASH 值在这样的数据库里是找不到原值的。
由于HASH 库是线性的所以。所以在HASH 库里找数据是十分迅速的。下面的链接让
你体验一下HASH 线性库的速度http://www.cmd5.com/。还有一点有的人也知道的国内
的王小云教授对于部分HASH 算法有突出贡献的。她的主要贡献是寻找碰撞值。暴力破
解的话就是大概需要2^80 量级的MD5 HASH 运算。被王教授提高到只需要2^69 量级
的MD5 HASH 运算就能够找到一个碰撞。我们有这样两个对付HASH 函数的方法。那
么对我们破解我怕密码是不是如虎添翼了呢?
4.1.2 HMAC (HASH Message Authentication Code)哈希消息校验算法
这里我承认我刚才有骗过你。pdkdf2_SHA1,SHA1_PRF,HMAC_MD5 不是HASH
函数。当然我骗你我也有我的理由啦。第一我以前被别人骗过,某论坛上说建立HASH
库然后进行WPA破解的。能建立HASH 库那三个函数不是HASH 函数那是什么啊。第
二我不是故意的。了解HASH 函数,有助于你理解HMAC 算法。所以
pdkdf2_SHA1,SHA1_PRF,HMAC_MD5是HMAC算法。不是HASH 函数。HMAC算法
就是用一个密码,和一个消息。最后生成一个HASH值。由上面的介绍,我们可以看出,
HMAC算法更象是一种加密算法,它引入了密钥,其安全性已经不完全依赖于所使用的
HASH 算法。所以上面对HASH 的攻击,对于HMAC 是没有效果的。HMAC 特别是
象“挑战/响应”身份认证应用中,由于攻击者无法事先获得HMAC 的计算结果,对系
统的攻击只能使用穷举或“生日攻击”的方法,但计算量巨大,基本不可行。所以,在
目前的计算能力下,可以认为HMAC算法在“挑战/响应”身份认证应用中是安全的。
4.1.3 四次握手包
有上面的HMAC 的特性我们也不难得出SSID,AP_MAC,STATION_MAC,
SNonce,ANonce,802.1x data,这些信息元素都是上面的HMAC算法里的消息。HMAC
算法里的密码在pdkdf2_SHA1 算法里是WPA 的密码,在SHA1_PRF 算法里是PMK,
在HMAC_MD5算法里是PTK。最后才得出MIC值。由于这些消息和这个MIC值都有
关联性。所以四次握手吧的后面三次是缺一不可的。而且是有时效性的。不能把不是同
一次的握手包拼起来使用的。当然第一次握手包的SSID 和AP-MAC是可以后获取的。
这里你也明白了四次握手中根本是不是在传递一个简单的HASH 值。而是要传递一个
HMAC 值。如果是传递一个简单的HASH 值,那么我们只要获取后重播这个值就可以
欺骗AP 获得认证了。都不要知道这个HASH 值对应的原值。但我的这么好的想法被
HMAC给打破了。
4.1.4 面向于四次握手包的字典攻击。
字典攻击,就是把密码的可能性罗列起来组成一个密码字典。然后把字典里的密
码和SSID,AP_MAC,STATION_MAC,SNonce,ANonce,802.1x data,这些信息元
素。通过pdkdf2_SHA1,SHA1_PRF,HMAC_MD5 这些算法最后生成MIC’(具体过程看
上面MIC派生图)。当在字典里找到一个密码他的MIC’等于握手包中的MIC。这时字
典破解成功。这就是我们要的那个密码。如果把字典里的所有密码都找遍了还有没有符
合上述条件的。那么破解失败。
4.2 WPA-PSK 密码规范和可能的密码空间
4.2.1 HEX 模式
64 个的十六进制数字。
4.2.2 ASCII模式
密码至少8位最大不能超过63位。字符要求a~z,A~Z,任意字符包括空格。所
以一共可是使用的字符个数为95 个。
这两种模式的密码的穷举字典(罗列所有的可能性)是超乎想象的大(不包括那
想象特别大的人)。我们就拿HEX 模式的穷举打个比方吧。如果用一个水分子比作是一
个密码的话。那么穷举字典里的密码组成一个圆球。这个球的直径是2.4光年。而ASCII
模式密码空间,你别逗了!我们可能观察到的最广阔宇宙空间的直径只可能在150亿光
年这样的范围之内。这样水球都还需要在那个基础上在大上百万倍。密码空间有时会形
成超天文数字的。当然我们不需要尝试像上面一样如此多的数值。因为MIC值只有128
