黑客大曝光第五周匯總

*黑客攻擊與防范1黑客大曝光*黑客攻擊與防范2第3部分網(wǎng)絡(luò)攻擊主要內(nèi)容：第7章網(wǎng)絡(luò)設(shè)備7.1尋找潛在的攻擊目標(biāo)7.2自治系統(tǒng)查詢(AS查詢)7.3公共新聞組第8章無線攻擊8.1無線踩點8.2無線掃描和查點8.3查明目標(biāo)無線網(wǎng)絡(luò)信息8.4獲得訪問權(quán)限8.5以WEP為目標(biāo)的黑客工具

7.4對網(wǎng)絡(luò)服務(wù)進行探測7.5網(wǎng)絡(luò)的安防漏洞

8.6LEAP攻擊8.7拒絕服務(wù)攻擊8.8802.1X簡介*黑客攻擊與防范3*黑客攻擊與防范4*黑客攻擊與防范5第七章網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)是現(xiàn)代企業(yè)的脊梁骨。數(shù)以千米計的銅制或光纖電纜為通信提供了傳輸介質(zhì)。大多說公司的局域網(wǎng)（LAN）或廣域網(wǎng)（WAN）都遠(yuǎn)沒有安全可言。網(wǎng)絡(luò)漏洞決不是小事情，一旦攻擊者控制了你的網(wǎng)絡(luò)，他們就可以控制數(shù)據(jù)的傳輸情況和傳輸目標(biāo)。在大多數(shù)場合，控制了某個網(wǎng)絡(luò)意味著攻擊者不僅可以監(jiān)聽這個網(wǎng)絡(luò)上的電子郵件、財務(wù)數(shù)據(jù)等敏感信息，甚至還可以把這個網(wǎng)絡(luò)上的通信重定向到一個未獲權(quán)的系統(tǒng)去，本章重點討論攻擊者是如何發(fā)現(xiàn)你的網(wǎng)絡(luò)、發(fā)現(xiàn)你的網(wǎng)絡(luò)設(shè)備、鎖定和攻擊他們獲得對你敏感數(shù)據(jù)的非授權(quán)訪問權(quán)限的。*黑客攻擊與防范67.1尋找潛在的攻擊目標(biāo)在因特網(wǎng)上尋找潛在的攻擊目標(biāo)較容易，絕大數(shù)網(wǎng)站也會把為自己提供因特網(wǎng)接入服務(wù)的ISP以及自己的設(shè)計、配置、硬件類型以及潛在的信息安防漏洞公之于眾。探查我們這里所說的探查主要是指在不驚動攻擊者攻擊目標(biāo)的前提下去收集各種敏感的信息，具體的探查方法可以千變?nèi)f化。根據(jù)目標(biāo)系統(tǒng)的具體情況，有很多的技巧。收集關(guān)于目標(biāo)系統(tǒng)的信息通過端口掃描儀去收集信息顯得比較魯莽，但這樣做的好處事有很多種工具可供選擇，traceroute、netcat、nmap和superscan是攻擊者在探查和鎖定目標(biāo)網(wǎng)絡(luò)上的設(shè)備時幾種首選工具。根據(jù)目標(biāo)系統(tǒng)在被探查期間的具體配置情況，攻擊者在這個階段使用的很多探查技巧都會被入侵監(jiān)測系統(tǒng)（intrusion-detectionsystem,IDS)發(fā)現(xiàn)并記載到日志里去。為避免被人抓住把柄，攻擊者通常會盡可能地選用一些簡單的辦法并力求一針見血。大多數(shù)信息都可以從最簡單的來源找到。*黑客攻擊與防范7

Dig流行度:10簡單度:10影響力:3風(fēng)險率:3

dig是一個非常簡單的工具。只要使用幾個方便的命令行參數(shù)，它就可以收集到很多關(guān)于目標(biāo)系統(tǒng)的域名的信息。如果黑客攻陷了郵件服務(wù)器，它就可以影響與電子郵件有關(guān)的通信；如果黑客攻陷了名字服務(wù)器，它就可以影響名字解析服務(wù)；而只要黑客對這些系統(tǒng)展開攻擊，對企業(yè)維持正常運轉(zhuǎn)必不可少的某些重要功能的可用性就會受到影響。*黑客攻擊與防范8

Traceroute工具流行度:10簡單度:10影響力:3風(fēng)險率:8在UNIX操作系統(tǒng)里該工具叫做traceroute，在MicrosoftWindows里叫做tracert。該工具可以讓你查看到你本人與目標(biāo)主機之間的路由器。原理是這樣的：向目標(biāo)主機發(fā)去多個數(shù)據(jù)包（UNIX和Windows分別使用UDP和ICMP協(xié)議來發(fā)送traceroute數(shù)據(jù)包），這些數(shù)據(jù)包的TTL（TimeTOLive,生存時間）值從1開始順序遞增。每經(jīng)過一個路由器，這些數(shù)據(jù)包的TTL值就會減去1。當(dāng)某個數(shù)據(jù)包的TTL值被遞減為零時，該數(shù)據(jù)包就會被丟棄并向發(fā)出去的源主機返回一個通知。每發(fā)生一次網(wǎng)間跳躍，該工具發(fā)出的ICMP數(shù)據(jù)包就會有且僅有一個因TTL值變成零而“陣亡”，他們的“陣亡通知書”由該工具整理并輸出，于是由近及遠(yuǎn)、從源主機到目標(biāo)主機這一路上的網(wǎng)絡(luò)接口的IP地址就都找到了。*黑客攻擊與防范97.2自治系統(tǒng)查詢（AS查詢）自治系統(tǒng)（AutonomousSystem，AS）是人們用來統(tǒng)稱一組共存于同一個管理實體中的網(wǎng)關(guān)（包括路由器在內(nèi)）的一個英特網(wǎng)（TCP/IP）術(shù)語。

