KaliLinux无线浸透测试入门指南第二章WLAN和固有的不安全性 - 安全编程.docx

《KaliLinux无线浸透测试入门指南第二章WLAN和固有的不安全性 - 安全编程.docx》由会员分享，可在线阅读，更多相关《KaliLinux无线浸透测试入门指南第二章WLAN和固有的不安全性 - 安全编程.docx（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、KaliLinux无线浸透测试入门指南第二章WLAN和固有的不安全性-安全编程-次元立方网-电脑知识与技术互动沟通平台没有什么伟大的东西能在脆弱的基础上构建。在我们的语境中，固有的不安全性之上不能构建出安全。WLAN在设计上拥有特定的不安全性，它们可被轻易利用，例如，通过封包注入，以及嗅探能够在很远处进行。我们会在这一章利用这些缺陷。2.1回首WLAN帧由于这本书处理无线方面的安全，我们假设你已经对协议和封包的头部有了基本的了解。没有的话，或者你离开无线有很长时间了，如今是个好时机来回首这个话题。让我们如今快速温习一些WLAN的基本概念，大多数你可能已经知道了。在WLAN中，通信以帧的方式进行

2、，一帧会拥有下列头部构造：FrameControl字段本身拥有更复杂的构造：类型字段定义了下列三种WLAN帧：管理帧：管理帧负责维护接入点和无线客户端之间的通信。管理帧拥有下列子类型：验证解除验证关联请求关联响应重关联请求重关联响应解除关联信标探测请求探测响应控制帧：控制帧负责确保数据在接入点和无线客户端之间合理交换。控制帧拥有下列子类型：请求发送RTS去除发送CTS确认ACK数据帧：数据帧携带在无线网络上发送的真实数据。它没有子类型。我们在之后的章节中讨论不同攻击的时候，会讨论这些帧中每一种的安全隐患。我们如今看一看怎样使用Wireshark嗅探无线网络上的这些帧。也有其他工具例如Airod

3、ump-NG，Tcpdump，或者Tshark你同样能够用于嗅探。我们在这本书中多数情况会使用Wireshark，但是我们推荐你探索其它工具。第一步是创立监控形式的接口。这会为你的适配器创立接口，使我们能够读取空域中的所有无线帧，无论它们的目的是不是我们。在有线的世界中，这通常叫做混合形式。实战时间创立监控形式的接口让我们如今将无线网卡设为监控形式。遵循下列指南来开场：启动Kali并使适配器保持连接。一旦你打开了控制台，输入iwconfig并确保网卡被检测到，驱动被正确加载。使用ifconfigwlan1up命令启动网卡其中wlan1是你的适配器。通过运行ifconfigwlan1验证网卡能否

4、正在运行。你应该在输出的第二行看到单词UP，像这样：为了将网卡设为监控形式，我们使用airmon-ng，它在Kali中自带。首先执行airmon-ng命令来确认它检测到了可用的网卡。你应该能看到输出中列出的wlan1接口：如今输入airmon-ngstartwlan1命令来创立对应wlan1设备的监控形式接口。新的监控形式接口名为mon0。你能够再次不带参数使用airmon-ng来验证。同样，运行ifconfigmon0会展示叫做mon0的新接口。刚刚发生了什么？我们成功创立了叫做mon0的监控形式接口。这个接口用于嗅探空域中的无线封包。这个接口已经在我们的无线适配器中创立了。试一试创立多个监

5、控形式接口能够创立多个监控形式的接口，使用一样的物理网卡。使用airmon-ng工具来看看怎样完成。太棒了！我们拥有了监控形式接口，等待从空域中读取一些封包。所以让我们开场吧。下一个练习中，我们会使用Wireshark和刚刚创立的mon0监控器形式接口，从空域中嗅探封包。实战时间嗅探无线封包遵循下列指南来开场：启动我们在第一章中配置好的接入点WirelessLab。通过在控制台中键入Wireshark来启动Wireshark，一旦Wireshark运行，访问Capture|Interfaces。通过点击Start按钮从mon0接口选择封包捕获，像截图中那样。Wireshark会开场捕获，如今你

