無線網(wǎng)絡(luò)安全實(shí)驗(yàn).doc

實(shí) 驗(yàn) 報(bào) 告課程名稱 信息系統(tǒng)安全技術(shù)及應(yīng)用 實(shí)驗(yàn)項(xiàng)目 無線網(wǎng)絡(luò)安全性研究與實(shí)踐實(shí)驗(yàn)儀器 PC機(jī)、因特網(wǎng) 系 別 信息管理學(xué)院 專 業(yè) 信息安全 班 級_ 組長姓名 _ 組員姓名_ _ _ _ _實(shí)驗(yàn)日期 2013- 成 績 _指導(dǎo)教師 劉曉梅 北京信息科技大學(xué)信息管理學(xué)院（課程上機(jī)）實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱無線網(wǎng)絡(luò)安全性研究與實(shí)踐實(shí)驗(yàn)地點(diǎn)信息安全實(shí)驗(yàn)室實(shí)驗(yàn)時間2013-10-91. 實(shí)驗(yàn)原理：數(shù)據(jù)通過空中電波進(jìn)行傳輸時，利用從網(wǎng)上下載的一個程序，很容易就能捕捉到這些數(shù)據(jù)。這類監(jiān)視是事先考慮的，所以802.11標(biāo)準(zhǔn)增加了WEP安全。使用WEP，所有數(shù)據(jù)都被打亂成無法識別的形式。雖然WEP無法阻止惡意的程序攔截，但它確實(shí)能阻止普通人員輕松地讀取捕捉到的數(shù)據(jù)。Wep使用RC4算法來加密數(shù)據(jù)。這是最流行的加密方式之一，并且在許多應(yīng)用程序中得到了采用，其中包括大多數(shù)網(wǎng)上商店所集成的SSL(安全套接字)。RC4使用一個流式加密系統(tǒng)(Streaming Cipher)，它能為加密的每個數(shù)據(jù)包分別創(chuàng)建一個不重復(fù)的密鑰（稱為”包密鑰”，即 packet key）。為此，它需要合并一個預(yù)共享密碼的各個字符、一個狀態(tài)值以及一個IV（初始向量)值來打亂數(shù)據(jù)。RC4的這部分稱為密鑰調(diào)度算法(KSA)。隨即，結(jié)果數(shù)組成為一個”偽隨機(jī)生成算法”(PRGA)的種子，后者生成一個密鑰流，并與明文進(jìn)行XOR運(yùn)算，從而獲得密文。IV+密碼（64位或128位）加密的數(shù)據(jù)KSAPRGA數(shù)據(jù)+CRC-32XOR密碼IV(24位)實(shí)際發(fā)送的數(shù)據(jù)并非只由原始消息構(gòu)成。它還包括一個稱為“校驗(yàn)和”(CRC)的值，一個32位的值。校驗(yàn)和是根據(jù)數(shù)據(jù)包中的數(shù)據(jù)計(jì)算出來的一個不重復(fù)的值。校驗(yàn)和用于確保數(shù)據(jù)在傳輸過程中的完整性。收到并解密了數(shù)據(jù)包后，會重新計(jì)算校驗(yàn)和，并與原始校驗(yàn)和進(jìn)行比較。兩者相符，就接受數(shù)據(jù)包，否則就丟棄數(shù)據(jù)包。數(shù)據(jù)CRC-32算法數(shù)據(jù)CRC值數(shù)據(jù)+CRC值加密好數(shù)據(jù)后，IV會附加到數(shù)據(jù)上，同時用一個數(shù)據(jù)位(比特)來表示數(shù)據(jù)包已被加密。然后，所有信息廣播到空中，由接受方捕捉和解密。解密過程是對加密過程的一個逆轉(zhuǎn)。首先，從數(shù)據(jù)包中移除IV，并將其與共享密鑰合并在一起。