ASN（AutonomousSystemNumber，自治系統(tǒng)編號）是一個用來標(biāo)識某個支持BGP協(xié)議（BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議）的網(wǎng)絡(luò)的數(shù)字標(biāo)識符。BGP是一種用來向全世界公布路由路徑的協(xié)議。如果沒有BGP協(xié)議，網(wǎng)絡(luò)之間的通信將根本無法離開本地網(wǎng)。*黑客攻擊與防范107.2.1普通traceroute命令輸出

UNIX或MicrosoftWindows機器上的traceroute命令輸出只顯示TTL響應(yīng)信息，如下所示：

root#traceroutetracerouteto,30hopsmax,40bytepackets1white_()4msec4msec0msec2(4)4msec4msec4msec3(1)4msec0msec4msec4(29)8msec8msec8msec*黑客攻擊與防范117.22帶ASN信息的traceroute命令輸出我們登錄到一個支持BGP協(xié)議的Cisco路由器并去運行該路由器的traceroute命令版本，它的輸出報告將包括沿途經(jīng)過的每一個路由器的ASN編號。支持BGP協(xié)議的主機在其traceroute響應(yīng)信息里還給出了它的ASN標(biāo)識符。根據(jù)這些額外的信息，我們可以了解到通信的經(jīng)過，斷定網(wǎng)絡(luò)中的線路及網(wǎng)絡(luò)的最大帶寬。*黑客攻擊與防范127.23

showipbgp命令對一臺Cisco路由器進行BGP查詢。AS查詢工具可以把所有的網(wǎng)絡(luò)連接都顯示出來。眾多的可視化AS查詢工具使這種查詢變得更加輕松；推薦幾個網(wǎng)站：

THOMASKERNEN的搜索主頁：（如下圖）

FIXEDORBIT公司：

MERITNETWORKS公司的RADB路由注冊工具：

*黑客攻擊與防范137.3公共新聞組

利用從AmericanRegistryforInternetNumbers（ARIN，美國因特網(wǎng)號碼注冊局）數(shù)據(jù)庫和NetworkSolutionsInc.（NSI）網(wǎng)站上查詢到的信息，人們還可以收集到任何一個組織的主要聯(lián)系人的情況。在網(wǎng)站上用這些聯(lián)系人的姓名進行一次搜索往往會讓你有一些意想不到的收獲。*黑客攻擊與防范147.4對網(wǎng)絡(luò)服務(wù)進行探測對網(wǎng)絡(luò)設(shè)備進行探測只是個開始。對某個主機上運行的網(wǎng)絡(luò)服務(wù)進行探測可以讓我們知道目標(biāo)系統(tǒng)上是否進行有存在著安防漏洞的網(wǎng)絡(luò)服務(wù)。

NMAP工具流行度:10簡單度:10影響力:3風(fēng)險率:8

NMAP是現(xiàn)代黑客必備的端口掃描工具之一。它的用途有很多種，既可以用來進行簡單的端口掃描，也可以用來確定某給定子網(wǎng)里有哪些主機正處于運行狀態(tài)，甚至可以用來確定遠(yuǎn)程主機所使用的操作系統(tǒng)。在前面的例子里，我們曾推測IP地址10.140208.3處的設(shè)備應(yīng)該是一臺CISCO路由器，現(xiàn)在是利用NMAP工具的操作系統(tǒng)是被功能區(qū)確認(rèn)一下這個推測的時候了。假如目標(biāo)設(shè)備上的TCP13號端口現(xiàn)在處于打開狀態(tài)，我們就可以利用NMAP工具的“-O”參數(shù)去探測那臺設(shè)備上的操作系統(tǒng)。*黑客攻擊與防范15利用網(wǎng)絡(luò)設(shè)備的影響信息識別Cisco產(chǎn)品流行度:10簡單度:10影響力:1風(fēng)險率:7發(fā)現(xiàn)目標(biāo)設(shè)備的有關(guān)端口都像所預(yù)期的那樣打開著并不意味著你已經(jīng)正確地把它識別出來了，你還需要進行一些探測以確認(rèn)對其操作系統(tǒng)的推測是準(zhǔn)確無誤的。

Cisco設(shè)備的FIGER服務(wù)經(jīng)常會返回一些毫無用處的響應(yīng)信息。Cisco設(shè)備的vtys服務(wù)，是會對一條簡單的“finger-1@<host>”命令做出響應(yīng)。Cisco設(shè)備的一個常用端口XRemote服務(wù)端口(TCP9001)，當(dāng)有攻擊者使用netcat工具去連接某個網(wǎng)絡(luò)設(shè)備的這個端口時，幾乎所有的Cisco設(shè)備都會返回產(chǎn)品的相關(guān)信息。*黑客攻擊與防范167.5網(wǎng)絡(luò)的安防漏洞如果我們的網(wǎng)絡(luò)使用了難以猜出的telnet口令字和SNMP通行字、對訪問/使用權(quán)限做出了嚴(yán)格限制并把一切都記錄到了日志里（并有人去分析那些日志），下面將要介紹的安防漏洞就不會造成什么大麻煩。反之，如果網(wǎng)絡(luò)的規(guī)模很大，管理起來很復(fù)雜，就難免會有一些機器在信息安全方面不盡人意，你們就該認(rèn)真檢查一下自己的網(wǎng)絡(luò)是否存在以下安全隱患。*黑客攻擊與防范177.5.1

