WiFi無線信息安全分析與攻擊手段測試-淮安(劉瑞)

1、WiFi無線信息安全分析與攻擊手段測試淮安電信無線維護中心劉瑞2012年9月2日【摘要】由于無線網(wǎng)絡在移動設備和傳輸介質方面的特殊性，使得 無線網(wǎng)絡相對于有線網(wǎng)絡而臨的安全威脅更加嚴重，一些攻擊手段更 容易實施?！笆舜蟆蓖ㄐ疟Ｕ现H，本文圍繞WiFi無線安全威脅、 常見攻擊手段、安全性測試等方面展開，結合日常維護需求和實踐數(shù) 據(jù)，基于破解WEP、破解WPA2演示，驗證無線信息安全威脅及其實 施原理，對于打造“金盾”網(wǎng)絡，提升網(wǎng)絡安全具有一定參考價值?！娟P鍵字】無線安全威脅、攻擊手段、WEP、WPA2、PIN碼破解一、無線安全威脅概述與有線網(wǎng)絡相比，無線網(wǎng)絡面臨的安全威脅更加嚴重，所有常規(guī) 有

2、線網(wǎng)絡中存在的安全威脅和隱患通常都存在與無線網(wǎng)絡中，同時無 線網(wǎng)絡傳輸?shù)男畔⒏菀妆桓`取、篡改和插入；無線網(wǎng)絡容易受到拒 絕服務攻擊和干擾等。從信息安全威脅角度來說，安全威脅是指某人、物、事件對一資 源的保密性、完整性、可用性或合法使用性所造成的危險。安全威脅 可以分為故意的和偶然的，故意的威脅又可以進一步分為主動的和 bei動的。被動威脅包括只對信息進行監(jiān)聽，而不對其進行修改；主 動威脅包括對信息進行故意的篡改（包含插入、刪減、添加）、偽造虛假信息等。結合省公司2012年“龍騰3G”和“金盾行動”關于網(wǎng)絡安全工作要求，進行系統(tǒng)梳理，目前無線安全威脅現(xiàn)狀主要有：（一）攻擊者基于MDK3等工具破

3、解WEP、WPA2,獲取AP密鑰或竊取用戶賬號，如下圖所示的目前網(wǎng)絡上ChinaNet免費帳號買賣等。W：1|OSW3J®B3|36«163IR:2105648)36013693360朕：3|O5U斑渕 |36K»$ $810564368)54413693W S®M：5|0SM»ff664|36K«4 ?»10564366136813681X8W：710564196136321% 迪料：81畑畑521368救 5® 料:9| 畑%82S45|3682洱 強W：10|C6$4X828?2|368»?2|&#

4、167;8JR:11 j 056*8X831368X6:安廈M: 121C664X8320813683206ISSIH：13105M36834821368斑 i W*W：141 C6WX6j6181 浹血8 I«:15|C«4M83733|3683733|§R16907522628123456 云覧 欣75228308123456 云甬 10567522632a 12M56 云甬冷522635 3125456 菇 139875228375123456 云甫 18$3?522>513123456 xS 1&»7S22®2 al

5、87;<% ie98?52311U12W56 云甬 lWB?S2357731»56r« 195675236?83123456 zS 瀏序23妙 al234« zSi眾郭離單人單號購買處官方單-猶定腦Chinane譚人號，-周6元/-月20,義的戕可以點擊下方“削A付即輔點擊下方QQ薛后眠！*灶-切從售后勰！ Hi為了方郎后,請軸rl砒耕頁！i6HA6f?3（二）設備和服務器不必要的服務和端口開放。杜庶盒渙!試陽迅 讒世曰餐愛曰酩 心聶手工測丸 發(fā)現(xiàn)品富服夯器開放了如下靖匚1,Fort Fr-otoc ol WS t at -Servi c eVersi on

6、135tep£iltC5-eamsvpc130t<Pfiltered443tcpopen.liX tpWbLoci ch t tpd445tcp£i11 ax cdnii cxrosci£t- dsG93lcFPi 11 »-1-t -ipr-pcs a pvn a»p7 07Hi 1 才«!2003<匸J?teropen.d.2000tepopen.d.4444£i 11 QX odIcrb5245554t«ap£i 1 t CrX cd匚曲一GGpht tp6001tepop an.tep