然后，合并后的值用于重新創(chuàng)建KSA，后者進(jìn)而用于創(chuàng)建密鑰流(Keystream)，密鑰流與加密的數(shù)據(jù)包進(jìn)行XOR運(yùn)算，便得到明文輸出。然后，從明文中移除校驗(yàn)和(CRC)，并將它與重新計(jì)算后所得的CRC進(jìn)行比較，隨后確定對這個數(shù)據(jù)包的取舍。IV+密文密文數(shù)據(jù)+CRC-32密碼IV壞數(shù)據(jù)數(shù)據(jù)CRC-32好數(shù)據(jù)XORCRC-32CRC比較KSAPRGA但是，RC4的實(shí)現(xiàn)是有缺陷的。特別是，如果我們知道了數(shù)據(jù)加密前的樣子，那么對捕捉到的密文和已知的明文進(jìn)行XOR運(yùn)算，就能生成密鑰流(Keystream)。出現(xiàn)這個缺陷的原因是，WEP是通過合并兩個變量，并對這兩個變量進(jìn)行XOR運(yùn)算來得出密文的。下面一個公式1描述RC4算法的最后一個函數(shù)，它負(fù)責(zé)對數(shù)據(jù)進(jìn)行加密。Ciphertext (密文) = Plaintext (明文) XOR Keystream(密鑰流)WEP使用一個名為初始向量的值，這個值簡稱為IV（Initalization Vector）。RC4算法使用這個值與預(yù)共享密鑰合并，從而為每個數(shù)據(jù)包創(chuàng)建自己的密鑰流，從而通過WLAN發(fā)送的每個數(shù)據(jù)包都創(chuàng)建一個新的、不重復(fù)的”數(shù)據(jù)包密鑰”。WEP為通過WLAN傳送的每個數(shù)據(jù)包都使用一個3字節(jié)的IV。數(shù)據(jù)發(fā)送后，IV會添加在每個加密的數(shù)據(jù)包之前。這就能保證接收人獲得解密數(shù)據(jù)所需的全部信息。不過，有個潛在的問題。一個字節(jié)由8個比特組成，因此，IV的總長度為24比特（8比特/字節(jié)*3字節(jié)）。如果計(jì)算所有可能的IV，那么結(jié)果是224 = 16777266個可能的密鑰。雖然看起來很大，但它與通信聯(lián)系起來時，實(shí)際是非常小的，原因是可能會重復(fù)。IV是一個隨機(jī)數(shù)。當(dāng)大多數(shù)人將“隨機(jī)”和16777216這樣一個數(shù)字聯(lián)系到一起時，第一個反應(yīng)是，黑客平均必須等待1600萬個數(shù)據(jù)包后，才能收到重復(fù)的包。但這種想法是錯誤的。事實(shí)上，考慮到隨機(jī)性的本質(zhì)，只需傳輸5000個包，就會開始重復(fù)，這就是我們所說的“沖突”。從而IV的“沖突”，造成了WLAN WEP加密被破解的致命弱點(diǎn)。2. 實(shí)驗(yàn)準(zhǔn)備（實(shí)驗(yàn)環(huán)境的搭建、實(shí)驗(yàn)儀器的準(zhǔn)備等）：本次實(shí)驗(yàn)主要涉及了2個實(shí)驗(yàn)環(huán)境：一：宿舍的實(shí)驗(yàn)環(huán)境：為了方便研究無線破解的技術(shù)和原理，從安協(xié)拿回了無線路由器，在宿舍搭建了一個由TP-LINK 54MB的無線路由組成的用WEB-64比特加密方式加密的無線局域網(wǎng)。二：機(jī)房的實(shí)驗(yàn)環(huán)境：機(jī)房的實(shí)驗(yàn)環(huán)境不需要自己搭建，有很多現(xiàn)成的無線信號可以供破解，也沒有實(shí)驗(yàn)儀器需要準(zhǔn)備。3. 