OSI模型的第1層兩人之間的通行內(nèi)容都必須通過一個或多個電訊公司——本地的電話公司、衛(wèi)星通信公司或本地的有線電視臺等——所提供的通信線路來傳輸。信息先把被轉(zhuǎn)換為電子脈沖，再從電話接線盒進入埋設(shè)在地下或架設(shè)在空中的電話線傳輸出去。物理安防措施最容易被人們忽略，因而往往是信息安防工作最薄弱的環(huán)節(jié)。單就OSI模型的第一層而言，最容易被侵入的是T1線路。所以改T1線路或在T1線路里插入一臺“二傳手”設(shè)備都很容易，也就是說，捕獲T1線路上的所有外部連接并不是件困難的事。攻擊者只需5到10秒鐘就可以在網(wǎng)絡(luò)通信線路里插入一個簡單的中轉(zhuǎn)站，而這么短的時間很難被最終用戶察覺的。*黑客攻擊與防范187.5.2OSI模型的第2層

OSI模型的第2層負(fù)責(zé)把來自第一層的電子脈沖與MAC地址關(guān)聯(lián)到一起。如果配置不正確，這一層就會變成最薄弱的環(huán)節(jié)。對OSI模型第2層的傳輸介質(zhì)進行探測以太網(wǎng)的基本工作原理是這樣的：發(fā)信方發(fā)送出去的信息數(shù)據(jù)將被傳輸?shù)秸麄€網(wǎng)段中的所有結(jié)點，收信方對收到的數(shù)據(jù)進行判斷，如果是發(fā)給自己的信息數(shù)據(jù)將被傳輸?shù)秸麄€網(wǎng)段中的所有結(jié)點，收信方對收到的數(shù)據(jù)進行判斷，如果是發(fā)給自己的就接受下來，如果不是發(fā)給自己的則丟棄掉。也就是說，在目標(biāo)結(jié)點收到發(fā)給他的信息數(shù)據(jù)的同時，同一網(wǎng)段中的其他結(jié)點都會收到同樣的數(shù)據(jù)，同一網(wǎng)段上的說有結(jié)點將“瓜分”這個網(wǎng)段的寬帶和傳輸速度。問題正出在這里。當(dāng)你在共享介質(zhì)上發(fā)送信息數(shù)據(jù)時，在同在一網(wǎng)段上監(jiān)聽著的其它設(shè)備也都會收到你發(fā)出的信息。*黑客攻擊與防范19現(xiàn)在，給予開關(guān)陣列/集線器的Ethernet技術(shù)已成為主流，開光陣列技術(shù)的工作原理是這樣的：建立一份MAC地址表，信息數(shù)據(jù)將通過一塊非常高速的硅芯片被直接發(fā)送到作為其目的地那個MAC地址表去，這種做法的好處是數(shù)據(jù)包將只到達發(fā)信方為他們指定的目的地，不再會被其他人看到（更準(zhǔn)確地說，是不再會被大多數(shù)人看到）。

DugSong編寫的dsniff工具代表著對一種開關(guān)陣列更具致命威脅的技術(shù)。通過把來自某特定主機的所有通信數(shù)據(jù)重定向到一個嗅探系統(tǒng)的辦法，Dug開發(fā)的這個軟件能捕獲到在給予開關(guān)陣列的網(wǎng)絡(luò)中傳輸?shù)耐ㄐ艛?shù)據(jù)。這一技術(shù)很容易對付實施，他徹底顛覆了“開關(guān)陣列可以保證通信安全”的傳統(tǒng)觀念。*黑客攻擊與防范207.5.3對基于開關(guān)陣列的網(wǎng)絡(luò)進行嗅探ARP重定向流行度:4簡單度:2影響力:8風(fēng)險率:5例：我們把三個系統(tǒng)連接到了同一個網(wǎng)絡(luò)集線器。其中，名為crush的系統(tǒng)是默認(rèn)的網(wǎng)關(guān)，它的IP地址是；名為shadow的系統(tǒng)是發(fā)起本次通信的主機，它的IP地址是8；名為twister的系統(tǒng)是攻擊者的系統(tǒng)，它將是這次攻擊活動中的“二傳手”，IP地址是9。主機twister上安裝了dsniff工具包并運行了該工具包里的arpredirect程序。在執(zhí)行arpredirect命令時，twister將冒用crush的名義向shadow發(fā)送了一系列偽造的ARP響應(yīng)，shadow則對自己的ARP地址表進行了刷新以反映crush的信硬件地址。之后，shadow上的某位用戶發(fā)起了與0的FTP和POP會話。可是，shadow并沒有把已被修改成把twister的硬件地址映射到crush的IP地址。因為我們已經(jīng)用fragrouter命令激活了twister的IP轉(zhuǎn)發(fā)功能，讓twister能夠像路由器那樣對所有的數(shù)據(jù)包進行轉(zhuǎn)發(fā)，所以shadow發(fā)出的所有數(shù)據(jù)包將先到達twister、再由twister轉(zhuǎn)發(fā)給0。*黑客攻擊與防范21VLAN跳躍流行度:4簡單度:8影響力:1風(fēng)險率:6虛擬LAN是按某種邏輯人為地在同一物理介質(zhì)上劃分出來的LAN。每個虛擬LAN都會分配到一個自己的VLAN編號。VLAN有時會沿著主干線路擴展到超出單個開關(guān)陣列的范圍。802.1q是與主干線路有關(guān)的一個非專利標(biāo)準(zhǔn)。這里所說的“主干線路”是指把相似的VLAN連接到多個開關(guān)陣列去的線路。TrunkingProtocol（主干線路協(xié)議）是以太網(wǎng)數(shù)據(jù)包需要經(jīng)過主干線路才能到達其目的地時用來封裝那些數(shù)據(jù)包的協(xié)議。

