無線網絡安全實驗.doc

實 驗 報 告課程名稱 信息系統(tǒng)安全技術及應用 實驗項目 無線網絡安全性研究與實踐實驗儀器 PC機、因特網 系 別 信息管理學院 專 業(yè) 信息安全 班 級_ 組長姓名 _ 組員姓名_ _ _ _ _實驗日期 2013- 成 績 _指導教師 劉曉梅 北京信息科技大學信息管理學院（課程上機）實驗報告實驗名稱無線網絡安全性研究與實踐實驗地點信息安全實驗室實驗時間2013-10-91. 實驗原理：數(shù)據(jù)通過空中電波進行傳輸時，利用從網上下載的一個程序，很容易就能捕捉到這些數(shù)據(jù)。這類監(jiān)視是事先考慮的，所以802.11標準增加了WEP安全。使用WEP，所有數(shù)據(jù)都被打亂成無法識別的形式。雖然WEP無法阻止惡意的程序攔截，但它確實能阻止普通人員輕松地讀取捕捉到的數(shù)據(jù)。Wep使用RC4算法來加密數(shù)據(jù)。這是最流行的加密方式之一，并且在許多應用程序中得到了采用，其中包括大多數(shù)網上商店所集成的SSL(安全套接字)。RC4使用一個流式加密系統(tǒng)(Streaming Cipher)，它能為加密的每個數(shù)據(jù)包分別創(chuàng)建一個不重復的密鑰（稱為”包密鑰”，即 packet key）。為此，它需要合并一個預共享密碼的各個字符、一個狀態(tài)值以及一個IV（初始向量)值來打亂數(shù)據(jù)。RC4的這部分稱為密鑰調度算法(KSA)。隨即，結果數(shù)組成為一個”偽隨機生成算法”(PRGA)的種子，后者生成一個密鑰流，并與明文進行XOR運算，從而獲得密文。IV+密碼（64位或128位）加密的數(shù)據(jù)KSAPRGA數(shù)據(jù)+CRC-32XOR密碼IV(24位)實際發(fā)送的數(shù)據(jù)并非只由原始消息構成。它還包括一個稱為“校驗和”(CRC)的值，一個32位的值。校驗和是根據(jù)數(shù)據(jù)包中的數(shù)據(jù)計算出來的一個不重復的值。校驗和用于確保數(shù)據(jù)在傳輸過程中的完整性。收到并解密了數(shù)據(jù)包后，會重新計算校驗和，并與原始校驗和進行比較。兩者相符，就接受數(shù)據(jù)包，否則就丟棄數(shù)據(jù)包。數(shù)據(jù)CRC-32算法數(shù)據(jù)CRC值數(shù)據(jù)+CRC值加密好數(shù)據(jù)后，IV會附加到數(shù)據(jù)上，同時用一個數(shù)據(jù)位(比特)來表示數(shù)據(jù)包已被加密。然后，所有信息廣播到空中，由接受方捕捉和解密。解密過程是對加密過程的一個逆轉。首先，從數(shù)據(jù)包中移除IV，并將其與共享密鑰合并在一起。然后，合并后的值用于重新創(chuàng)建KSA，后者進而用于創(chuàng)建密鑰流(Keystream)，密鑰流與加密的數(shù)據(jù)包進行XOR運算，便得到明文輸出。然后，從明文中移除校驗和(CRC)，并將它與重新計算后所得的CRC進行比較，隨后確定對這個數(shù)據(jù)包的取舍。IV+密文密文數(shù)據(jù)+CRC-32密碼IV壞數(shù)據(jù)數(shù)據(jù)CRC-32好數(shù)據(jù)XORCRC-32CRC比較KSAPRGA但是，RC4的實現(xiàn)是有缺陷的。特別是，如果我們知道了數(shù)據(jù)加密前的樣子，那么對捕捉到的密文和已知的明文進行XOR運算，就能生成密鑰流(Keystream)。出現(xiàn)這個缺陷的原因是，WEP是通過合并兩個變量，并對這兩個變量進行XOR運算來得出密文的。下面一個公式1描述RC4算法的最后一個函數(shù)，它負責對數(shù)據(jù)進行加密。