7、wr-Appa d.eoeolcPop XVt crpwi- mpp d.8443tepopen.tepwr appe d.8800teropertIvt tpW*bLoci ch t tpda fifH *"r*cr*,rbr K fr*H（三）敏感目錄路徑泄漏問題。StzTJICL :fcttXtlt?rrtBe?:/8N 3.02- :LO 123 =eKPXoo»oo XoZ*wot»a og x o晝 3.03- :LO 122 sSGIOO/oori oo3.wot-ioc x ogdn/Z3O3 3.03- 1 O 123 =E>OOXZooi

8、：Ti ool oZ-WobZL OS x aiXl eta Https :2 02 . 1C>=. 1 >. 12 internet i on air oztm ro aiiadeFaxilt. j sGtxMa5O<cfc<1: ZZ2SP2 102. :LD 123ZXn-tear*x«a-t： XokxoJLir ocuT*Z-a.l: t Z1-j*!®* 'xrarr wcm (>Tfc-t：j«e ： X XO2. X3. X22： X=*-«-t oard.<=nrxmXar cssKna/ts

9、 ca draM q/'X q3ffi Lit.ZoXs： WXF-l.> ': 102：LD 123/Xxi-tear*x<a XokxeJLar ocoTtZiTzcoe-clojrtcl ZXosd-ra. j arp>- FIKTOMcl W_Lb A*3*ba-t:ar ： X 102. X3.丄UNxr rum* d uarxl=xr om/£= d<3OTv4 / O Okrt 0O t JJbO .FTOHElJCiMxi W1OFX* -I'M七n ： /丿42»2 XO2. X3. X22：X=i-n-t:

10、aamjn'«: d.can.mX3r ca»rnB/*Hirt-iJC-«: d.xrwi XFxrtjar 盤v>. WIN C 尸夕卜主XocUru J or>* -（四）設備存在弱口令、默認口令，以及登錄繞過等安全問題。 連接的過程中，攻擊者通過攔截、插入、偽造、中斷數(shù)據(jù)包等方式， 達到獲取對方登陸賬戶及密碼，偽造身份等目的。對于一般的環(huán)境， 可以單純的使用ARPSpoof工具，同樣也可以使用滲透測試攻防平臺 BT4下功能強大的Ettercap來實現(xiàn)。攻擊步驟：口 *境DMO MAIUMJMJNAVtOAMF.AMrenn.事,6“CP

11、Ugvdi. waW/0VMY V>10*WB皿嫌跖：28（五）設備登錄采用明文傳輸方式4C0 12.530140114.222.2XJ.2555. Zl 3.203.44HTTP40 12.SS6672S$HTTP477 12.58575454lid.222.243.25HTTP412 12.593OMW 12.699JJ55LW Z22.243.25畑 1ft7.Q?.Un5S. 213.203.445S. 213.203.44117 RO. 7? IllHTTPHTTPHTTP720 F

12、C6T Aeb Hcgin HTTP/l. 1 (applicaticr. x-imw-forr-irlencoded)217 «T sp a>ttCcD</.i.2ULjIM/*«.HDCf.%2viL2xv221ul >-dd£Oa6bB3c«5dabcnoC Ml HTTP 1.1 200 o.plain)W GET Kn/4O?2?<F8613$FD2M2$072E8$81xsiyfd1recx.x$l Hnp/l.leflO POST /ucn/frare HTTP/1.1 (appl icat iai x-w»

13、;w-fort-tri encoded) dUfi MTTP1.1 :nn m ZawBrsfinn v.iavwriHft Etherret :. Src: :ntel«3r_flb:tf:c2 (00:le:M:6b:bf:c2). (bt: Hi-a*.eiTe_84：e；:ff (00:15:82:W：e7：Ff) t :rterrat Protzel vwsiwi 4. Src: 1U.222.243.25 (1U.222.24 3.25), Dt: S8.213.2O3.U (SE.213.203.44) Transnlsslcn wcrol proxocol sre p