VLAN是一種組網(wǎng)標(biāo)準(zhǔn)，但他們往往會被配置不當(dāng)或被濫用。如果某個主機試圖連接的是某個同網(wǎng)VLAN端口，就不需要增加VLAN標(biāo)頭。這在概念上并無不妥，但在實踐中卻會帶來很大的安全風(fēng)險。假如攻擊者可以訪問到某個同網(wǎng)VLAN端口，他們就將具備“跳躍”到任何一個VLAN的能力。有很多工具能掃描出這種因配置不多而導(dǎo)致的安全弱點。*黑客攻擊與防范22VLANTrunkingProtocol攻擊流行度:4簡單度:8影響力:1風(fēng)險度:6

VTP是一種消息傳輸協(xié)議，它在網(wǎng)絡(luò)中的角色相當(dāng)于電話總機，但某個VTP域里發(fā)生諸如添加、刪除或重命名VLAN之類的事件時，因這些事件而產(chǎn)生的消息將在VTP協(xié)議的管理下傳遍整個VTP域，使這個VTP域里的各有關(guān)設(shè)備都能及時掌握最新的VLAN配置情況。VTP域有一個或多個有著相同VTP域名的網(wǎng)絡(luò)設(shè)備構(gòu)成。因為VTP消息只能經(jīng)由主干端口來傳輸，所以有關(guān)的設(shè)備都必須通過主干線路相互連接。如果攻擊者獲得了對某個主干端口足夠的訪問權(quán)限，他就可以偽裝成一個沒有配置任何VLAN的服務(wù)器發(fā)出VTP消息，這個VTP域里的所有VLAN就都將被刪除。*黑客攻擊與防范237.5.4

OSI模型的第3層DSNIFF嗅探器流行度:9簡單度:8影響力:10風(fēng)險率:9如果想要得到計算機的口令字，可以去購買一個如NAI公司的SnifferProforWindows，但最好的解決方案是先去試試DugSong編寫的dsniff工具（下載地址：/~dugsong/dsniff/）,這個程序是最復(fù)雜的口令字嗅探和數(shù)據(jù)捕獲工具之一。使用明文口令和內(nèi)容的應(yīng)用軟件數(shù)不勝數(shù)，應(yīng)用或者是直接使用了明文用戶名和口令字，或者是所有使用的加密/編碼/變形技術(shù)強度弱的很容易被破譯。正是他們使得dsniff工具大出風(fēng)頭。要想在Windows系統(tǒng)上使用dsniff工具，你還需要安裝winpcapNDIS插件才行。除口令字嗅探工具dsniff外，工具包里還收錄了mailsnarf和webspy等其他幾個工具。mailsnarf工具可以把網(wǎng)絡(luò)線路上的所有電子郵件數(shù)據(jù)包重新組合到一起并把一封電子郵件的完整內(nèi)容顯示在屏幕上，webspy是一個很了不起的工具，它能動態(tài)刷新你的web瀏覽器窗口，而顯示在這個窗口里的內(nèi)容卻是你正用webspy工具監(jiān)控著的那個人此時正在瀏覽的網(wǎng)頁。*黑客攻擊與防范24Ettercap工具流行度:9簡單度:8影響力:8風(fēng)險率:9

Ettercap（下載地址：

）是最了不起的網(wǎng)絡(luò)通信管理工具之一，即便是一位入門級的黑客，也可以在這個工具的幫助下輕松完成對數(shù)據(jù)包的多種嗅探和復(fù)雜處理。Ettercap可以進行全雙工嗅探和無縫數(shù)據(jù)插入，而這些工作都可以在一個圖形化界面里完成。要是讓我們來為全體網(wǎng)絡(luò)管理員列出一份十大敵人名單的話，Ettercap工具絕對榜上有名。

Tcpdump嗅探器流行度:9簡單度:8影響力:8風(fēng)險度:9

Tcpdump是最流行的網(wǎng)絡(luò)通信嗅探器之一。它可以用來顯示數(shù)據(jù)包的標(biāo)頭或是分類查看到各種網(wǎng)絡(luò)通信標(biāo)頭和全部內(nèi)容。這個工具的善意用途包括追蹤網(wǎng)絡(luò)故障、監(jiān)測“ping攻擊”或監(jiān)控網(wǎng)絡(luò)活動等。*黑客攻擊與防范257.5.5配置失誤低級的配置失誤是導(dǎo)致信息安防漏洞的主要原因之一。經(jīng)硬化處理的軟件、加密和強口令字根本無法堵住因忽略了基礎(chǔ)性的安防工作而敞開的虛擬大門。對MIB信息快進行讀/寫流行度:2簡單度:8影響力:9風(fēng)險率:6大多數(shù)網(wǎng)絡(luò)設(shè)備都支持對MIB的讀/寫，即只要知道了有關(guān)設(shè)備的通行字，任何人都可以通過TFTP把路由器或開關(guān)列陣設(shè)備的配置文件下載到自己的機器里。Cisco設(shè)備的用戶們習(xí)慣把這個配置文件成為“OLD-CISCO-SYS-MIB”。此外，因為Cisco口令字文件往往是一種弱加密算法加密到這個文件里，所以攻擊者可以輕易地解密它并用它去配置有關(guān)的路由器或開關(guān)陣列設(shè)備。*黑客攻擊與防范267.5.6針對各種路由器分配協(xié)議的攻擊手段控制著數(shù)據(jù)及其流動情況的各種路由分配協(xié)議是非常有利可圖的攻擊目標(biāo)。在開始之前，先要準(zhǔn)備好工具。根據(jù)操作系統(tǒng)平臺，我們推薦以下兩種工具：

