WiFi无线信息安全分析与攻击手段测试-淮安刘瑞

1、WiFi无线信息安全分析与攻击手段测试淮安电信无线维护中心刘瑞2012年9月2日【摘要】由于无线网络在移动设备和传输介质方面的特殊性，使得 无线网络相对于有线网络而临的安全威胁更加严重，一些攻击手段更 容易实施。“十八大”通信保障之际，本文围绕WiFi无线安全威胁、 常见攻击手段、安全性测试等方面展开，结合日常维护需求和实践数 据，基于破解WEP、破解WPA2演示，验证无线信息安全威胁及其实 施原理，对于打造“金盾”网络，提升网络安全具有一定参考价值。【关键字】无线安全威胁、攻击手段、WEP、WPA2、PIN码破解一、无线安全威胁概述与有线网络相比，无线网络面临的安全威胁更加严重，所有常规 有

2、线网络中存在的安全威胁和隐患通常都存在与无线网络中，同时无 线网络传输的信息更容易被窃取、篡改和插入；无线网络容易受到拒 绝服务攻击和干扰等。从信息安全威胁角度来说，安全威胁是指某人、物、事件对一资 源的保密性、完整性、可用性或合法使用性所造成的危险。安全威胁 可以分为故意的和偶然的，故意的威胁又可以进一步分为主动的和 bei动的。被动威胁包括只对信息进行监听，而不对其进行修改；主 动威胁包括对信息进行故意的篡改（包含插入、删减、添加）、伪造虚假信息等。结合省公司2012年“龙腾3G”和“金盾行动”关于网络安全工作要求，进行系统梳理，目前无线安全威胁现状主要有：（一）攻击者基于MDK3等工具破

3、解WEP、WPA2,获取AP密钥或窃取用户账号，如下图所示的目前网络上ChinaNet免费帐号买卖等。W：1|OSW3JB3|36163IR:2105648)36013693360朕：3|O5U斑渕 |36K$ $810564368)54413693W SM：5|0SMff664|36K4 ?10564366136813681X8W：710564196136321% 迪料：81畑畑521368救 5 料:9| 畑%82S45|3682洱 強W：10|C6$4X828?2|368?2|8JR:11 j 056*8X831368X6:安厦M: 121C664X8320813683206ISSIH：

4、13105M36834821368斑 i W*W：141 C6WX6j6181 浹血8 I:15|C4M83733|3683733|R16907522628123456 云覧 欣75228308123456 云甬 10567522632a 12M56 云甬冷522635 3125456 菇 139875228375123456 云甫 18$3?522513123456 xS 1&7S222 al% ie98?52311U12W56 云甬 lWB?S235773156r 195675236?83123456 zS 瀏序23妙 al234 zSi众郭離单人单号购买处官方单-猶定脑Chinane谭人

5、号，-周6元/-月20,義的戕可以点击下方“削A付即輔点击下方QQ薛后眠！*灶-切从售后勰！ Hi为了方郎后,请軸rl砒耕页！i6HA6f?3（二）设备和服务器不必要的服务和端口开放。杜庶盒涣!试阳迅 谗世曰餐爱曰酩 心聂手工测丸 发现品富服夯器开放了如下靖匚1,Fort Fr-otoc ol WS t at -Servi c eVersi on135tepiltC5-eamsvpc130tPfiltered443tcpopen.liX tpWbLoci ch t tpd445tcpi11 ax cdnii cxroscit- dsG93lcFPi 11 -1-t -ipr-pcs a pvn

6、 ap7 07Hi 1 才!2003OOXZooi：Ti ool oZ-WobZL OS x aiXl eta Https :2 02 . 1C=. 1 . 12 internet i on air oztm ro aiiadeFaxilt. j sGtxMa5OcfcTfc-t：je ： X XO2. X3. X22： X=*-t oard. : 102：LD 123/Xxi-tear*x- FIKTOMcl W_Lb A*3*ba-t:ar ： X 102. X3.丄UNxr rum* d uarxl=xr om/= d. WIN C 尸夕卜主XocUru J or* -（四）设备存在弱口

7、令、默认口令，以及登录绕过等安全问题。 连接的过程中，攻击者通过拦截、插入、伪造、中断数据包等方式， 达到获取对方登陆账户及密码，伪造身份等目的。对于一般的环境， 可以单纯的使用ARPSpoof工具，同样也可以使用渗透测试攻防平台 BT4下功能强大的Ettercap来实现。攻击步骤：口 *境MJNAVtOAMF.AMrenn.事,6“CPUgvdi. waW/0VMY V1DMO MAIU0*WB皿嫌跖：28MJ（五）设备登录采用明文传输方式4C0 12.530140114.222.2XJ.2555. Zl 3.203.44HTTP40 12.SS6672S121.1