Ciphertext (密文) = Plaintext (明文) XOR Keystream(密鑰流)WEP使用一個名為初始向量的值，這個值簡稱為IV（Initalization Vector）。RC4算法使用這個值與預共享密鑰合并，從而為每個數(shù)據(jù)包創(chuàng)建自己的密鑰流，從而通過WLAN發(fā)送的每個數(shù)據(jù)包都創(chuàng)建一個新的、不重復的”數(shù)據(jù)包密鑰”。WEP為通過WLAN傳送的每個數(shù)據(jù)包都使用一個3字節(jié)的IV。數(shù)據(jù)發(fā)送后，IV會添加在每個加密的數(shù)據(jù)包之前。這就能保證接收人獲得解密數(shù)據(jù)所需的全部信息。不過，有個潛在的問題。一個字節(jié)由8個比特組成，因此，IV的總長度為24比特（8比特/字節(jié)*3字節(jié)）。如果計算所有可能的IV，那么結果是224 = 16777266個可能的密鑰。雖然看起來很大，但它與通信聯(lián)系起來時，實際是非常小的，原因是可能會重復。IV是一個隨機數(shù)。當大多數(shù)人將“隨機”和16777216這樣一個數(shù)字聯(lián)系到一起時，第一個反應是，黑客平均必須等待1600萬個數(shù)據(jù)包后，才能收到重復的包。但這種想法是錯誤的。事實上，考慮到隨機性的本質，只需傳輸5000個包，就會開始重復，這就是我們所說的“沖突”。從而IV的“沖突”，造成了WLAN WEP加密被破解的致命弱點。2. 實驗準備（實驗環(huán)境的搭建、實驗儀器的準備等）：本次實驗主要涉及了2個實驗環(huán)境：一：宿舍的實驗環(huán)境：為了方便研究無線破解的技術和原理，從安協(xié)拿回了無線路由器，在宿舍搭建了一個由TP-LINK 54MB的無線路由組成的用WEB-64比特加密方式加密的無線局域網。二：機房的實驗環(huán)境：機房的實驗環(huán)境不需要自己搭建，有很多現(xiàn)成的無線信號可以供破解，也沒有實驗儀器需要準備。3. 實驗步驟（詳細寫出實驗步驟）：實驗準備階段：（1）實驗裝備用具：華碩A8JS（內置Intel3945 無線網卡）配備BT3 U盤操作系統(tǒng)。 IBM T60（內置Intel3945 無線網卡）配備BT3 硬盤操作系統(tǒng)。（2）調試各種BT3操作系統(tǒng)，使在BT3下能夠上網瀏覽網頁，瀏覽文檔，輔助在BT3下的破解工作，且可以正常運行進行破解工作。實驗破解階段：（1）在BT3操作系統(tǒng)下： 一種方法： 1.開機運行BT3操作系統(tǒng)，打開一個SHELL命令框，開始輸入命令：modprobe r iwl3945卸載3945網卡的原驅動，再輸入命令：modprobe ipwraw 裝載支持監(jiān)聽模式的新驅動。 2.輸入命令：airodump-ng wifi0 開始掃描所有的無線信號，以選擇破解的目標。 3.輸入命令：macchanger m wifi0 來改變自己網卡的MAC地址，確保相同。 此步可有可無。故無截圖，在此只是點名此步驟。 4.輸入命令：airmon-ng start wifi0 6 激活網卡的監(jiān)聽模式并且工作在wifi0所在的第6頻 5.輸入命令：airodump-ng -w capture -c 6 bssid wifi0 開始按照物理地址和頻道所對應的無線信號抓包，并且把所抓到的數(shù)據(jù)包存為名字capture的文件。 6.輸入命令：aireplay-ng -1 0 -e -a wifi0 利用BT3系統(tǒng)自帶的-1攻擊模式對所要破解的無線路由器進行虛連接攻擊，偽造和所要破解AP的偽裝連接，為后面的攻擊打下基礎。 7.輸入命令：aireplay-ng -3 b wifi0 利用BT3操作系統(tǒng)自帶的arp 注入攻擊模式的 -3 模式通過不斷向AP 發(fā)送同樣的arp請求包，來進行注入式攻擊，以便獲得大量的有效數(shù)據(jù)。