實(shí)驗(yàn)步驟（詳細(xì)寫出實(shí)驗(yàn)步驟）：實(shí)驗(yàn)準(zhǔn)備階段：（1）實(shí)驗(yàn)裝備用具：華碩A8JS（內(nèi)置Intel3945 無線網(wǎng)卡）配備BT3 U盤操作系統(tǒng)。 IBM T60（內(nèi)置Intel3945 無線網(wǎng)卡）配備BT3 硬盤操作系統(tǒng)。（2）調(diào)試各種BT3操作系統(tǒng)，使在BT3下能夠上網(wǎng)瀏覽網(wǎng)頁，瀏覽文檔，輔助在BT3下的破解工作，且可以正常運(yùn)行進(jìn)行破解工作。實(shí)驗(yàn)破解階段：（1）在BT3操作系統(tǒng)下： 一種方法： 1.開機(jī)運(yùn)行BT3操作系統(tǒng)，打開一個SHELL命令框，開始輸入命令：modprobe r iwl3945卸載3945網(wǎng)卡的原驅(qū)動，再輸入命令：modprobe ipwraw 裝載支持監(jiān)聽模式的新驅(qū)動。 2.輸入命令：airodump-ng wifi0 開始掃描所有的無線信號，以選擇破解的目標(biāo)。 3.輸入命令：macchanger m wifi0 來改變自己網(wǎng)卡的MAC地址，確保相同。 此步可有可無。故無截圖，在此只是點(diǎn)名此步驟。 4.輸入命令：airmon-ng start wifi0 6 激活網(wǎng)卡的監(jiān)聽模式并且工作在wifi0所在的第6頻 5.輸入命令：airodump-ng -w capture -c 6 bssid wifi0 開始按照物理地址和頻道所對應(yīng)的無線信號抓包，并且把所抓到的數(shù)據(jù)包存為名字capture的文件。 6.輸入命令：aireplay-ng -1 0 -e -a wifi0 利用BT3系統(tǒng)自帶的-1攻擊模式對所要破解的無線路由器進(jìn)行虛連接攻擊，偽造和所要破解AP的偽裝連接，為后面的攻擊打下基礎(chǔ)。 7.輸入命令：aireplay-ng -3 b wifi0 利用BT3操作系統(tǒng)自帶的arp 注入攻擊模式的 -3 模式通過不斷向AP 發(fā)送同樣的arp請求包，來進(jìn)行注入式攻擊，以便獲得大量的有效數(shù)據(jù)。攻擊成功后數(shù)據(jù)包飛漲。 另一種方法： 1.開機(jī)運(yùn)行BT3操作系統(tǒng)，打開一個SHELL命令框，開始輸入命令：modprobe r iwl3945卸載3945網(wǎng)卡的原驅(qū)動，再輸入命令：modprobe ipwraw 裝載支持監(jiān)聽模式的新驅(qū)動。 2.輸入命令：airodump-ng wifi0 開始掃描所有的無線信號，以選擇破解的目標(biāo)。 3.輸入命令：macchanger m wifi0 來改變自己網(wǎng)卡的MAC地址，確保相同。此步可有可無。故無截圖，在此只是點(diǎn)名此步驟。 4.輸入命令：airmon-ng start wifi0 6 激活網(wǎng)卡的監(jiān)聽模式并且工作在wifi0所在的第6頻道。 5.輸入命令：airodump-ng -w capture -c 6 bssid wifi0 開始按照物理地址和頻道所對應(yīng)的無線信號抓包，并且把所抓到的數(shù)據(jù)包存為名字是capture的文件。 6.輸入命令：aireplay-ng -1 0 -e -a wifi0 利用BT3系統(tǒng)自帶的-1攻擊模式對所要破解的無線路由器進(jìn)行虛連接攻擊，偽造和所要破解AP的偽裝連接，為后面的攻擊打下基礎(chǔ)。 7.輸入命令：airreplay-ng -5 b 001478e51610 wifi0采用碎片包攻擊模式-5，獲得一個PRGA數(shù)據(jù)包（xor文件）。 