1.2.1 攻击WEP加密无线网络（1）

1.2.1 攻击WEP加密无线网络（1）

http://book.51cto.com  2010-11-30 14:49  杨哲  电子工业出版社   我要评论( 0)

• 摘要：《无线网络安全攻防实战进阶》第1章讲述的是无线黑客的多项选择。本节为大家介绍攻击WEP加密无线网络。
• 标签：无线网络  网络安全  无线网络安全攻防实战进阶
• 限时报名参加“甲骨文全球大会・2010・北京”及“JavaOne和甲骨文开发者大会2010”

1.2  主流无线攻击技术回顾

回顾2006年到2009年间的无线安全及攻击技术，经历了最早的研究、尝试、工具生成、私下传播到网站论坛的公开讨论等数个步骤，其中绝大多数内容都已经被国内外大量的无线黑客们所掌握。那么，本书作为《无线网络安全攻防实战》一书的延续，并不会用过多的篇幅讲述这些早已在2007年及2008年《无线网络安全攻防实战》一书中详细阐述的内容，但为了后面章节的理解，本节中将先对这些主流的无线攻击技术进行简单的回顾。

1.2.1  攻击WEP加密无线网络（1）

由于无线WEP加密本身多个算法的脆弱性，使得该类型加密早已失去了其原本安全设计的意义。早在2007年，笔者就已经将详细的破解操作文章发表并被国内大量的网站、论坛及刊物引用。但遗憾的是，即使这样，直到目前，国内仍然有50%以上的无线用户在使用WEP加密。下面简要回顾一下目前针对有客户端环境和无客户端环境下破解WEP的几类方法，并将重点的步骤进行说明。在开始之前先回顾一下有客户端和无客户端环境的区别。

一般当前无线网络中存在活动的无线客户端，即有用户通过无线连接到无线AP上并正在进行上网等操作时，这样的环境称之为有客户端环境。而所谓无客户端环境指这样三种情况：一是当前无线网络中存在已连接的无线客户端，但该无线客户端没有进行上网等网络操作，处于几乎没有无线流量的状态；二是当前无线网络中没有任何无线客户端，但当前有用户通过有线方式连接至该无线路由器，并通过该无线路由器进行上网等操作；三是当前无线路由器上没有任何用户连接，无论有线无线。其中第三种情况在仅通过无线网络的情况下是几乎不可能进行破解的。

1．注入攻击（有客户端环境）

由于WEP破解基于有效数据报文的积累，也就是常提到的IVS。当收集到足够数量的IVS数据报文后，Aircrack-ng就能够进行破解。虽然说依靠单纯的等待也能够抓取足够数量的报文，但如何提高数据包的捕获速度也是无线黑客们考虑的重点。作为目前最为广泛使用的无线WEP攻击中，主要采用的就是通过回注数据报文来刺激AP做出响应，从而来达到增大无线数据流量的目的。

就以最为广泛使用的Aircrack-ng工具为例，下面将破解WEP的标准步骤列举，然后将其中最关键的步骤予以详细说明。如表1-2所示wlan0为无线网卡名称，mon0为处于激活状态下的无线网卡名称。

表1-2  破解WEP的标准步骤

步 骤	涉及命令	解     释
步骤 1	ifconfig  wlan0  up	激活无线网卡
步骤 2	airmon-ng  wlan0  up	将无线网卡 设置为 Monitor 模式

续表

步     骤	涉及命令	解     释
步骤 3	airodump-ng  -w 文件名   -c  频道   mon0	开始捕获无线数据包， 也可使用 --ivs 参数 来设定只捕获 ivs 数据
步骤 4	aireplay-ng  -3  -b  AP 的 mac   -h  客户端的 mac  mon0	进行 ArpRequest 注 入攻击以加快有效 数据包的生成
步骤 5	aircrack-ng  捕获的 cap 或者 ivs 文件	破解 WEP 加密

其中，较为关键的几个步骤如下：

步骤3：探测无线网络，抓取无线数据包。

在激活无线网卡后，就可以开启无线数据包抓包工具，这里使用Aircrack-ng套装里的airmon-ng工具来实现，不过在正式抓包之前，一般都是先进行预探测，来获取当前无线网络概况，包括AP的SSID、MAC地址、工作频道、无线客户端MAC及数量等。只需打开一个Shell，输入具体命令如下：

airodump-ng  mon0

在看到预攻击的目标，比如这里为SSID名为TP-LINK的无线路由器，接下来输入命令如下：

airodump-ng  --ivs  -w longas  -c  6  wlan0

参数解释：

--ivs 这里的设置是通过设置过滤，不再将所有无线数据保存，而只是保存可用于破解的IVS数据报文，这样可以有效地缩减保存的数据包大小，若不使用该参数则自动保存为.cap文件；

-c 这里设置目标AP的工作频道，一般通过预探测获知目标无线路由器工作频道，这里就是6；

-w 后跟要保存的文件名，这里w就是"write"，是"写"的意思，这里就写为longas。需要注意的是：这里虽然设置保存的文件名是longas，但是生成的文件却不是longase.ivs，而是longas-01.ivs。这是因为airodump-ng这款工具为了方便后面破解时调用，所以对保存文件按顺序编了号。以此类推，在进行第二次攻击时，若使用同样文件名longas保存的话，就会生成名为longas-02.ivs的文件。

按下Enter键后，就可以看到如图1-14所示的界面，airodump-ng开始抓取无线数据包。

图1-14

【责任编辑： 云霞 TEL：（010）68476606】

0人

了这篇文章

类别：未分类┆阅读( 0)┆评论( 0) ┆ 返回博主首页┆ 返回博客首页

上一篇 分享十条nmap实用命令行技巧 下一篇 Kismet：一款超强的无线嗅探器(1)