攻擊成功后數(shù)據(jù)包飛漲。 另一種方法： 1.開機運行BT3操作系統(tǒng)，打開一個SHELL命令框，開始輸入命令：modprobe r iwl3945卸載3945網卡的原驅動，再輸入命令：modprobe ipwraw 裝載支持監(jiān)聽模式的新驅動。 2.輸入命令：airodump-ng wifi0 開始掃描所有的無線信號，以選擇破解的目標。 3.輸入命令：macchanger m wifi0 來改變自己網卡的MAC地址，確保相同。此步可有可無。故無截圖，在此只是點名此步驟。 4.輸入命令：airmon-ng start wifi0 6 激活網卡的監(jiān)聽模式并且工作在wifi0所在的第6頻道。 5.輸入命令：airodump-ng -w capture -c 6 bssid wifi0 開始按照物理地址和頻道所對應的無線信號抓包，并且把所抓到的數(shù)據(jù)包存為名字是capture的文件。 6.輸入命令：aireplay-ng -1 0 -e -a wifi0 利用BT3系統(tǒng)自帶的-1攻擊模式對所要破解的無線路由器進行虛連接攻擊，偽造和所要破解AP的偽裝連接，為后面的攻擊打下基礎。 7.輸入命令：airreplay-ng -5 b 001478e51610 wifi0采用碎片包攻擊模式-5，獲得一個PRGA數(shù)據(jù)包（xor文件）。 8.輸入命令：packetforge-ng -0 -a -h -k 255.255.255.255 l 255.255.255.255 y fragment-0108-231739.xor -w myarp 用數(shù)據(jù)包制造程序packetforge-ng將上面獲得的xor 數(shù)據(jù)包偽造成可利用的ARP注入包。9.輸入命令：aireplay-ng -2 r myarp -x 512 wifi0采用交互模式-2，發(fā)包注入攻擊。 總后一步：破解密鑰 輸入：aircrack-ng -n 64 -b packet-02.ivs 從上面兩種方法主要是獲得足夠的數(shù)據(jù)包，數(shù)據(jù)包里包含足夠的IV，從而進行破解。 可以看到密碼為：”qazxc”（2）在Windows操作系統(tǒng)下： 1.安裝3款軟件，分別是netstumblerinstaller、WinAircrackPack、omnipeek。Netstumbler是一款用于在Windows系統(tǒng)下檢測無線信號各項參數(shù)的應用軟件，WinAircrackPack是對所抓到WEB數(shù)據(jù)包進行破解的軟件，omnipeek是在Windows操作系統(tǒng)下用于抓包的軟件。 2. 3款然見安裝成功后分別打開3款軟件進行試用調試，無錯的情況下進入下一步 3打開netstumbler查看能檢測到的無線信號，觀察它的強度、無線加密方式，是否適合作為破解目標，最后選定破解目標。 4. 選定破解目標后進行運行omnipeek對所選目標開始進行抓包工作，在Windows操作系統(tǒng)下破解需要大量的數(shù)據(jù)包而且由于破解的是局域網所以沒有有效數(shù)據(jù)開始，最后依靠局域網內的人為的數(shù)據(jù)傳送才抓到了大量的有效數(shù)據(jù)包。 5. 打開WinAircrackPack對所抓到的數(shù)據(jù)包進行破解，因為數(shù)據(jù)量較大而且屬于暴力破解方式所以等的時間比較長，最后破解成功。 注：因為在Windows操作系統(tǒng)下的破解工作是最開始研究的方向，后來一直沒有再研究，所以此次實驗并未截圖，因為破解一次耗時很久也沒有重新再做，特此說明。4. 實驗問題及解決方案：問題1：最開始使用的VMware虛擬機找不到網卡。 