14、ort: etc (2£&D, Wt pcti: hxxp :W,鬥：1. Mk: 1 ten： 666Transfer procxal-line-based text data: application x-ftw-fora-urlencodeduscr.rH-r&rAra/natcr-lcsLano-cMrflSfiassuerd-neeOll'laodc-nftjAlang-llid? 64 <He) 3b 21163 30 31205 29 C1210 32 3 1220 “12 W 6S )23 76 I2S0 6C 3126? 6b i 12

15、70 6f 療?3 20 40 54 M 35 2« 31 汕 20 53 M 31 due MT 5.1： Svl > 丄 15 $4 20 3 “ 52 20 12 M ?0 2e 35 ； .nET c LR 2.0.5 U 37 3b 20 49 G© 66 6f 50 «1 74 68 2« H 0*27； :n foPath.l h 48 6f 73 " » 20 J5 H 2e ；2 ?1 打 2e 05【：56.213. n 2« 34 34 g Oa 43 6f 6& “ 65 6a 74 2

16、d 23.". Conrcrt- k G7 7d &8 A 20 38 » Od Od 4J 6f & 6e L糾th: 80. .conn M 0 6f 6a 32 M 4b 65 65 70 2d XI 6c 60 actior:力 oa 43 61 3 85 65 2d 燈 <f 6 ?4 72 6f ve, .each e-<orcro » 2 5f 2d 63 61 63 63 6S Cd Oa 43 6f 6f 1： ro-ca Che. .Coo >5 3a 20 6C 61 6fc 6? 34 31 3b 20 6

17、5 6t 63 Me： lin g< enc2 “ 57 3d 67 62 32 33 31 32 M Oa CW Oa odirg-50 2312.I2WI2w12b?128 2«1 <3 Jd 456f 72 Id 40 45 26 73 79 73 4< 6； 69 6t 65 ?3 65 26 ?0 61 73 73 7? 6f 63 <0 32 M 31 31 76 6C 6465 & 6e 73 24 6c C 仇 67 習 31二、常見攻擊手段解析無線攻擊又名無線欺騙攻擊，不但包含了常說的無線中間人攻擊，還包括了無線跳板、無線釣魚、偽造A

18、P等多種方式。常見攻擊手段解析如下：（一）中間人攻擊（MITM）：就是目標主機與另一主機進行正常1、無線客戶端通過無線AP上網(wǎng)2、攻擊者向無線客戶端發(fā)送欺騙報文3、攻擊者向無線AP發(fā)送欺騙報文4、正常的訪問被重定向，無線客戶端將訪問攻擊者所引導的域 名或服務器。（二）基于硬件偽造無線接入點：基于硬件的偽造AP攻擊是最 容易實現(xiàn)的，攻擊者完全可以在探測出目標AP的諸如SSID、工作頻 道、MAC等相關信息，并在破解了無線連接加密密碼之后，在準備一 臺功能較為完善的AP,直接修改成與其配置一致，就可以實現(xiàn)偽造 AP攻擊的目的。（網(wǎng)絡可以下載常見掃描工具）EOD5CED2707A050B339BED

19、4001570AF1305O3EQB42DC4D 0014DEFOD13? 650B33SBED4 D550B339DOOr 005093290007 00609 929D 009F0D111F259E6 5C0E 8B5EBDC0 74EaA4DmC£ D£AEg00033EQ3CE5A63FF8C0 B44VA0B366F MH8FA 餡 3CChihaNei-hJFAChinaNeitAjQ CM CDChinaNel TP-LINK_B70QA4 ChinaNe!CMCCCMCCAUTO CMCC-AUTO CMCC CMCCDLnk8f8E8E88 «P

20、P*D fenghuan 口 TP-LINK_ ChinaMet-APCrl i7Vy«3A ChinoN©l-F8B0 Chinar4e!-yx3A Naviqatcc254 Mbps(Fake)WEPG54 Mbps(Fake)WEP1154 Mbps(Fake)WEP1154 MbpN匚 om554 Mbps(FaF：e)G54 Mbps(Fake)WEP1154 Mbps(Fake)154 Mbps(Fake)1154 Mbp(Uor-d.WEP554 Mbps(User-d.WEPG54 MbpsZ Com154 MbpsN Com1154 Mbps(Fake)W