http://www.ntsecurity.nu/toolbox/rpak/

http://www.phenoelit.de/irpas/RIP欺詐流行度:4簡單度:4影響力:10風(fēng)險率:6找出目標(biāo)網(wǎng)絡(luò)里的各個路由設(shè)備之后，高水平的攻擊者往往還會進一步確定那些路由器支持RoutingInformationProtocol（RIP，路由信息協(xié)議）v1(RFC1058)或RIPv2（RFC1723）。因為RIP很容易上當(dāng)受騙,攻擊者可以輕而易舉地向RIP路由發(fā)送數(shù)據(jù)包，控制它向一個未經(jīng)授權(quán)的網(wǎng)絡(luò)或系統(tǒng)而不是真正的目的地系統(tǒng)發(fā)送數(shù)據(jù)包。*黑客攻擊與防范277.5.7利用網(wǎng)絡(luò)管理協(xié)議發(fā)動的攻擊

黑客們利用各種網(wǎng)絡(luò)管理協(xié)議中的安防漏洞去攻擊網(wǎng)絡(luò)設(shè)備的事件曾出不窮，其中危害最大、影響最為深遠(yuǎn)的當(dāng)屬各種SNMP漏洞。因為激活所有供應(yīng)商生產(chǎn)的網(wǎng)絡(luò)設(shè)備都或多或少地提供了某種SNMP服務(wù)。只要在一家供應(yīng)商的產(chǎn)品里發(fā)現(xiàn)一個SNMP漏洞，其他供應(yīng)商的產(chǎn)品也幾乎無一幸免，而支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備供應(yīng)商起碼可以數(shù)出幾十家。

SNMP請求和自陷處理流行度:4簡單度:1影響力:9風(fēng)險度:5

SNMP請求和自陷漏洞是2002年2月被公諸于世的兩種SNNP安防缺陷。這兩種漏洞的全稱是“多家供應(yīng)商的SNMP自陷處理漏洞”和“多家供應(yīng)商的SNMP請求處理漏洞”。工作原理：讓SNMP守護進程的“請求”緩沖區(qū)發(fā)生緩沖出并在目標(biāo)系統(tǒng)上打開一個等待外來連接請求的shell。這樣一來，我們就能通過我們選擇的某個端口號碼使用netcat工具進入那個處于監(jiān)聽狀態(tài)的命令shell，我們將在目標(biāo)系統(tǒng)上獲得root用戶和whell用戶組的權(quán)限。*黑客攻擊與防范287.6小結(jié)按OSI網(wǎng)絡(luò)模型逐層地對網(wǎng)絡(luò)安防問題進行分析。在逐層介紹一些具體的新鮮方漏洞的同時，還對每一層上報互不周的網(wǎng)絡(luò)資源可能導(dǎo)致整個網(wǎng)絡(luò)以及其中的數(shù)據(jù)全面受控于攻擊者的問題進行了探討。只有在采取了適當(dāng)?shù)木W(wǎng)絡(luò)硬化、監(jiān)控和升級措施之后，才能放心地使用我們的網(wǎng)絡(luò)。*黑客攻擊與防范29*黑客攻擊與防范30第8章無線攻擊無線計算已成為市場中炙手可熱的寵兒；與無線通信有關(guān)的新技術(shù)、新功能和新安全漏洞也隨之發(fā)展到一個新的高度。在1999年，世界各地共有140萬無線局域網(wǎng)（wirelesslocalareanetwork,WLAN）用戶。但在一年之后，這個數(shù)字就達到了490萬，翻了約4倍。預(yù)測這個數(shù)字將一直增長到2006年，WLAN用戶的總?cè)藬?shù)預(yù)計將達到5600萬。*黑客攻擊與防范318.1無線踩點無線網(wǎng)絡(luò)和無線接入點（accesspoint，AP）可以說是最簡單和最廉價的踩點目標(biāo)。無線偵察曾經(jīng)是一臺膝上電腦加一塊無線網(wǎng)卡再加一套NetworkStumbler(也叫做NetStumbler)軟件這樣一種簡單配置的同義詞。但如今的無線偵察裝置已變得越來越復(fù)雜，高性能天線加無線網(wǎng)卡加掌上計算設(shè)備（比如iPAQ的Palm）已成為主流。對無線設(shè)備進行踩點有兩種辦法：一種是被動地監(jiān)聽AP廣播標(biāo)識，另一種是主動發(fā)出客戶標(biāo)識并等待AP做出響應(yīng)。設(shè)備性能的高低會對結(jié)果產(chǎn)生巨大的影響。*黑客攻擊與防范32無線網(wǎng)卡在挑選網(wǎng)卡時候，一定要把他們對使用的要求和限制弄清楚。AirPeekNX是Windows環(huán)境里唯一值得一提的無線嗅探工具。支持無線攻擊工具、驅(qū)動程學(xué)和嗅探器最廣的操作系統(tǒng)非Linux莫屬。天線在組裝你的偵察系統(tǒng)時，尋找和安裝一個合適的天線可能是最麻煩的事情，這點一定要有心理準(zhǔn)備。（下圖是幾種偵察天線）

*黑客攻擊與防范33無線偵察軟件無線偵察軟件對硬件和軟件環(huán)境有一定的要求，安裝工作相對復(fù)雜，因為無線偵察軟件需要有一個GPS單元去確定AP和筆記本電腦的地理位置，還需要調(diào)用AP身份驗證軟件。本章常見縮略語：

SSID是ServiceSetIdentifier（服務(wù)集標(biāo)識符）的縮寫，它是用來區(qū)分一個接入點與另一個接入點的標(biāo)識符；可以把它當(dāng)做無線網(wǎng)絡(luò)的DNS域名來看待。

