第九章 無線攻擊

作者：Willie L. Pritchett, David De Smet

譯者：飛龍

協議：CC BY-NC-SA 4.0

簡介

當今，無線網絡隨處可見。由于用戶四處奔走，插入以太網網線來獲取互聯網訪問的方式非常不方便。無線網絡為了使用便利要付出一些代價；它并不像以太網連接那樣安全。這一章中，我們會探索多種方式來操縱無線網絡流量，這包括移動電話和無線網絡。

9.1 WEP 無線網絡破解

WEP（無線等效協議）于 1999 年誕生，并且是用于無線網絡的最古老的安全標準。在 2003 年，WEP 被 WPA 以及之后被 WPA2 取代。由于可以使用更加安全的協議，WEP 加密很少使用了。實際上，推薦你永遠不要使用 WEP 加密來保護你的網絡。有許多已知的方式來攻擊 WEP 加密，并且我們在這個秘籍中會探索這些方式之一。

這個秘籍中，我們會使用 AirCrack 套件來破解 WEP 密碼。 AirCrack 套件（或 AirCrack NG）是 WEP 和 WPA 密碼破解程序，它會抓取無線網絡封包，分析它們，使用這些數據來破解 WEP 密碼。

準備

為了執行這個秘籍中的任務，需要Kali 終端窗口的經驗。也需要受支持的配置好的無線網卡，用于封包注入。在無線網卡的例子中，封包注入涉及到發送封包，或將它注入到雙方已經建立的連接中。請確保你的無線網卡允許封包注入，因為并不是所有無線網卡都支持它。

操作步驟

讓我們開始使用 AirCrack 來破解WEP 加密的網絡會話。

1. 打開終端窗口，并產生無線網絡接口的列表：

   airmon-ng
   

2. 在interface列下，選擇你的接口之一。這里，我們使用wlan0。如果你的接口不同，例如mon0，請將每個提到wlan0的地方都換成它。

3. 下面，我們需要停止wlan0接口，并把它關閉，便于我們接下來修改 MAC 地址。

   airmon-ng stop 
   ifconfig wlan0 down
   

4. 下面，我們需要修改我們接口的 MAC 地址。由于機器的 MAC 地址會在任何網絡上標識你的存在，修改機器的標識允許我們隱藏真正的 MAC 地址。這里，我們使用00:11:22:33:44:55。

   macchanger --mac 00:11:22:33:44:55 wlan0 
   

5. 現在我們需要重啟airmon-ng。

   airmon-ng start wlan0
   

6. 下面，我們會使用airodump來定位附近的可用無線網絡。

   airodump-ng wlan0 
   

7. 這會出現可用無線網絡的列表。一旦你找到了你想要攻擊的網絡，按下Ctrl + C來停止搜索。選中BSSID列中的 MAC 地址，右擊你的鼠標，并且選擇復制。同時，把網絡正在發送哪個頻道的信號記錄下載。你會在Channel列中找到這個信息。這里，這個頻道是10。

8. 現在運行airodump，并且將所選BSSID的信息復制到文件中。我們會使用下列選項：

   • -c允許我們選擇頻道。這里我們選擇10。

   • -w允許我們選擇文件名稱。這里我們選擇wirelessattack。

   • -bssid允許我們選擇我們的BSSID。這里，我們從剪貼板上粘貼09:AC:90:AB:78。

   airodump-ng –c 10 –w wirelessattack --bssid 09:AC:90:AB:78 wlan0 
   

9. 新的窗口會打開，并展示這個命令的輸出。保持這個窗口開著。

10. 打開另一個終端窗口，為了嘗試組合它們，我們運行aireplay。它擁有下列語法：aireplay-ng -1 0 –a [BSSID] –h [our chosen MAC address] –e [ESSID] [Interface]。

    aireplay-ng -1 0 -a 09:AC:90:AB:78 –h 00:11:22:33:44:55 –e backtrack wlan0
    

11. 下面，我們發送一些流量給路由器，便于捕獲一些數據。我們再次使用aireplay，以下列格式：aireplay-ng -3 –b [BSSID] – h [Our chosen MAC address] [Interface]。