8、4.11.1$HTTP477 12.58575454lid.222.243.25HTTP412 12.593OMW 12.699JJ55LW Z22.243.25畑 1ft7.Q?.Un5S. 213.203.445S. 213.203.44117 RO. 7? IllHTTPHTTPHTTP720 FC6T Aeb Hcgin HTTP/l. 1 (applicaticr. x-imw-forr-irlencoded)217 T sp attCcD-ddOa6bB3c5dabcnoC Ml HTTP 1.1 200 o.plain)W GET

9、Kn/4O?2?F8613$FD2M2$072E8$81xsiyfd1recx.x$l Hnp/l.leflO POST /ucn/frare HTTP/1.1 (appl icat iai x-ww-fort-tri encoded) dUfi MTTP1.1 :nn m ZawBrsfinn v.iavwriHft Etherret :. Src: :ntel3r_flb:tf:c2 (00:le:M:6b:bf:c2). (bt: Hi-a*.eiTe_84：e；:ff (00:15:82:W：e7：Ff) t :rterrat Protzel vwsiwi 4. Src: 1U.222

10、.243.25 (1U.222.24 3.25), Dt: S8.213.2O3.U (SE.213.203.44) Transnlsslcn wcrol proxocol sre port: etc (2&D, Wt pcti: hxxp :W,鬥：1. Mk: 1 ten： 666Transfer procxal-line-based text data: application x-ftw-fora-urlencodeduscr.rH-r&rAra/natcr-lcsLano-cMrflSfiassuerd-neeOlllaodc-nftjAlang-llid? 64 丄 15 $4 2

11、0 3 “ 52 20 12 M ?0 2e 35 ； .nET c LR 2.0.5 U 37 3b 20 49 G 66 6f 50 1 74 68 2 H 0*27； :n foPath.l h 48 6f 73 20 J5 H 2e ；2 ?1 打 2e 05【：56.213. n 2 34 34 g Oa 43 6f 6& “ 65 6a 74 2d 23. Conrcrt- k G7 7d &8 A 20 38 Od Od 4J 6f & 6e L糾th: 80. .conn M 0 6f 6a 32 M 4b 65 65 70 2d XI 6c 60 actior:力 oa 43

12、 61 3 85 65 2d 灯 f 6 ?4 72 6f ve, .each e-5 3a 20 6C 61 6fc 6? 34 31 3b 20 65 6t 63 Me： lin g; enc2 “ 57 3d 67 62 32 33 31 32 M Oa CW Oa odirg-50 2312.I2WI2w12b?128 21 3 Jd 456f 72 Id 40 45 26 73 79 73 4 6； 69 6t 65 ?3 65 26 ?0 61 73 73 7? 6f 63 0 32 M 31 31 76 6C 6465 & 6e 73 24 6c C 仇 67 习 31二、常见攻

13、击手段解析无线攻击又名无线欺骗攻击，不但包含了常说的无线中间人攻击，还包括了无线跳板、无线钓鱼、伪造AP等多种方式。常见攻击手段解析如下：（一）中间人攻击（MITM）：就是目标主机与另一主机进行正常1、无线客户端通过无线AP上网2、攻击者向无线客户端发送欺骗报文3、攻击者向无线AP发送欺骗报文4、正常的访问被重定向，无线客户端将访问攻击者所引导的域 名或服务器。（二）基于硬件伪造无线接入点：基于硬件的伪造AP攻击是最 容易实现的，攻击者完全可以在探测出目标AP的诸如SSID、工作频 道、MAC等相关信息，并在破解了无线连接加密密码之后，在准备一 台功能较为完善的AP,直接修改成与其配置一致，就

14、可以实现伪造 AP攻击的目的。（网络可以下载常见扫描工具）EOD5CED2707A050B339BED4001570AF1305O3EQB42DC4D 0014DEFOD13? 650B33SBED4 D550B339DOOr 005093290007 00609 929D 009F0D111F259E6 5C0E 8B5EBDC0 74EaA4DmC DAEg00033EQ3CE5A63FF8C0 B44VA0B366F MH8FA 馅 3CChihaNei-hJFAChinaNeitAjQ CM CDChinaNel TP-LINK_B70QA4 ChinaNe!CMCCCMCCAUTO