MAC是MediaAccessControl（介質(zhì)訪問控制）的縮寫，它是用來獨一無二標(biāo)識出網(wǎng)絡(luò)中各個結(jié)點的地址。在WLAN網(wǎng)絡(luò)里，可以把其當(dāng)做客戶訪問控制的源地址來使用。

IV是InitializationVector（初始化向量）的縮寫，WEP（意思是“與有線網(wǎng)絡(luò)等效的隱私保護”）數(shù)據(jù)包的IV緊跟在802.11標(biāo)頭的后面，IV的用途之一是配合共享密鑰對數(shù)據(jù)包的數(shù)據(jù)部分進行加密。*黑客攻擊與防范34NetStumbler工具流行度:9簡單度:9影響力:9風(fēng)險率:9

NetStumbler（）是一個基于WINDOWS的無線偵察工具，它可以探測無線網(wǎng)絡(luò)并在一個GPS系統(tǒng)的配合下把他們的相對位置標(biāo)注出來。該軟件是第一個可以從公共渠道獲得的無線偵察軟件，它能夠?qū)o線數(shù)據(jù)包的802.11標(biāo)頭和IV字段進行分析并從中提取出SSID、MAC地址、WEP使用情況、WEP密鑰長度、信號范圍以及無線接入點設(shè)備制造商。

Kismet嗅探器流行度:8簡單度:7影響力:9風(fēng)險率:8

Kismet（）是一個基于LINUX和BSD的無線嗅探器，但它同時也具備無線偵察功能。該軟件包中工具還可把嗅探到的結(jié)果繪制成一幅地圖。*黑客攻擊與防范35把無線網(wǎng)絡(luò)標(biāo)在地圖上在發(fā)現(xiàn)無線網(wǎng)絡(luò)的接入點以后，就可以根據(jù)收集到的網(wǎng)絡(luò)配置信息和GPS數(shù)據(jù)把它們標(biāo)在地圖上。再根據(jù)“距離一個接入點越近，它的信號就越強”的假設(shè)，就可以推測出接入點的地理位置。

GPSMAP工具流行度:3簡單度:5影響力:2風(fēng)險率:3

GPSMAP工具是Kismet無線監(jiān)控軟件包的一個組成部分。這個工具可以導(dǎo)入Kismet程序生成的.gps和.network文件，再根據(jù)這些文件里的數(shù)據(jù)把無線網(wǎng)絡(luò)的位置標(biāo)注在各種來源的地圖上。GPSMAP是功能最為豐富的無線網(wǎng)絡(luò)偵察地圖生成工具，它為每一個接入點都提供了很多種繪圖選項。它可以根據(jù)各個網(wǎng)絡(luò)的估計覆蓋范圍、功率輸出、信號分布情況或是所有這些因素把地圖繪制出來。*黑客攻擊與防范36JiGLE工具流行度:2簡單度:6影響力:2風(fēng)險率:3

JiELE（)是一個用來檢索WiGLE.net無線網(wǎng)絡(luò)信息數(shù)據(jù)的客戶端Jave程序（如下圖），WiGLE.net目前已經(jīng)把超過160000個無線網(wǎng)絡(luò)收錄到了它的數(shù)據(jù)庫里。*黑客攻擊與防范378.2無線掃描和查點鎖定并穿刺某個系統(tǒng)的第二和第三階段將是掃描和查點。在針對無線網(wǎng)絡(luò)的穿刺活動中，無線掃描和查點合并為一個步驟進行介紹。在無線偵察階段，可探查出無線網(wǎng)絡(luò)的接入點和一些關(guān)于他們的重要信息。在你收集到的關(guān)于某個無線接入點的各種信息當(dāng)中，最重要的就是SSID了。下一個工作將是確定并歸類整理你從WLAN哪里嗅探到的數(shù)據(jù)，即按照不同的接入點和不同的AP客戶端程序?qū)?shù)據(jù)進行邏輯分類。*黑客攻擊與防范388.2.1無線嗅探器無線嗅探器與“有線”嗅探器在對數(shù)據(jù)包實際破解和分析的時候完全沒有區(qū)別。這兩大類嗅探器之間的唯一區(qū)別是無線嗅探器還可以讀取和分析帶有802.11標(biāo)頭和IV等額外信息的無線數(shù)據(jù)包。能夠使用一塊工作在雜收模式下的網(wǎng)卡去捕獲數(shù)據(jù)包的網(wǎng)絡(luò)嗅探器有很多，但能夠捕獲無線數(shù)據(jù)包的無線嗅探器并不多見。*黑客攻擊與防范39Mognet工具流行度:4簡單度:7影響力:2風(fēng)險度:5

Mognet軟件是一個完全用Java編寫出來的802.11b無線嗅探工具。這個工具的特色之一是能夠以近乎實時的方式捕獲無線數(shù)據(jù)包并把結(jié)果顯示在Java窗體里。它的輸出內(nèi)容包括：數(shù)據(jù)包的類型、源MAC地址、目的MAC地址、相關(guān)的SSID等。（如下圖）*黑客攻擊與防范408.2.2無線監(jiān)控工具工具的安裝過程相對都比較簡單，他們的復(fù)雜性體現(xiàn)在他們對數(shù)據(jù)包的分析能力方面。如果想詳細(xì)了解某個軟件或是工具，請自行訪問它的主頁。

tcpdump工具流行度:7簡單度:6影響力:7風(fēng)險度:7

tcpdump是一個標(biāo)準(zhǔn)的UNIX網(wǎng)絡(luò)監(jiān)控工具，它能夠?qū)^新版本的802.11標(biāo)頭信息進行解析。

tcpdump工具比較常用的一個命令行選項是“-e”,他可以把被捕獲的數(shù)據(jù)包的各個幀控制字段、數(shù)據(jù)包長度以及802.11標(biāo)頭里負(fù)責(zé)構(gòu)成BSSID和目的地MAC地址的所有地址字段解析出來并顯示在輸出報告里。