    aireplay-ng -3 –b 09:AC:90:AB:78 –h 00:11:22:33:44:55 wlan0
    

12. 你的屏幕會開始被流量填滿。將它運行一到兩分鐘，直到你擁有了用來執行破解的信息。

13. 最后我們運行 AirCrack 來破解 WEP 密碼。

    aircrack-ng –b 09:AC:90:AB:78 wirelessattack.cap 
    

    這就結束了。

工作原理

在這個秘籍中，我們使用了 AirCrack 套件來破解無線網絡的 WEP 密碼。AirCrack 是最流行的 WEP 破解工具之一。AirCrack 通過收集 WEP 無線連接的封包來工作，之后它會通過算術分析數據來破解 WEP 加密密碼。我們通過啟動 AirCrack 并選擇我們想要的接口來開始。下面，我們修改了 MAC 地址，這允許我們修改互聯網上的身份，之后使用airodump搜索可用的無線網絡來攻擊。一旦我們找到了打算攻擊的網絡，我們使用aireplay來將我們的機器與正在攻擊的無線設備的 MAC 地址關聯。我們最后收集到了一些流量，之后暴力破解生成的 CAP 文件來獲得無線密碼。

5.2 WPA/WPA2 無線網絡破解

WPA（無線保護訪問）于 2003 年誕生，并且為保護無線網絡和取代過時的舊標準 WEP 而創建。WEP 被 WPA 以及之后的 WPA2 代替。由于存在更加安全的協議，WEP 很少使用了。

這個秘籍中，我們會使用 AirCrack 套件來破解 WPA 密碼。 AirCrack 套件（或 AirCrack NG）是 WEP 和 WPA 密碼破解程序，它抓取網絡封包，分析它們，并使用這些數據破解 WPA 密碼。

準備

為了執行這個秘籍中的任務，需要Kali 終端窗口的經驗。也需要受支持的配置好的無線網卡，用于封包注入。在無線網卡的例子中，封包注入涉及到發送封包，或將它注入到雙方已經建立的連接中。

操作步驟

讓我們開始使用 AirCrack 來破解WEP 加密的網絡會話。

1. 打開終端窗口，并產生無線網絡接口的列表：

   airmon-ng
   

2. 在interface列下，選擇你的接口之一。這里，我們使用wlan0。如果你的接口不同，例如mon0，請將每個提到wlan0的地方都換成它。

3. 下面，我們需要停止wlan0接口，并把它關閉，便于我們接下來修改 MAC 地址。

   airmon-ng stop 
   ifconfig wlan0 down
   

4. 下面，我們需要修改我們接口的 MAC 地址。由于機器的 MAC 地址會在任何網絡上標識你的存在，修改機器的標識允許我們隱藏真正的 MAC 地址。這里，我們使用00:11:22:33:44:55。

   macchanger --mac 00:11:22:33:44:55 wlan0 
   

5. 現在我們需要重啟airmon-ng。

   airmon-ng start wlan0
   

6. 下面，我們會使用airodump來定位附近的可用無線網絡。

   airodump-ng wlan0 
   

7. 這會出現可用無線網絡的列表。一旦你找到了你想要攻擊的網絡，按下Ctrl + C來停止搜索。選中BSSID列中的 MAC 地址，右擊你的鼠標，并且選擇復制。同時，把網絡正在發送哪個頻道的信號記錄下載。你會在Channel列中找到這個信息。這里，這個頻道是10。

8. 現在運行airodump，并且將所選BSSID的信息復制到文件中。我們會使用下列選項：

   • -c允許我們選擇頻道。這里我們選擇10。

   • -w允許我們選擇文件名稱。這里我們選擇wirelessattack。

   • -bssid允許我們選擇我們的BSSID。這里，我們從剪貼板上粘貼09:AC:90:AB:78。

   airodump-ng –c 10 –w wirelessattack --bssid 09:AC:90:AB:78 wlan0 
   

9. 新的窗口會打開，并展示這個命令的輸出。保持這個窗口開著。

10. 打開另一個終端窗口，為了嘗試組合它們，我們運行aireplay。它擁有下列語法：aireplay-ng -1 0 –a [BSSID] –h [our chosen MAC address] –e [ESSID] [Interface]。

    Aireplay-ng --deauth 1 –a 09:AC:90:AB:78 –c 00:11:22:33:44:55 wlan0 
    

11. 最后我們運行 AirCrack 來破解 WEP 密碼。-w選項允許我們指定單詞列表的位置。我們使用事先命名的.cap文件。這里，文件名稱是wirelessattack.cap。