6、能够在Wireshark窗口中看到封包。这些就是你的无线适配器从空域中嗅探到的封包。为了查看任何封包，在上面的窗口中选择它，中间的窗口中会展示整个封包：点击IEEE802.11WirelessLANmanagementframe前面的三角形来展开并查看具体信息。观察封包中不同的头部字段，并将它们和之前了解的WLAN帧类型以及子类型关联。刚刚发生了什么？我们刚刚从空域中嗅探了第一组封包。我们启动了Wireshark，它使用我们之前创立的监控形式接口mon0。通过查看Wireshark的底部区域，你应该注意到封包捕获的速度以及目前为止捕获的封包数量。试一试发现不同设备Wireshark的记录有时会

7、令人生畏，即便在构成合理的无线网络中，你也会嗅探到数千个封包。所以深化到我们感兴趣的封包特别重要。这能够通过使用Wireshark中的过滤器来完成。探索怎样使用这些过滤器来识别记录中唯一的无线设备接入点和无线客户端。假如你不能做到它，不要着急，它是我们下一个要学的东西。实战时间查看管理、控制和数据帧如今我们学习怎样使用WIreshark中的过滤器来查看管理、控制和数据帧。请逐步遵循下列指南：为了查看捕获的封包中的所有管理帧，在过滤器窗口中输入过滤器wlan.fc.type，并点击Apply。假如你打算防止封包向下滚动过快，你能够停止封包捕获。为了查看控制帧，将过滤器表达式修改为wlan.fc.

8、type=1。为了查看数据帧，将过滤器表达式修改为wlan.fc.type=2。为了额外选择子类型，使用wlan.fc.subtype过滤器。例如，要查看所有管理帧中的信标帧，使用下列过滤器：(wlan.fc.type=0)(wlan.fc.subtype=8)作为替代，你能够在中间的窗口中右击任何头部字段，之后选择ApplyasFilterSelected来使用过滤器。这会自动为你在Filter字段中添加正确的过滤器表达式。刚刚发生了什么？我们刚刚学习了怎样在Wireshark中，使用多种过滤器表达式来过滤封包。这有助于监控来自己们感兴趣的设备的所选封包，而不是尝试分析空域中的所有封包。同样

9、，我们可以以以纯文本查看管理、控制和数据帧的封包头部，它们并没有加密。任何能够嗅探封包的人都能够阅读这些头部。要注意，黑客可以能修改任何这些封包并重新发送它们。协议并不能防止完好性或重放攻击，这非常易于做到。我们会在之后的章节中看到一些这类攻击。试一试玩转过滤器你能够查阅Wireshark的手册来了解更多可用的过滤器表达式，以及怎样使用。尝试玩转多种过滤器组合，直到你对于深化到任何细节层级都拥有自信，即便在很多封包记录中。下个练习中，我们会勘察怎样嗅探我们的接入点和无线客户端之间传输的数据封包。实战时间嗅探我们网络上的封包这个练习中，我们会了解怎样嗅探指定无线网络上的封包。出于简单性的原因，我

10、们会查看任何没有加密的封包。遵循下列指南来开场：启动我们命名为WirelessLab的无线接入点。让我们将其配置为不加密。我们首先需要寻找WirelessLab运行在哪个频道上。为了完成它，打开终端并执行airodump-ng-bssidmacmon0，其中mac是接入点的MAC地址。运行程序，不就你就会看到你的接入点显示在屏幕上，并带有所运行的频道。我们能够从之前的截图中看到，我们的接入点WirelessLab运行在频道11上。要注意这可能和你的接入点不同。为了嗅探发往和来自这个接入点的封包，我们需要将无线网卡锁定在同一频道上，也就是频道11。为了实现它，执行iwconfigmon0chan