Ethereal工具流行度:9簡單度:6影響力:7風(fēng)險度:8

Ethereal是一個基于UNIX和Windows的網(wǎng)絡(luò)監(jiān)控工具。這個工具在Windows系統(tǒng)上不具備直接捕獲802.11數(shù)據(jù)包的能力，但能讀取tcpdump或Ethereal工具的UNIX版本所生成的捕獲文件格式。*黑客攻擊與防范418.3查明目標(biāo)無線網(wǎng)絡(luò)已采取的防御措施與對待其他的網(wǎng)絡(luò)和系統(tǒng)級潛在目標(biāo)一樣，WLAN、AP和無線客戶也需要首先確定目標(biāo)系統(tǒng)的類型、它們的坐落位置以及它們的具體配置。學(xué)習(xí)本章，需要對下述知識有一定的了解。數(shù)據(jù)加密技術(shù)和密鑰管理方面的基礎(chǔ)知識：

它是查找密碼學(xué)研究論文、加密算法分析報告以及系統(tǒng)地學(xué)習(xí)這方面知識的絕佳去處。

/docs/manuals/security/pkin/contents.htm是從入門知識開始學(xué)習(xí)公開密鑰密碼學(xué)的好地方。

/~csmma/

一個由MichaelAnshel教授提供的學(xué)術(shù)性資源，可以在那里找到對幾乎所有加密技術(shù)的鏈接。*黑客攻擊與防范428.3.1

SSID如果想鏈接到一個無線網(wǎng)絡(luò)，需要提供的第一項信息就是SSID。802.11網(wǎng)絡(luò)是通過SSID來區(qū)分不同BSS的。SSID很容易收集。本章前面所介紹的所有無線偵察軟件都能為你報告無線網(wǎng)絡(luò)的SSID或“網(wǎng)絡(luò)名”。如果目標(biāo)接入點會對一個BroadcastSSIDProbe（廣播SSID偵察）請求做出響應(yīng)，絕大數(shù)無線網(wǎng)卡驅(qū)動程序都可以讓其SSID已提前被配置為“ANY”的系統(tǒng)加入那個無線網(wǎng)絡(luò)。把SSID配置為發(fā)送到廣播地址，使周圍區(qū)域內(nèi)所有會對這種請求作出響應(yīng)的接入點發(fā)出一個包含著網(wǎng)絡(luò)配置信息的802.11ProbeResponse（偵察響應(yīng)）數(shù)據(jù)包做為響應(yīng)。*黑客攻擊與防范438.3.2基于MAC地址的訪問控制機制雖然沒有在802.11標(biāo)準(zhǔn)里得到定義，大多數(shù)無線設(shè)備制造商都給它們的產(chǎn)品增加了基于MAC地址的訪問控制機制以彌補802.11與生俱來的安全弱點。在使用這類機制的時候，網(wǎng)絡(luò)管理員需要定義一個“允許”客戶MAC地址表，只有MAC地址被列在這個表里的客戶系統(tǒng)才允許與相應(yīng)的接入點建立連接。這對小型無線網(wǎng)絡(luò)來說還算得上是一種靈活的訪問控制機制，但因為它需要網(wǎng)絡(luò)管理員追蹤所有無線客戶的MAC地址，在大型網(wǎng)絡(luò)上就會是一種負(fù)擔(dān)了。MAC地址也并不能提供一種良好的安防機制，因為它很容易被探測和復(fù)制。攻擊者只需簡單地監(jiān)控著目標(biāo)網(wǎng)絡(luò)并等到某位合法用戶成功地與接入點建立連接，就可以把他自己的MAC地址修改成與那位合法用戶相匹配。*黑客攻擊與防范44govid11工具流行度:7簡單度:6影響力:8風(fēng)險度:7

WLSec公司的govid11軟件是一個比較流行的開放源代碼工具，這個工具可以用來進行一些基本的802.11攻擊。簡單地說，govid11工具可以進行兩種攻擊：“反身份驗證”和“身份驗證”攻擊?！吧矸蒡炞C”可以通過向無線接入點發(fā)出大量身份驗證請求的辦法使之“拒絕服務(wù)”（DoS），這種DoS是一種CPU資源消耗攻擊?！胺瓷矸蒡炞C”攻擊可以使整個無線網(wǎng)絡(luò)發(fā)生“拒絕服務(wù)”。是這些致命的攻擊手段當(dāng)中，最常見的是通過偽造BSSID字段制造出大量“合法”數(shù)據(jù)包，讓網(wǎng)絡(luò)把受到攻擊的系統(tǒng)或用戶“踢”出網(wǎng)絡(luò)。