    Aircrack-ng –w ./wordlist.lst wirelessattack.cap
    

    這就結束了。

工作原理

在這個秘籍中，我們使用了 AirCrack 套件來破解無線網絡的 WPA 密碼。AirCrack 是最流行的 WPA 破解工具之一。AirCrack 通過收集 WPA 無線連接的封包來工作，之后它會通過算術分析數據來破解 WPA 加密密碼。我們通過啟動 AirCrack 并選擇我們想要的接口來開始。下面，我們修改了 MAC 地址，這允許我們修改互聯網上的身份，之后使用airodump搜索可用的無線網絡來攻擊。一旦我們找到了打算攻擊的網絡，我們使用aireplay來將我們的機器與正在攻擊的無線設備的 MAC 地址關聯。我們最后收集到了一些流量，之后暴力破解生成的 CAP 文件來獲得無線密碼。

9.3 無線網絡自動化破解

這個秘籍中我們會使用 Gerix 將無線網絡攻擊自動化。Gerix 是AirCrack的自動化 GUI。Gerix 默認安裝在 Kali Linux 中，并且能夠加速我們的無線網絡破解過程。

準備

為了執行這個秘籍中的任務，需要Kali 終端窗口的經驗。也需要受支持的配置好的無線網卡，用于封包注入。在無線網卡的例子中，封包注入涉及到發送封包，或將它注入到雙方已經建立的連接中。

操作步驟

讓我們開始使用 Gerix 進行自動化的無線網絡破解。首先下載它：

1. 使用wget，訪問下面的網站并下載 Gerix：

   wget https://bitbucket.org/Skin36/gerix-wifi-cracker-pyqt4/ downloads/gerix-wifi-cracker-master.rar
   

2. 文件下載好之后，我們需要從 RAR 文件中解壓數據。

   unrar x gerix-wifi-cracker-master.ra
   

3. 現在，為了保持文件一致，讓我們將 Gerix 文件夾移動到/usr/share目錄下，和其它滲透測試工具放到一起。

   mv gerix-wifi-cracker-master /usr/share/gerix-wifi-cracker
   

4. 讓我們訪問 Gerix 所在的目錄：

   cd /usr/share/gerix-wifi-cracker
   

5. 我們鍵入下列命令來啟動 Gerix：

   python gerix.py
   

6. 點擊Configuration（配置）標簽頁。

7. 在Configuration標簽頁中，選擇你的無線接口。

8. 點擊Enable/Disable Monitor Mode（開啟/停止監控器模式）按鈕。

9. 在監控模式啟動之后，在Select Target Network（選擇目標網絡）下面，點擊Rescan Networks（重新掃描網絡）按鈕。

10. 目標網絡的列表會填滿。選擇無線網絡作為目標。這里，我們選擇了 WEP 加密的網絡。

11. 點擊 WEP 標簽頁。

12. 在Functionalities（功能）中，點擊Start Sniffing and Logging（開啟嗅探和記錄）按鈕。

13. 點擊 WEP Attacks (No Client)（WEP 攻擊 無客戶端）子標簽頁。

14. 點擊Start false access point authentication on victim（開啟目標上的偽造接入點驗證）按鈕。

15. 點擊Start the ChopChop attack（開始斷續攻擊）按鈕。

16. 在打開的終端窗口中，對Use this packet（使用這個封包）問題回答Y。

17. 完成之后，復制生成的.cap文件。

18. 點擊Create the ARP packet to be injected on the victim access point（創建注入到目標接入點的 ARP 封包）按鈕。

19. 點擊Inject the created packet on victim access point（將創建的封包注入到目標接入點）按鈕。

20. 在打開的終端窗口中，對Use this packet問題回答Y。

21. 收集了大約 20000 個封包之后，點擊Cracking（破解）標簽頁。

22. 點擊Aircrack-ng – Decrypt WEP Password（解密 WEP 密碼）按鈕。

    這就結束了。

工作原理

這個秘籍中，我們使用了 Gerix 來自動化破解無線網絡，為獲得 WEP 密碼。我們以啟動 Gerix 并開啟監控模式接口來開始這個秘籍。下面，我們從由 Gerix 提供的攻擊目標的列表中選擇我們的目標。在我們開始嗅探網絡流量之后，我們使用 Chop Chop 來生成 CAP 文件。我們最后以收集 20000 個封包并使用 AirCrack 暴力破解 CAP 文件來結束這個秘籍。

使用 Gerix，我們能夠自動化破解 WEP 密碼的步驟，而不需要手動在終端窗口中鍵入命令。這是一種非常棒的方式，能夠快速高效地破解 WEP 加密的網絡。

9.4 使用偽造接入點連接客戶端

這個秘籍中，我們會使用 Gerix 來創建并設置偽造接入點（AP）。建立偽造接入點讓我們能夠收集每個連接它的計算機的信息。人們通常會為了便利而犧牲安全。連接到開放無線接入點并發送簡短的電子郵件，或登錄到社交網絡中非常方便。Gerix 是 AirCrack 的自動化 GUI。