21、EP1154 Mbp(Foko)WEP1254 Mbps(FaF：e)WEP954 Mbps(Fake)WEP1154 Mbps(Fake)WEP854 Mbps(lleer-d.WEP854 Mbp(Fake)WEP554 Mbps(FaF：e)WEPG54 MbpsfFakel（三）基于軟件無線跳板攻擊：提到跳板，很多人會想到黑客使用的肉雞、代理、跳板專用的工具?；谲浖臒o線跳板攻擊是指在有線網(wǎng)絡的基礎上，加入了無線網(wǎng)絡的環(huán)節(jié)，通過配合使用有線網(wǎng)絡內的主機、筆記本作為傳輸節(jié)點，一一連接起來進行無線信號到有線 網(wǎng)絡的傳輸。如：從外部連接內部筆記木無線網(wǎng)卡，再配合端口重定 向工具進行的基于軟

22、件的無線跳板攻擊。連接無線網(wǎng)卡用到的工具是 airserv-ng,重定向工具是Fpipe。ICMP協(xié)議隧道方式常用丄具是： Loki； HTTP協(xié)議隧道方式常用工具是HTTP Tunnelo（四）拒絕服務攻擊（驗證洪水攻擊）：攻擊者向AP發(fā)送大量偽 造的身份驗證請求幀，當收到大量偽造請求的身份驗證請求超過所能承受的能力時，AP將斷開其他無線服務連接。人 2 x rootbt: File Edit View "Terminal Help:mdk3 monO a a 8C: 21:0A：3A:DE:86AP 8C:21:OA：3A：DE:86 is responding!AP: 8C:2

23、1:0A!3A:DE:86AP: 8C:21:0A:3A:DE:86AP: 8C:21:0A:3A:DE:8&AP: 8C:21:0A:3A:DE:86Client:67:C6:69:73:51:FFtoClient:ED:DE:13:EF:E5:20toClie nt:E9:9F:21:BC:52:13toClient:A2:CC:31:A2:9F:9Btotarget target target targetAP 8C:21:0A:3A:DE:86 seems to be INVULNERABLE!Device is still responding with 500 client

24、s connected!connecting client： 54：E8：01：9E：28：8C to target ap： 8C：21：0A：3A：de：8& connecting client： 0E：bo：84：E9：E9：ob to target ap： 8C：21：0A：3A：de：8& connecting client： 14：3C：86：ec：bb：7D to target ap： 8C：21：0A：3A：de：8& AP 8C:21:0A:3A:DE:86 seems to be INVULNERABLE!Device is still respond

25、ing with Connecting Client： 7B:32:F0:7E:85:32 to target AB； S： 一 器邀1000 clients connected!8C:21:0A:3A:DE:Connecting Clierjt： 8B：58：6：C4;0A：FE toQannectng Client： 05：90;9B：A4：C5:1CtoAP 8C ： 21: ®A ： 3A ： DE ： 86 seems jto be -INVULNERABLE!.Device is still responding with 15'00 clients connec

26、ted!Connecting Client: 67:Cl:FA:03:El:98 to target AP: 8C:21:0A:3A:DE:8& Connecting Client: E8:98:68:47:BB:29 to target AP: 8C:21:0A:3A:DE:86 Packets sent:1684 - Speed:164 packets/secCtarget targetConnecting Connecting Connecting Connecting繼而通過廣播插入偽造的取消身份驗證報文，客戶端認為該報文來自AP,最終利用大量模仿的和偽造的無線客戶端關聯(lián)來填充

27、AP的客戶端關聯(lián)表，從而達到淹沒AP的目的。（五）RF干擾：由于當前使用的g/n、藍牙等都工作在頻段，所 以對干擾將破壞正常的無線通信，導致數(shù)據(jù)傳輸丟失、網(wǎng)絡中斷、信 號不穩(wěn)定等情況出現(xiàn)。(六) 破解接入口令：攻擊者嘗試破解無線加入口令。達到接入 無線網(wǎng)絡，控制無線接入點，滲透內網(wǎng)的目的。為此，根據(jù)省公司要求，前期開展了 SNMP弱口令專項整治行動。三、安全性破解測試為更好地演示W(wǎng)iFi安全性破解過程，木次測試選取經(jīng)典的WEP 破解進行詳解。首先構建破解環(huán)境平臺：在筆記木電腦上安裝 BT5R3-GN0ME-VM-32,可以選擇虛擬機(需要外置網(wǎng)卡)、U盤插入方 案(可利用筆記木網(wǎng)卡)。辻con