8.輸入命令：packetforge-ng -0 -a -h -k 255.255.255.255 l 255.255.255.255 y fragment-0108-231739.xor -w myarp 用數(shù)據(jù)包制造程序packetforge-ng將上面獲得的xor 數(shù)據(jù)包偽造成可利用的ARP注入包。9.輸入命令：aireplay-ng -2 r myarp -x 512 wifi0采用交互模式-2，發(fā)包注入攻擊。 總后一步：破解密鑰 輸入：aircrack-ng -n 64 -b packet-02.ivs 從上面兩種方法主要是獲得足夠的數(shù)據(jù)包，數(shù)據(jù)包里包含足夠的IV，從而進(jìn)行破解。 可以看到密碼為：”qazxc”（2）在Windows操作系統(tǒng)下： 1.安裝3款軟件，分別是netstumblerinstaller、WinAircrackPack、omnipeek。Netstumbler是一款用于在Windows系統(tǒng)下檢測無線信號各項(xiàng)參數(shù)的應(yīng)用軟件，WinAircrackPack是對所抓到WEB數(shù)據(jù)包進(jìn)行破解的軟件，omnipeek是在Windows操作系統(tǒng)下用于抓包的軟件。 2. 3款然見安裝成功后分別打開3款軟件進(jìn)行試用調(diào)試，無錯的情況下進(jìn)入下一步 3打開netstumbler查看能檢測到的無線信號，觀察它的強(qiáng)度、無線加密方式，是否適合作為破解目標(biāo)，最后選定破解目標(biāo)。 4. 選定破解目標(biāo)后進(jìn)行運(yùn)行omnipeek對所選目標(biāo)開始進(jìn)行抓包工作，在Windows操作系統(tǒng)下破解需要大量的數(shù)據(jù)包而且由于破解的是局域網(wǎng)所以沒有有效數(shù)據(jù)開始，最后依靠局域網(wǎng)內(nèi)的人為的數(shù)據(jù)傳送才抓到了大量的有效數(shù)據(jù)包。 5. 打開WinAircrackPack對所抓到的數(shù)據(jù)包進(jìn)行破解，因?yàn)閿?shù)據(jù)量較大而且屬于暴力破解方式所以等的時間比較長，最后破解成功。 注：因?yàn)樵赪indows操作系統(tǒng)下的破解工作是最開始研究的方向，后來一直沒有再研究，所以此次實(shí)驗(yàn)并未截圖，因?yàn)槠平庖淮魏臅r很久也沒有重新再做，特此說明。4. 實(shí)驗(yàn)問題及解決方案：問題1：最開始使用的VMware虛擬機(jī)找不到網(wǎng)卡。 在網(wǎng)上搜索相關(guān)問題后了解到Vmware 不支持筆記本內(nèi)置的mini pci 接口的網(wǎng)卡，而使用VM 建議配置USB 無線網(wǎng)卡。Mini PCI 筆記本網(wǎng)卡建議使用CD 版、硬盤和U 盤啟動BT3。問題2：實(shí)驗(yàn)過程中輸入一些命令例如ifconfig a 、bssid 等命令時提示錯誤。通過HELP方法查看命令語法發(fā)現(xiàn)是因?yàn)樯佥斄丝崭窈蛻?yīng)該為-bssid仔細(xì)核對命令后改正。問題3：在機(jī)房破解無線信號的時候建立虛連接不成功。 在從網(wǎng)上查閱相關(guān)資料和根據(jù)以往破解經(jīng)驗(yàn)的總結(jié)后得出所破解網(wǎng)絡(luò)的AP信號必須達(dá)到一定強(qiáng)度而且距離不能太遠(yuǎn)，還有就是用用戶的時候比沒有用戶成功的概率要大的多。