位,我们只需要上面的球和月亮这么大的尝试就能找到一个符合的MIC。但是这个找到
的值可能可以成功握手。但不一定能正常通讯。这样的值可能就是一个MIC的碰撞值。
他的MIC 是相同的但是PMK 是不同的。所以需要尝试所有PMK 的可能性,而256 位
PMK 的穷举组成的水球直径还是2.4 光年。根据WPA的密码规范,使用字典攻击法,
如此大的密码空间足以让人类计算机的总和望而却步。
4.3 弱密码字典
WPA-PSK的密码空间用浩瀚来形容一点不为过,所以直接进行字典攻击是傻子的行为。
但是作为一个密码对字典攻击来说有强密码和弱密码的区别。强密码就是破解希望极其渺茫
的密码。弱密码是很有希望破解的密码。当然强弱也是个相对概念,他也是依赖于加安全制
的。银行的密码一般都为6 位。像这样密码空间如此小的密码。普通情况下都为弱密码。但
是银行的ATM 一天只让你试三次。三次密码不对锁卡。有这样的机制。6 位的就不再是弱
密码了。由弱密码组成的字典叫弱密码字典。当然一般的弱密码有以下几种。
4.3.1 密码空间太小的密码
什么叫密码空间。密码可能字符个数为n 密码的位数为p 那么n 的p 次幂就是密
码空间,例如一个6 位数子的的密码他的密码空间6M=10^6。密码空间的大小也是个相
对概念,这个和安全体制有关系的。还有就是尝试密码的速度。在WPA-PSK 的破解中。
我们可以无限次的尝试。尝试密码的速度也和设备有关系。WPA-PSK 分布式破解无疑
是用速度来换取同等时间里更大的密码尝试空间。在下面的攻击预算里会对这一部分内
容做详细的补充。
4.3.2 社会工程学的弱密码
就是密码中带有一定的社会工程学属性。也就是说密码中带有和个人有关系的信
息。这里列出一个mm做的社会工程学字典方便理解。
19602008.txt 1960-2008 年的生日组合
mydic.txt 自己弄的常用字典
abc-birth.txt 任意三字母+所有的生日组合;
shouji10.txt 10位的手机号
shouji11.txt 11 位的手机号
shouji.txt 上海的手机号
8-af16.txt 8位的abcdef和123456 的任意组合
8-qrafzv.txt qwerasdfz
当然你可以看到社会工程学字典中穷举法的影子。WPA-PSK 破解中一般情况下我
们没有办法知道设置密码的人的具体信息。所以WPA-PSK 破解就没法生成针对性很强
的社会工程学字典。
4.3.3 有一定联系性规律性弱密码
例子:有人曾破如此一个WPA-PSK 密码IX1V7051242。如果你不了解这个密码的
背景你肯能会觉得很神奇,这么强的密码也能破。这样的密码是在西班牙的tele2 这样
的AP 上有,而且这样AP_ESSID 里都有tele2 字段。这样的密码后面的8 位是相同的有
真正的密码只有四位。四位密码其密码空间很小很容易被字典攻击出来。这个也是AP
的默认密码。所以这个密码被破解是因为AP本身产生的随机密码就是个弱密码。是AP
的厂家自己降低了安全性的做法。
4.3.4 暴露过的强密码
密码这个名字就告诉我们他是不能见光的。见光即死。见光的方式很多被***了,
被窃听了等。这里讲个典型点的例子:有些人具备一定的安全知识的。知道要设置一个
密码空间很大的强密码如acdess!@#$%,这个密码破之实在不易。但是这个AP 的密码
还是被破解了。原因何在。因为这个人比较懒,他在任何地方都是使用的这个强密码。
由此他注册了一个论坛。习惯性的输入自己的强密码。但是那个不怀好意的论坛的后台
有个密码收集工具。他的密码被收录进字典。用这样的字典破他的WPA-PSK 不是很容
易吗。你是不是这样的人啊?至少我碰到一个就是他的blog密码和银行卡是一个密码。
《剑鱼行动》中那个黑客是如何在一分钟进入国家安全信息网的啊。就是网络上工作着
为他收集密码的程序。而他就是通过这样的字典迅速破解的。而这样的字典真正的黑客
也是不愿意发布出来的。原因还是那句话密码见光即死。
4.4 强密码
看名字你就应该知道破解强密码的希望是十分渺茫的。怎么样的密码算一个强密码,第
一肯定不能有上面弱密码的属性。第二是需要足够的密码空间。关于WPA-PSK 中什么
形式的密码可以被称之为强密码了,在下面的攻击预算里会指出来的。
ref:
http://itbbs.pconline.com.cn/network/11090686_1.html