28、fig -a查看所有網(wǎng)卡辻config wlanO up激活無線網(wǎng)卡文件(FWH(E)査 «(V)罐端 CD 怙列(Gmet 地址: 掩碼：255000met6 土也址：:1 7 128 Scope HostUP LOOFBACK RUNNING MTU： 1 6436 躡點數(shù)挨妝數(shù)擁包：298佑ye ： o去棄：o 過伐：o m數(shù) o發(fā)迖：298鐺決：0丟棄：0過莪：D雙說：0W J4 0準送隊刊長度 0按欣字節(jié) 22E2O (22.8 KB) 發(fā)迖字予 2282D (22.8 KB)wlanOLink wncap:以太網(wǎng) 秋件上也址 74 de: 2b . 68

29、 St . 7cUP BROADCAST MULTICAST WTU : 1 500 躍點數(shù)：1 抿收數(shù)擁包0耕課：0丟棄：0 Mt tt 0加數(shù)。發(fā)迖致烷包：0 W5決：0丟棄：0過戎：0戎波2 梅扌吏 0準送隊列長度：1 000按收字節(jié)：0 <0.0 B> 發(fā)迖字節(jié)：D <0.0 B>wlan 1Link encap 以太網(wǎng) 砂件 地址 OD 18UP BROADCAST MULTICAST STU：1500接收毀擦包 0堵碾：0丟棄 0過伐 0加數(shù) 0 發(fā)迖致烷笆：0伯洪：0丟棄：0過RtA :0 WJ4 0 程送隊列長度：1 000按收字節(jié)：0 (0.0 B)

30、發(fā)送字節(jié)：0 <0.0 B)rootKack-me./M ifconflg wlanl upairmon-ng start wlanO 設置無線網(wǎng)卡模式oocHck-«n« ： / u 1 rmon- ng s t % w丄ound A procos sos mat: could cams o t: r oiub lo .f a 1 rodump - ng . a 1 rop lay -ng or ar r tun -ng stops working a-ft o r sNort por lod of t imo r you may wnt: t:o kx 11( s

31、 omo of > t hom !RIDNome4G9avah x-daemon3 7 1ovah x-doemoo389N<? twor kMBnoce r558wpa_supplleantI ntor rcoCh xps ot:vl acOUlrtXcowrivl ac 1RTLB187Or Xvarr t181Q2cq-phyO 3rtl8187 -CpK/1(monitor modo onablod on monO)airodump-ng monO查看無線網(wǎng)絡信息g戈:件 «root <>C«M-®<v>MS«

32、；A<» >W£VHM>CHI I ElapsedI C 2012-07-12 07 47XDpwrO c» a c onm/*«CllMULNCUX 尸 IIU R AUTI ICSIDy16s3oeG3D1 AC00C0C40MC teaosolsonuA22FCEEAnp E3E6F; ;F 6 FC5CDCA COOSBOEFCOceacooEEOU 08E6ceF9MIs fcFASS-AEOTVDB2F9C4-0A22S68OZ2322Z4666777777U71G70592BG31721222 110020004000SA

33、O . S-4O . S-l S“ . S".54 54 54 S-4© .v/t !WPA2 V/PA2WPA2WPA2WPA2WPA2 WPA2WEP WPA2V/rp p p p p p p p r rMMMMMMMPMM ECCCCCCCECC WGCCCCCCWCCPSK PSK PSK PSK PSKPSK PSKPSKP5Kwoe 3O-BOS 1ACk-Xlu TP-UTNK TA_UINK_F e 2HAOXI-HO FAST_3E4A ZZX GOUGOUUh »r»au4rt -1 u?> t a t I QNr k*« t &< not auuocxatod、 <nor assoc 1at od >< r>ot