15、CMCC-AUTO CMCC CMCCDLnk8f8E8E88 PP*D fenghuan 口 TP-LINK_ ChinaMet-APCrl i7Vy3A ChinoNl-F8B0 Chinar4e!-yx3A Naviqatcc254 Mbps(Fake)WEPG54 Mbps(Fake)WEP1154 Mbps(Fake)WEP1154 MbpN匚 om554 Mbps(FaF：e)G54 Mbps(Fake)WEP1154 Mbps(Fake)154 Mbps(Fake)1154 Mbp(Uor-d.WEP554 Mbps(User-d.WEPG54 MbpsZ Com154 Mbps

16、N Com1154 Mbps(Fake)WEP1154 Mbp(Foko)WEP1254 Mbps(FaF：e)WEP954 Mbps(Fake)WEP1154 Mbps(Fake)WEP854 Mbps(lleer-d.WEP854 Mbp(Fake)WEP554 Mbps(FaF：e)WEPG54 MbpsfFakel（三）基于软件无线跳板攻击：提到跳板，很多人会想到黑客使用的肉鸡、代理、跳板专用的工具。基于软件的无线跳板攻击是指在有线网络的基础上，加入了无线网络的环节，通过配合使用有线网络内的主机、笔记本作为传输节点，一一连接起来进行无线信号到有线 网络的传输。如：从外部连接内部笔记木无

17、线网卡，再配合端口重定 向工具进行的基于软件的无线跳板攻击。连接无线网卡用到的工具是 airserv-ng,重定向工具是Fpipe。ICMP协议隧道方式常用丄具是： Loki； HTTP协议隧道方式常用工具是HTTP Tunnelo（四）拒绝服务攻击（验证洪水攻击）：攻击者向AP发送大量伪 造的身份验证请求帧，当收到大量伪造请求的身份验证请求超过所能承受的能力时，AP将断开其他无线服务连接。人 2 x rootbt: File Edit View Terminal Help:mdk3 monO a a 8C: 21:0A：3A:DE:86AP 8C:21:OA：3A：DE:86 is resp

18、onding!AP: 8C:21:0A!3A:DE:86AP: 8C:21:0A:3A:DE:86AP: 8C:21:0A:3A:DE:8&AP: 8C:21:0A:3A:DE:86Client:67:C6:69:73:51:FFtoClient:ED:DE:13:EF:E5:20toClie nt:E9:9F:21:BC:52:13toClient:A2:CC:31:A2:9F:9Btotarget target target targetAP 8C:21:0A:3A:DE:86 seems to be INVULNERABLE!Device is still responding with

19、 500 clients connected!connecting client： 54：E8：01：9E：28：8C to target ap： 8C：21：0A：3A：de：8& connecting client： 0E：bo：84：E9：E9：ob to target ap： 8C：21：0A：3A：de：8& connecting client： 14：3C：86：ec：bb：7D to target ap： 8C：21：0A：3A：de：8& AP 8C:21:0A:3A:DE:86 seems to be INVULNERABLE!Device is still respondi

20、ng with Connecting Client： 7B:32:F0:7E:85:32 to target AB； S： 一 器邀1000 clients connected!8C:21:0A:3A:DE:Connecting Clierjt： 8B：58：6：C4;0A：FE toQannectng Client： 05：90;9B：A4：C5:1CtoAP 8C ： 21: A ： 3A ： DE ： 86 seems jto be -INVULNERABLE!.Device is still responding with 1500 clients connected!Connecti

21、ng Client: 67:Cl:FA:03:El:98 to target AP: 8C:21:0A:3A:DE:8& Connecting Client: E8:98:68:47:BB:29 to target AP: 8C:21:0A:3A:DE:86 Packets sent:1684 - Speed:164 packets/secCtarget targetConnecting Connecting Connecting Connecting继而通过广播插入伪造的取消身份验证报文，客户端认为该报文来自AP,最终利用大量模仿的和伪造的无线客户端关联来填充AP的客户端关联表，从而达到淹没