準備

為了執行這個秘籍中的任務，需要Kali 終端窗口的經驗。也需要受支持的配置好的無線網卡，用于封包注入。在無線網卡的例子中，封包注入涉及到發送封包，或將它注入到雙方已經建立的連接中。

操作步驟

讓我們開始使用 Gerix 創建偽造的 AP。

1. 讓我們訪問 Gerix 所在的目錄：

   cd /usr/share/gerix-wifi-cracker
   

2. 鍵入下面的命令來使用 Gerix：

   python gerix.py
   

3. 點擊Configuration（配置）標簽頁。

4. 在Configuration標簽頁中，選擇你的無線接口。

5. 點擊Enable/Disable Monitor Mode（開啟/停止監控器模式）按鈕。

6. 在監控模式啟動之后，在Select Target Network（選擇目標網絡）下面，點擊Rescan Networks（重新掃描網絡）按鈕。

7. 目標網絡的列表會填滿。選擇無線網絡作為目標。這里，我們選擇了 WEP 加密的網絡。

8. 點擊Fake AP（偽造接入點）標簽頁。

9. 修改Access Point ESSID（接入點 ESSID），將其從honeypot修改為不會引起懷疑的名稱。這里我們使用personalnetwork。

10. 其它選項使用默認。為了開啟偽造接入點，點擊Start Face Access Point（開啟偽造接入點）按鈕。

    這就結束了。

工作原理

這個秘籍中，我們使用了 Gerix 來創建偽造接入點。創建偽造接入點是一個非常好的方式，來收集沒有防備用戶的信息。原因是，對于受害者來說，它們表現為正常的接入點，所欲會使它被用戶信任。使用 Gerix，我們可以只通過幾次點擊來自動化創建和設置偽造接入點。

9.5 URL 流量操縱

這個秘籍中，我們會進行 URL 流量操縱攻擊。URL 流量操縱非常類似于中間人攻擊，因為我們會讓去往互聯網的流量首先通過我們的機器。我們使用 ARP 毒化來執行這個攻擊。ARP 毒化是一種技巧，讓我們能夠在局域網中發送欺騙性的 ARP 信息給受害者。我們會使用 arpspoof 來執行這個秘籍。

操作步驟

讓我們開始進行 URL 流量操縱。

1. 打開終端窗口并執行下面的命令，來配置 IP 表使我們能夠劫持流量：

   sudo echo 1 >> /proc/sys/net/ipv4/ip_forward
   

2. 下面，我們啟動 arpspoof 來毒化從受害者主機到默認網關的流量。這個例子中，我們在局域網中使用 Windows 7 主機，地址為192.168.10.115。Arpspoof 有一些選項，包括：

   • -i允許我們選擇目標接口。這里我們選擇wlan0。
   • -t允許我們指定目標。

   整個命令的語法是arpspoof –i [interface] –t [target IP address] [destination IP address]。

   sudo arpspoof –i wlan0 -t 192.168.10.115 192.168.10.1
   

3. 接著，我們執行另一個 arpspoof 命令，它會從上一個命令的目的地（這里是默認網關）取回流量，并使流量經過我們的 Kali 主機。這個例子中，我們的 IP 地址是192.168.10.110。

   sudo arpspoof –i wlan0 -t 192.168.10.1 192.168.10.110 
   

   這就結束了。

工作原理

這個秘籍中，我們使用 arpspoof 通過 ARP 毒化來操縱受害者主機到路由器之間的流量，使其通過我們的 Kali 主機。一旦流量被重定向，我們就可以對受害者執行其它攻擊，包括記錄鍵盤操作，跟蹤瀏覽的網站，以及更多。

9.6 端口重定向

這個秘籍中，我們使用 Kali 來進行端口重定向，也叫做端口轉發或端口映射。端口重定向涉及到接收發往某個端口，比如 80 的數據包，并把它重定向到不同的端口上，比如 8080。執行這類攻擊的好處很多，因為你可以將安全的端口重定向為非安全的端口，或者將流量重定向到特定的設備的特定端口，以及其它。