在網上搜索相關問題后了解到Vmware 不支持筆記本內置的mini pci 接口的網卡，而使用VM 建議配置USB 無線網卡。Mini PCI 筆記本網卡建議使用CD 版、硬盤和U 盤啟動BT3。問題2：實驗過程中輸入一些命令例如ifconfig a 、bssid 等命令時提示錯誤。通過HELP方法查看命令語法發(fā)現(xiàn)是因為少輸了空格和應該為-bssid仔細核對命令后改正。問題3：在機房破解無線信號的時候建立虛連接不成功。 在從網上查閱相關資料和根據(jù)以往破解經驗的總結后得出所破解網絡的AP信號必須達到一定強度而且距離不能太遠，還有就是用用戶的時候比沒有用戶成功的概率要大的多。問題4：抓到足夠的數(shù)據(jù)包后卻無法順利利用命令進行破解。 經過多次的嘗試和分析最后發(fā)現(xiàn)是因為無線路由器的加密方式是128bit的WEB加密方式，而不是64位的加密方式，改過來后順利破解。問題5：無法破解無客戶端連接的WEP密碼。 如果一直是無客戶端的AP經過我們的研究由于沒有任何數(shù)據(jù)產生，也就沒有數(shù)據(jù)包可以捕獲更沒有數(shù)據(jù)包能夠不斷重發(fā)，產生的一些數(shù)據(jù)由于沒有IV初始化向量導致對破解沒有幫助，所以沒有客戶端連接的Ap是無法破解的。問題6：路由器登陸不成功 由于有人在別人不知道的情況下將路由器重置了。重新設置后恢復。問題7：BT3操作系統(tǒng)在運行過程中經常死機。 通過網絡資料的查閱和與同學的討論加上對該問題的反復研究嘗試，最后得出的結論是USB版本的BT3操作系統(tǒng)本身的穩(wěn)定性和性能就不如硬盤版的BT3操作系統(tǒng)，系統(tǒng)運行繁忙的時候就極其容易死機尤其是抓包破解過程中。還有就是開始使用的bt3并不是從官方網站上下載的BT3 final 版本的，而是老版本所以問題更多一些，后來更新了BT3操作系統(tǒng)，問題得到了較大改善。5. 實驗結果分析：通過屢次在不同的環(huán)境、不同的系統(tǒng)破解不一樣的無線信號所得到的結果來看，有以下幾點分析，首先在Windows操作系統(tǒng)下的破解要比BT3操作系統(tǒng)下破解費事的多并且會消耗大量的時間，要抓的數(shù)據(jù)包量很大，所以破解無線不建議在Windows操作系統(tǒng)下進行，BT3操作系統(tǒng)下的破解也不是都相同的，我們主要用了-3注入攻擊和-5碎片攻擊兩種攻擊方式，同時也嘗試了其他的攻擊方法但是感覺這兩種攻擊方法最好最有效，且其他方式的攻擊和它們的步驟也都差不多，原理也相似，-3攻擊模式的特點是速度快，但是要求虛連接要順利建立。-5攻擊模式的步驟雖然比-3要多一點，但是-5攻擊模式可以適應比-3復雜的網絡環(huán)境，成功率更高。從截獲的數(shù)據(jù)包量來看，一般數(shù)據(jù)包截獲到2000030000就可以順利破解了，當然不排除有偶然的情況，根據(jù)密碼的復雜程度不同需要的時間和數(shù)據(jù)包的數(shù)量頭不同，如果密碼是字符和密碼是數(shù)字就不一樣了、，破解字符密碼要比破解數(shù)字密碼需要的數(shù)據(jù)包多10000-20000左右，由此可以看出字符密碼的安全性更高一些。經我們分析影響無線破解的因素主要包括AP距離、信號質量、是否有用戶連接AP、是否可以建立虛連接還有就是AP本身有沒有有效數(shù)據(jù)包。6. 實驗總結：在此次無線破解實驗中，雖然遇到了很多困難，但最終還是成功的實現(xiàn)了破解，最重要的是我們從理論上了解到了破解的原理，并不只是單純的執(zhí)行教程上的那些步驟，從而破解出密鑰。在WEP誕生之初，許多人都認為WEP能在黑客面前建立勞不可破的安全防線。然而，隨著無線網絡逐漸流行，一組學者發(fā)現(xiàn)了該協(xié)議存