22、AP的目的。（五）RF干扰：由于当前使用的g/n、蓝牙等都工作在频段，所 以对干扰将破坏正常的无线通信，导致数据传输丢失、网络中断、信 号不稳定等情况出现。(六) 破解接入口令：攻击者尝试破解无线加入口令。达到接入 无线网络，控制无线接入点，渗透内网的目的。为此，根据省公司要求，前期开展了 SNMP弱口令专项整治行动。三、安全性破解测试为更好地演示WiFi安全性破解过程，木次测试选取经典的WEP 破解进行详解。首先构建破解环境平台：在笔记木电脑上安装 BT5R3-GN0ME-VM-32,可以选择虚拟机(需要外置网卡)、U盘插入方 案(可利用笔记木网卡)。辻config -a查看所有网卡辻con

23、fig wlanO up激活无线网卡文件(FWH(E)査 (V)罐端 CD 怙列(Gmet 地址: 掩码：255000met6 土也址：:1 7 128 Scope HostUP LOOFBACK RUNNING MTU： 1 6436 蹑点数挨妆数拥包：298佑ye ： o去弃：o 过伐：o m数 o发迖：298铛决：0丢弃：0过莪：D双说：0W J4 0准送队刊长度 0按欣字节 22E2O (22.8 KB) 发迖字予 2282D (22.8 KB)wlanOLink wncap:以太网 秋件上也址 74 de: 2b . 68 St . 7cUP BROADCAST M

24、ULTICAST WTU : 1 500 跃点数：1 抿收数拥包0耕课：0丢弃：0 Mt tt 0加数。发迖致烷包：0 W5決：0丢弃：0过戎：0戎波2 梅扌吏 0准送队列长度：1 000按收字节：0 发迖字节：D wlan 1Link encap 以太网 砂件 地址 OD 18UP BROADCAST MULTICAST STU：1500接收毀擦包 0堵碾：0丟弃 0过伐 0加数 0 发迖致烷笆：0伯洪：0丢弃：0过RtA :0 WJ4 0 程送队列长度：1 000按收字节：0 (0.0 B) 发送字节：0 t hom !RIDNome4G9avah x-daemon3 7 1ovah x-

25、doemoo389N? twor kMBnoce r558wpa_supplleantI ntor rcoCh xps ot:vl acOUlrtXcowrivl ac 1RTLB187Or Xvarr t181Q2cq-phyO 3rtl8187 -CpK/1(monitor modo onablod on monO)airodump-ng monO查看无线网络信息g戈:件 root CMCHI I ElapsedXDy16s3oeG3D1 AC00C0C40MC teaosolsonuA22FCEEAnp E3E6F; ;F 6 FC5CDCA COOSBOEFCO-MS；AWVHMI C

26、 2012-07-12 07 47pwrO c a c onm/*MULNCUX 尸 IIU R AUTI ICSIDceacooEEOU 08E6ceF9MIs fcFASS-AEOTVDB2F9C4-0A22S68OZ2322Z4666777777U71G70592BG31721222 110020004000CllSAO . S-4O . S-l S“ . S.54 54 54 S-4 .v/t !WPA2 V/PA2WPA2WPA2WPA2WPA2 WPA2WEP WPA2V/rp p p p p p p p r rMMMMMMMPMM ECCCCCCCECC WGCCCCCCWCCP

27、SK PSK PSK PSK PSKPSK PSKPSKP5Kwoe 3O-BOS 1ACk-Xlu TP-UTNK TA_UINK_F e 2HAOXI-HO FAST_3E4A ZZX GOUGOUUh rau4rt -1 u? t a t I QNr k* t & not auuocxatod、 ot: qssoc xo t CA OO ： C-l 2 95 BC0:00 7 0 0ABO-F12CB18 8 01607xSFCGGe5C7CT:030517 3ooos0009airodump-ng- ivs (数据包)一 -w cimer -c 6 monO 抓包Qrv k atPr

28、ob vI11S 1 DSTATI ONl*d c Hanna 1 aionO :xre*文件*i 桃號GTIWHFKH)0100000000000 66:6G;36;33 13 0 7 0 106025916000000 0 e3r-F: B22331226 24007777 7 7 6EC6MC0LU4C4E4 EB86 C6S99?OF OS cA 8E79C1 AF 0C98NFFC 02A3KCAD74At2 3E3:9:W A4AftrcDA55ACF OCOMKOCO A 4 C ; 191s ao3133106 29220e22882E1 cAco coocasco BE8O boon 33B54S2-457345287 3Oe 2Q7S4 WEPWEPWPA2CCMPS4 WPA2CCMP43WPAZCCMK540WPA2CCMP54WEPWEPSou:TPLINK_4AC1 2rsKrAZT 3E-AOEPSKjack-11U8C 21 OA 30:6