11、nel11之后执行iwconfigmon0来验证。你会看到输出中的Frequency:2.462GHz。这相当于频道11。如今启动Wireshark，开场嗅探mon0接口。在WIreshark开场嗅探之后，在过滤器区域输入wlan.bssid=mac来使用接入点BSSID的过滤器，像下面的截图这样。为你的接入点填写适宜的MAC地址。为了查看接入点的数据封包，添加下列过滤器：(wlan.bssid=mac)(wlan.fc.type_subtype=0x20)。在客户端笔记本打开你的阅读器，并输入接入点管理界面的URL。我这里，像第一章那样，它是:/192.168.0.1。这会生成数据封包，WI

12、reshark会捕获它。封包嗅探允许我们轻易分析未加密的数据。这就是为什么我们需要在无限种使用加密的原因。刚刚发生了什么？我们刚刚使用WIreshark和多种过滤器嗅探了空域中的数据。由于我们的接入点并没有使用任何加密，我们能够以纯文本看到所有数据。这是重大的安全问题，由于假如使用了类似WIreshark的嗅探器，任何在接入点RF范围内的人都能够看到所有封包。试一试分析数据封包使用WIreshark进一步分析数据封包。你会注意DHCP请求由客户端生成，并且假如DHCP服务器可用，它会返回地址。之后你会发现ARP封包和其它协议的封包。这样来被动发现无线网络上的主机特别简单。能够看到封包记录，并重

13、构出无线主机上的应用怎样和网络的其余部分通信特别重要。Wireshark所提供的有趣的特性之一，就是跟踪流的能力。这允许你一起查看多个封包，它们是一样连接中的TCP数据交换。此外，尝试登陆gmail和其它流行站点并分析生成的数据流量。我们会演示怎样向无线网络中注入封包。实战时间封包注入我们使用aireplay-ng工具来进行这个练习，它在Kali中自带。遵循下列指南来开场：为了执行注入测试，首先启动Wireshark，并使用过滤器表达式(wlan.bssid=mac)!(wlan.fc.type_subtype=0x08)。这会确保我们只能看到我们无线网络的非信标帧。如今在终端中执行命令air

14、eplay-ng-9-eWirelessLab-amacmon0。返回Wireshark，你会看到屏幕上会显示大量封包。一些封包已经过aireplay-ng发送，它们是我们发送的，其它的是WirelessLab接入点用于响应注入的封包。刚刚发生了什么？我们刚刚使用aireplay-ng，成功向我们的测试环境网络注入了封包。要注意我们的网卡将这些任意的封包注入到网络中，而不需要真正连接到无线接入点WirelessLab。试一试探索Aireplay-ng工具我们会在之后的章节中具体了解封包注入。如今请探索一下Aireplay-ng工具用于注入封包的其它选项。你能够使用Wireshark监控空域来验

15、证注入能否成功。2.2WLAN嗅探和注入的重点笔记WLAN通常在三种不同频率范围内工作：2.4GHz，3.6GHz和4.9/5.0GHz。并不是所有WIFI网卡都全部支持这三种范围和相关的波段。例如，Alfa网卡只支持IEEE802.11b/g。这就是讲，这个网卡不能处理802.11a/n。这里的关键是嗅探或注入特定波段的封包。你的WIFI网卡需要支持它。另一个WIFI的有趣方面是，在每个这些波段中，都有多个频道。要注意你的WIFI网卡在每个时间点上只能位于一个频道。不能将网卡在同一时间调整为多个频道。这就好比车上的收音机。任何给定时间你只能将其调整为一个可用的频道。假如你打算听到其它的东西，

16、你需要修改频道。WLAN嗅探的原则一样。这会产生一个很重要的结论我们不能同时嗅探所有频道，我们只能选择我们感兴趣的频道。这就是讲，假如我们感兴趣的接入点的频道是1，我们需要将网卡设置为频道1。固然我们在上面强调了WLAN嗅探，注入的原则也一样。为了向特定频道注入封包，我们需要将网卡调整为特定频道。让我们如今做一些练习，设置网卡来制定频道或进行频道跳跃，设置规范域以及功率等级，以及其它。实战时间使用适配器做实验仔细遵循下面步骤：输入iwconfigwlan0命令来查看网卡的功能。你能够看到，我们的适配器能够工作在b、g和n波段中。为了将网卡设置为特定频道，我们使用iwconfigmon0chan