操作步驟

讓我們開始進行端口重定向/轉發。

1. 打開終端窗口并執行下列命令來配置 IP 表，使我們能夠劫持流量：

   Sudo echo 1 >> /proc/sys/net/ipv4/ip_forward
   

2. 下面，我們啟動 arpspoof 來毒化去往默認網關的流量。這個例子中，默認網關的 IP 地址為 192.168.10.1。Arpspoof 有一些選項，包括：

   • -i允許我們選擇目標接口。這里我們選擇wlan0。

   整個命令的語法是arpspoof –i [interface] [destination IP address]。

   sudo arpspoof –i wlan0 192.168.10.1
   

3. 接著，我們執行另一個 arpspoof 命令，它會從上一個命令的目的地（這里是默認網關）取回流量，并使流量經過我們的 Kali 主機。這個例子中，我們的 IP 地址是192.168.10.110。

   iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
   

   這就結束了。

工作原理

這個秘籍中，我們使用 arpspoof 通過 ARP 毒化和 IPTables 路由，將網絡上發到端口 80 的流量重定向到 8080。執行這類攻擊的好處很多，因為你可以將安全的端口重定向為非安全的端口，或者將流量重定向到特定的設備的特定端口，以及其它。

9.7 嗅探網絡流量

這個秘籍中，我們會實驗網絡流量的嗅探。網絡流量嗅探涉及到攔截網絡封包，分析它們，之后將流量解碼（如果需要）來展示封包中的信息。流量嗅探特別在目標的信息收集中非常有用，因為取決于所瀏覽的網站，你可以看見所瀏覽的網址、用戶名、密碼和其它可以利用的信息。

我們在這個秘籍中會使用 Ettercap ，但是你也可以使用 Wireshark。處于展示目的，Ettercap 更加易于理解以及應用嗅探原理。一旦建立起對嗅探過程的理解，你可以使用 Wireshark 來進行更詳細的分析。

準備

這個秘籍需要為封包注入配置好的無線網卡，雖然你可以在有線網絡上執行相同步驟。在無線網卡的情況下，封包注入涉及到將封包發送或注入到雙方已經建立的連接中。

操作步驟

讓我們啟動 Ettercap 來開始網絡流量的嗅探。

1. 打開終端窗口并啟動 Ettercap。使用-G選項加載 GUI：

   ettercap –G
   

2. 我們以打開Unified sniffing（統一嗅探）開始。你可以按下Shift + U或者訪問菜單中的Sniff | Unified sniffing。

3. 選擇網絡接口。在發起 MITM 攻擊的情況中，我們應該選項我們的無線接口。

4. 下面，我們打開Scan for hosts（掃描主機）。可以通過按下Ctrl + S或訪問菜單欄的Hosts | Scan for hosts來完成。

5. 下面，我們得到了Host List（主機列表）。你可以按下H或者訪問菜單欄的Hosts | Host List。

6. 我們下面需要選擇或設置我們的目標。在我們的例子中，我們選擇192.168.10.111作為我們的Target 1，通過選中它的 IP 地址并按下Add To Target 1（添加到目標 1）按鈕。

7. 現在我們能夠讓 Ettercap 開始嗅探了。你可以按下Ctrl + W或訪問菜單欄的Start | Start sniffing。

8. 最后，我們開始進行 ARP 毒化。訪問菜單欄的Mitm | Arp poisoning。

9. 在出現的窗口中，選中Sniff remote connections（嗅探遠程連接）的選項。

10. 取決于網絡環境，我們會看到信息。

11. 一旦我們找到了想要找的信息（用戶名和密碼）。我們可以關閉 Ettercap。你可以按下Ctrl + E或訪問菜單欄的Start | Stop sniffing來完成它。

12. 現在我們關閉 ARP 毒化，使網絡恢復正常。

工作原理

這個秘籍包括了 MITM 攻擊，它通過 ARP 毒化來竊聽由用戶發送的無線網絡通信。我們以啟動 Ettercap 并掃描主機來開始這個秘籍。之后我們開始進行網絡的 ARP 毒化。ARP 毒化是一種技巧，允許你發送偽造的 ARP 信息給局域網內的受害者。

我們以啟動封包嗅探并停止 ARP 毒化讓網絡恢復正常來結束。這個步驟在偵測過程中很關鍵，因為在你停止毒化網絡時，它讓網絡不會崩潰。

這個過程對于信息收集很有用，因為它能收集到網絡上傳輸的信息。取決于網絡環境，你可以收集到用戶名、密碼、銀行賬戶詳情，以及其它你的目標在網絡上發送的信息。這些信息也可以用于更大型攻擊的跳板。