問題4：抓到足夠的數(shù)據(jù)包后卻無法順利利用命令進(jìn)行破解。 經(jīng)過多次的嘗試和分析最后發(fā)現(xiàn)是因?yàn)闊o線路由器的加密方式是128bit的WEB加密方式，而不是64位的加密方式，改過來后順利破解。問題5：無法破解無客戶端連接的WEP密碼。 如果一直是無客戶端的AP經(jīng)過我們的研究由于沒有任何數(shù)據(jù)產(chǎn)生，也就沒有數(shù)據(jù)包可以捕獲更沒有數(shù)據(jù)包能夠不斷重發(fā)，產(chǎn)生的一些數(shù)據(jù)由于沒有IV初始化向量導(dǎo)致對破解沒有幫助，所以沒有客戶端連接的Ap是無法破解的。問題6：路由器登陸不成功 由于有人在別人不知道的情況下將路由器重置了。重新設(shè)置后恢復(fù)。問題7：BT3操作系統(tǒng)在運(yùn)行過程中經(jīng)常死機(jī)。 通過網(wǎng)絡(luò)資料的查閱和與同學(xué)的討論加上對該問題的反復(fù)研究嘗試，最后得出的結(jié)論是USB版本的BT3操作系統(tǒng)本身的穩(wěn)定性和性能就不如硬盤版的BT3操作系統(tǒng)，系統(tǒng)運(yùn)行繁忙的時候就極其容易死機(jī)尤其是抓包破解過程中。還有就是開始使用的bt3并不是從官方網(wǎng)站上下載的BT3 final 版本的，而是老版本所以問題更多一些，后來更新了BT3操作系統(tǒng)，問題得到了較大改善。5. 實(shí)驗(yàn)結(jié)果分析：通過屢次在不同的環(huán)境、不同的系統(tǒng)破解不一樣的無線信號所得到的結(jié)果來看，有以下幾點(diǎn)分析，首先在Windows操作系統(tǒng)下的破解要比BT3操作系統(tǒng)下破解費(fèi)事的多并且會消耗大量的時間，要抓的數(shù)據(jù)包量很大，所以破解無線不建議在Windows操作系統(tǒng)下進(jìn)行，BT3操作系統(tǒng)下的破解也不是都相同的，我們主要用了-3注入攻擊和-5碎片攻擊兩種攻擊方式，同時也嘗試了其他的攻擊方法但是感覺這兩種攻擊方法最好最有效，且其他方式的攻擊和它們的步驟也都差不多，原理也相似，-3攻擊模式的特點(diǎn)是速度快，但是要求虛連接要順利建立。-5攻擊模式的步驟雖然比-3要多一點(diǎn)，但是-5攻擊模式可以適應(yīng)比-3復(fù)雜的網(wǎng)絡(luò)環(huán)境，成功率更高。從截獲的數(shù)據(jù)包量來看，一般數(shù)據(jù)包截獲到2000030000就可以順利破解了，當(dāng)然不排除有偶然的情況，根據(jù)密碼的復(fù)雜程度不同需要的時間和數(shù)據(jù)包的數(shù)量頭不同，如果密碼是字符和密碼是數(shù)字就不一樣了、，破解字符密碼要比破解數(shù)字密碼需要的數(shù)據(jù)包多10000-20000左右，由此可以看出字符密碼的安全性更高一些。經(jīng)我們分析影響無線破解的因素主要包括AP距離、信號質(zhì)量、是否有用戶連接AP、是否可以建立虛連接還有就是AP本身有沒有有效數(shù)據(jù)包。6. 實(shí)驗(yàn)總結(jié)：在此次無線破解實(shí)驗(yàn)中，雖然遇到了很多困難，但最終還是成功的實(shí)現(xiàn)了破解，最重要的是我們從理論上了解到了破解的原理，并不只是單純的執(zhí)行教程上的那些步驟，從而破解出密鑰。在WEP誕生之初，許多人都認(rèn)為WEP能在黑客面前建立勞不可破的安全防線。然而，隨著無線網(wǎng)絡(luò)逐漸流行，一組學(xué)者發(fā)現(xiàn)了該協(xié)議存