17、nelX命令。iwconfig命令集并没有频道跳跃形式。你能够在它上面编写简单的脚本来实现。一个简单的方式就是带选项使用Airodump-NG来跳跃任何频道，或者是某个子集，或者使用所选的波段。当我们执行airodump-ng-help的时候，所有这些选项展示在下面。刚刚发生了什么？我们知道了，无线嗅探和封包注入依靠于硬件的支持。这即是讲我们只能处理网卡支持的波段和频道。此外，无线网卡每次只能位于一个频道。这讲明了我们只能一次嗅探或注入一个频道。试一试嗅探多个频道。假如你需要同时嗅探多个频道，你需要多个物理WIFI网卡。假如你能够获得额外的网卡，尝试同时嗅探多个频道。4.3无线网络中规范域的作

18、用WIFI的复杂性到这里并没有结束。每个国家都有本人的未受权的频谱分配策略。这规定了允许的功率等级和频谱的用户。例如，FCC规定，假如你在美国使用WLAN，你就必须遵守这些规定。在一些国家，不遵守相关规定会收到惩罚。如今让我们看看怎样寻找默认的规范设置，以及怎样按需修改它们。实战时间使用适配器做实验仔细遵循下面步骤：重启的计算机并不要连接到适配器。登录之后，使用tail命令监控内核信息：插入适配器，你会看到像这样的一些东西。这展示了网卡所使用的默认规范设置。让我们假设你在美国。为了将规范域修改为US，我们在新的终端中输入下列命令iwregsetUS。假如命令执行成功，我们会在终端得到这样的输出

19、，其中我们正在监控/var/log/messages：如今尝试把网卡设置为频道11，它生效了。但是当你尝试设置为频道12时候，你会得到错误。这是由于在美国不能使用频道12。功率等级也使用一样的原则。US只允许最大27dBm500毫瓦。所以即便我们的适配器的功率为1瓦30dBm，我们也不能将其设置为最大传输功率：但是，假如我们在玻利维亚，我们就能够使用1瓦的传输功率，由于这里允许。你能够看到，我们将规范域设为玻利维亚iwregsetBO我们就能将网卡功率设置为30DMB或1瓦。我们在玻利维亚使用频道12，这在美国是禁止的。刚刚发生了什么？每个国家都有用于未受权无线波段的本人的规范。当我们将规范域

20、设置为特定国家时，我们的网卡会遵循允许的频道和指定的功率等级。但是，嗅探网卡的规范域，来强迫它工作在不允许的频道上，以及在高于允许值的功率等级上传输数据相当容易。试一试探索规范域查看你能够设置的多种参数，例如频道、功率、规范域，以及其它。在Kali上使用iw命令集。这会让你深入了解在不同国家的时候怎样配置网卡，以及修改网卡设置。小测验WLAN封包嗅探和注入Q1哪种帧类型负责在WLAN中的验证？控制管理数据QoSQ2使用airmon-mg在wlan0上创立的第二个监控器形式接口的名字是什么？mon0mon11monmonbQ3用于在Wireshark中查看非信标的过滤器表达式是什么？!(wlan

21、.fc.type_subtype=0x08)wlan.fc.type_subtype=0x08(nobeacon)Wlan.fc.type=0x08这一章中，我们对WLAN协议进行了一些重要的观察。管理、控制和数据帧是未加密的，所以监控空域的人能够轻易读取。要注意数据封包载荷能够使用加密来保护，使其愈加机密。我们在下一章讨论它们。我们能够通过将网卡设置为监控形式来嗅探附近的整个空域。由于管理和控制帧没有完好性保护，使用例如aireplay-ng的工具通过监控或照旧重放它们来注入封包非常容易。未加密的数据封包可以以被修改和重放到网络中。假如封包加密了，我们仍然能够照旧重放它们，由于WLAN设计上并没有保护封包重放。下一章中，我们会看一看用于WLAN的不同验证机制，例如MAC过滤和分享验证，以及其它。并且通过实际的演示来理解多种安全缺陷。