*黑客攻擊與防范458.4獲得訪問權(quán)限（802.11協(xié)議）在無線通信和802.11領(lǐng)域，獲得某個系統(tǒng)的訪問權(quán)限與“有線”系統(tǒng)上的同等情況相比是有很大差異的。在很多場合，因為如果得不到強有效的WEP加密，弱口令字本身和用弱口令加了密的傳輸數(shù)據(jù)都很容易被攻擊者破解。要是再讓攻擊者弄到了AP的WEP密鑰，整個WLAN就等于是被刺穿了。不過，要想獲得有價值的訪問權(quán)限，水平再高的攻擊者也必須收集到足夠數(shù)量的有價值的通信信息才行。在獲得SSID之后，需要重新配置無線網(wǎng)卡才能使用它。*黑客攻擊與防范468.4.1書改變無線網(wǎng)卡的MAC地址在收集到一組可用的MAC地址之后，需要重新配置系統(tǒng)才能使用一個新的MAC地址。對于Windows系統(tǒng)，這往往取決于網(wǎng)卡的驅(qū)動程序。很多制造商現(xiàn)在已經(jīng)禁用了這種能力。有幾個工具程序可以解決這個問題—由BlackWave開發(fā)的Bwmachak工具就是其中之一。Bwmachak工具可以把Orinoco無線網(wǎng)卡的MAC地址改為所指定的那個。

WiredEquivalentPrivacy（WEP，意思是“與有線網(wǎng)絡(luò)等效的隱私保護”）是IEEE為了給802.11網(wǎng)絡(luò)在OSI網(wǎng)絡(luò)模型的第2層提供一種保護機制而制定的一項標(biāo)準(zhǔn)。WEP算法所使用的密鑰是由AP和無線客戶節(jié)點共享的，而最常見的無線客戶結(jié)點是筆記本電腦里的一塊無線網(wǎng)卡。WEP將使用這個密鑰對通信節(jié)點之間的所有往來數(shù)據(jù)進行加密。*黑客攻擊與防范478.4.2

WEP算法的安全弱點

就在設(shè)備制造商在無線AP和網(wǎng)卡上引入和實現(xiàn)WEP算法之后不久，就出現(xiàn)了幾種以它為目標(biāo)的攻擊手段?；诟鞣N蠻力破解技術(shù)的攻擊手段占了絕大多數(shù)。這類技術(shù)可以讓攻擊者對整個密鑰集中的所有可能性進行測試已從中找出唯一的正確答案。蠻力破解共享密鑰是典型的主動式攻擊手法，但以WEP算法為目的的主動式攻擊手段幾乎都不把破解共享密鑰作為重點。這類主動式攻擊手段所關(guān)注的是如何把數(shù)據(jù)包注射到當(dāng)前的802.11流里去。如果目標(biāo)網(wǎng)絡(luò)未啟用WEP，發(fā)動數(shù)據(jù)包注射攻擊易如反掌。*黑客攻擊與防范488.4.3讓W(xué)EP更安全包括Cisco、Orinoco和Intel等公司在內(nèi)的多家制造商已經(jīng)開發(fā)出了一種比無線設(shè)備的固件更安全的實現(xiàn)WEP算法和密鑰管理功能的新技術(shù)。在如何讓W(xué)EP更安全方面，這些設(shè)備制造商給出了這樣的解決方案：無線客戶必須通過一個證書服務(wù)器來證明自己是某個無線網(wǎng)絡(luò)的合法用戶。身份驗證成功之后，用戶將通過一個加密VPN通道加入網(wǎng)絡(luò)。這種安防措施與某些小公司推出的使用SSL或IPSec通道傳輸WEP通信的無線VPN解決方案并沒有太大的區(qū)別。新增的應(yīng)用層和傳輸層加密機制為數(shù)據(jù)提供了更多的保護。在這個解決方案里，IVg還是明文，IV的隨機分布性也仍不能令人滿意。*黑客攻擊與防范498.5以WEP為目標(biāo)的黑客工具

利用各種WEP安全弱點為害的黑客工具有的能自動完成某種攻擊，有的則是幫助其他黑客工具完成某種自動攻擊。這類工具中的絕大數(shù)都同時使用了數(shù)據(jù)包破解技術(shù)。

AirSnort工具流行度:8簡單度:7影響力:9風(fēng)險率:8

AirSnort是一個由多腳本和程序構(gòu)成的黑客工具包，是最流行和最出名的LINUX工具。它最初只是一個基于LINUX的命令工具，僅能捕獲802.11b無線數(shù)據(jù)包和利用IV的安全弱點去破解數(shù)據(jù)包?，F(xiàn)在的它不僅有了一個GUI操作界面還具備了設(shè)定WEP密鑰強度的能力。

DWEPCrack工具流行度:5簡單度:4影響力:9風(fēng)險率:6

DWEPCrack是一個專門用來在BSD平臺上破解WEP加密數(shù)據(jù)包的工具，該工具是功能最為齊全的工具之一。它可以讓黑客利用無線網(wǎng)絡(luò)體系結(jié)構(gòu)中的其它安全弱點發(fā)動攻擊。除WEP密鑰外，該工具的蠻力破解算法還可以對MAC地址的密鑰空間進行蠻力破解以達到非法接入某個AP的目的。*黑客攻擊與防范508.6

LEAP攻擊

LEAP無線技術(shù)是由CiscoSystems公司于2000年12月最先提出和引入市場的。Cisco的LEAP技術(shù)是一種用于無線網(wǎng)絡(luò)的802.1X身份驗證機制，LEAP默認(rèn)支持雙向身份驗證和數(shù)據(jù)加密。與大多數(shù)其它的身份驗證機制不同，LEAP在實際進行身份驗證時需要使用一個遠(yuǎn)程RADIUS服務(wù)器。此外，LEAP使用一個高強度的登陸口令作為數(shù)據(jù)加密操作的“共享私用密鑰”，在加密時還會動態(tài)的向每個用戶的每次會話分別提供一個加密密鑰。

Asleap工具流行度:7簡單度:6影響力:5風(fēng)險率:6

Asleap可以通過RFMON模式從它支持的無線網(wǎng)卡實時讀取通信數(shù)據(jù)包。并把嗅探到的信息實時地顯示給使用者。該工具的特色功能是可能配合Air-Jac